Читать книгу Анатомия фишинга как устроены атаки изнутри - - Страница 4

Представьте, что вы смотрите на ночное небо. Каждая точка света – это звезда, их невероятно много, но на самом деле видим мы лишь малую часть от того, что реально существует. Примерно так же обстоят дела с фишингом. Те атаки, о которых пишут в новостях, которые становятся достоянием общественности – это лишь самые яркие и крупные ‘звезды’ на темном небе цифровых угроз. Основная же часть этого ‘космоса’ скрыта от наших глаз, она происходит тихо, ежедневно и в колоссальных масштабах.

Давайте начнем с холодных цифр, они помогают осознать размах. По данным различных исследований, от 80% до 90% всех успешных кибератак начинаются именно с фишинга. Это не опечатка. Практически каждый взлом корпоративной сети, каждая утечка данных, каждый случай вымогательства – где-то в начале цепочки стояло одно-единственное письмо или сообщение, на которое кто-то кликнул. За год в мире отправляются триллионы фишинговых писем. Попробуйте мысленно упаковать все эти письма в коробки и сложить их в стопку – она дотянется до Луны и обратно несколько раз. И это только письма.

Кого ловят на крючок и зачем

Фишинг давно перестал быть забавой одиночек-хакеров в подвале. Сегодня это высокоорганизованный бизнес с четкой специализацией. Есть целые ‘фабрики’, которые штампуют поддельные письма и сайты как на конвейере. Есть поставщики инфраструктуры – аренда серверов, регистрация доменных имен. Есть специалисты по социальной инженерии, которые пишут убедительные тексты. Есть те, кто обрабатывает украденные данные и продает их на теневых форумах. Это глобальная индустрия, обороты которой исчисляются миллиардами долларов ежегодно. И она работает, потому что это выгодно. Затраты на одну фишинговую кампанию могут быть смехотворно низкими – несколько десятков долларов, а потенциальная прибыль – огромной.

Цели тоже изменились. Если раньше чаще всего хотели просто опустошить ваш банковский счет, то теперь спектр шире. Это может быть кража учетных данных для доступа к корпоративной почте или внутренней сети компании. Захват аккаунта в социальной сети, чтобы затем шантажировать владельца или рассылать спам его друзьям. Установка шпионского программного обеспечения, которое будет годами тихо сидеть на вашем компьютере и собирать все подряд. Или же шифрование всех ваших файлов с последующим требованием выкупа. Фишинг стал универсальным ‘отмычкой’, которая открывает дверь для десятков других, более страшных преступлений.

Портрет жертвы: почему попадаются все

Здесь кроется один из самых важных моментов, который нужно принять. Миф о том, что на фишинг клюют только неопытные пенсионеры или технически неподкованные люди – опасная иллюзия. Статистика неумолима: в зоне риска абсолютно каждый. Киберпреступники отлично изучили нашу психологию. Они знают, что бухгалтер в час сдачи квартального отчета с большей вероятностью кликнет на письмо с темой ‘СРОЧНО! Несданная декларация’. Что уставший после рабочего дня человек может автоматически ввести пароль на сайте, который выглядит как страница его онлайн-кинотеатра. Что даже опытный IT-специалист, получив якобы от коллеги просьбу ‘срочно перевести деньги на этот счет’, может на секунду отключить бдительность.

Злоумышленники играют на наших базовых эмоциях: срочности, страхе упустить выгоду, любопытстве, желании помочь, доверии к авторитету (будь то банк, начальник или госорган). Они не шлют миллионы одинаковых писем наугад. Они проводят разведку, собирают информацию о потенциальных жертвах из соцсетей, слитых баз данных, публичных профилей. Это называется ‘таргетированный фишинг’ или ‘spear-phishing’ (дословно – ‘фишинг с гарпуном’). Такое письмо будет адресовано лично вам, будет содержать упоминание вашей компании, вашего проекта, вашего начальника. Оно будет идеально подстроено под контекст вашей жизни. И противостоять такому – гораздо сложнее.

Задумайтесь на минутку. Вспомните, сколько писем вы получаете за день. Десятки? Сотни? Ваш мозг физически не может каждый раз проводить полноценный криминалистический анализ каждого из них. Он ищет shortcuts – короткие пути, шаблоны. И мошенники мастерски под эти шаблоны подстраиваются. Их письмо выглядит как привычное, важное, срочное. И в этот момент наша врожденная ‘антифишингововая защита’ дает сбой.

Невидимая статистика и почему она важна

Огромный пласт фишинговых атак остается ‘темной материей’ киберпреступности. Компании часто скрывают факты успешных атак, опасаясь за свою репутацию. Людям стыдно признаться, что они попались на удочку. В результате мы видим лишь верхушку айсберга. Но даже она впечатляет. Один удачный фишинг может привести к многомиллионным убыткам для бизнеса, к остановке производства в больнице, к утечке персональных данных миллионов пользователей.

Так зачем же нам все эти пугающие цифры? Не для того, чтобы заставить вас бояться каждого своего клика. А для того, чтобы снять розовые очки. Понимание масштаба – это первый и критически важный шаг к защите. Это как перед долгой дорогой на автомобиле: вы же не просто садитесь и едете, вы сначала осознаете, что будете делить трассу с тысячами других водителей, некоторые из которых могут быть невнимательны или пьяны. Это знание не парализует, а, наоборот, мобилизует. Оно заставляет пристегнуться, быть внимательнее к знакам, смотреть не только на свою полосу, но и по сторонам.

Цифровой океан, о котором мы говорили во введении, действительно огромен и в нем полно хищников. Но теперь вы знаете, что они не мифические чудища, а вполне измеримая и изученная угроза. А со всем измеримым и изученным можно и нужно работать. Самый страшный фишинг – тот, о существовании которого вы не подозреваете. Теперь вы подозреваете. Более того, вы начинаете понимать его размеры. А значит, вы уже на шаг впереди.