Как бороться с фишингом при помощи технических средств

Как бороться с фишингом при помощи технических средств

Для защиты от фишинговых атак можно использовать как встроенные инструменты браузеров и почтовых серверов, так и наложенные средства от сторонних вендоров. Насколько эффективны такие решения по сравнению с обучением пользователей и нужно ли покупать дополнительную систему для борьбы с фишингом — разбираемся вместе с экспертами в студии прямого эфира AM Live.

 

 

 

 

  1. Введение
  2. Что такое фишинг
  3. Каналы распространения фишинга
  4. Методы защиты от фишинга
  5. Защита от веб-фишинга
  6. Нужны ли внешние источники данных для борьбы с фишингом
  7. Выводы

Введение

Фишинг является отправной точкой значительного числа кибератак. Посылая вредоносные сообщения или создавая сайт-клон, злоумышленники используют психологические приёмы и средства социальной инженерии, поэтому защита от таких кампаний является непростой задачей для специалистов в сфере информационной безопасности. Мы решили разобраться в том, насколько эффективны технические средства защиты от фишинга, стоит ли использовать наложенные решения в этой сфере или же разумно ограничиться встроенными элементами безопасности браузеров и почтовых сервисов. В рамках очередного эфира онлайн-конференции AM Live, состоявшегося 13 апреля, мы собрали представителей тех компаний, которые производят специализированные решения для защиты от фишинга и оказывают услуги по предотвращению этого типа атак.

В дискуссии приняли участие:

  • Алексей Белоглазов, технический эксперт по защите от кибератак, Check Point Software Technologies.
  • Александр Калинин, руководитель отдела мониторинга и реагирования на инциденты информационной безопасности (CERT) компании Group-IB.
  • Сергей Кузнецов, руководитель отдела технического сопровождения продуктов и сервисов ESET.
  • Михаил Кондрашин, технический директор компании Trend Micro в СНГ, Грузии и Монголии.

Модерировал дискуссию Алексей Лукацкий, бизнес-консультант по безопасности компании Cisco.

 

 

Что такое фишинг

По традиции, в начале прямого эфира ведущий предложил экспертам определиться с базовыми понятиями и рассказать зрителям о том, что называют фишингом и чем этот тип атак отличается от других киберугроз.

Михаил Кондрашин:

— Изначально понятие «фишинг» предполагало очень узкую трактовку и относилось к письмам, которые заманивали жертву на подложный сайт. Однако позднее значение этого термина было существенно расширено: теперь фишингом называют любое вредоносное письмо. Современные средства защиты не позволяют злоумышленнику легко подключиться к какому-либо ценному ресурсу внутри корпоративной сети, фишинг — это попытка спровоцировать определённые действия пользователя, которые станут отправной точкой кибератаки.

Алексей Белоглазов:

— Фишингом можно назвать любую мошенническую схему, которая предполагает прямую коммуникацию между злоумышленником и сотрудником организации или домашним пользователем. Для этого могут использоваться как электронные средства связи — email, мессенджеры, — так и «аналоговые», например звонок по телефону.

Александр Калинин:

— Говоря о фишинге, я бы не акцентировал внимание исключительно на электронной почте. Большую часть фишинговых ссылок наши клиенты получают через рекламу в интернете, мессенджеры и SMS-сообщения.

Сергей Кузнецов:

— Можно вспомнить о фишинге при помощи физических носителей. Примером такой атаки может являться флеш-накопитель, при помощи которого в 2010 году удалось остановить иранскую ядерную программу.

 

Рисунок 1. Жизненный цикл фишинга

Жизненный цикл фишинга

 

Эксперты отметили, что компании весьма редко занимаются проактивным поиском фишинговых угроз, поскольку это — сложный процесс, требующий значительных ресурсов. Превентивная защита от фишинга включает в себя обнаружение вредоносных сайтов, которые могут быть использованы при атаке на конкретную организацию, мониторинг соцсетей с целью выявления публикаций содержащих информацию о сотрудниках, и другие меры. Как подчеркнули наши спикеры, компаниям неэффективно заниматься такой деятельностью самостоятельно: для этого есть специализированные решения.

Фишинг начинается гораздо раньше, чем жертва напрямую сталкивается с ним. Поэтому в зависимости от своих возможностей и ресурсов компании могут либо заказывать услугу мониторинга индикаторов возможной атаки, либо самостоятельно анализировать внешнее окружение в поисках потенциальных угроз.

Чтобы дополнить мнение экспертов, мы спросили зрителей прямого эфира о том, сталкивались ли они с фишингом. Более половины опрошенных — 54 % — рассказали, что встречались с этим видом вредоносной активности как дома, так и в процессе рабочей деятельности. Ещё 20 % респондентов сталкивались с фишингом только дома, а 19 % — только на работе. Никогда не встречались с фишингом всего 7 % зрителей прямого эфира.

 

Рисунок 2. Сталкивались ли вы когда-нибудь с фишингом?

Сталкивались ли вы когда-нибудь с фишингом?

 

Каналы распространения фишинга

Как начинается фишинговая атака и какие средства коммуникации чаще всего используют злоумышленники для доставки подложных ссылок? Об этом спикеры AM Live поговорили в следующем блоке онлайн-конференции.

Как отметил Алексей Белоглазов, по статистике более 80 % фишинговых атак начинаются с электронной почты, однако это — тот канал, который легче всего выявить. Другие векторы нападения отслеживать гораздо сложнее, поэтому складывается впечатление, что основная масса атак строится вокруг электронной почты.

Львиная доля фишинговых атак ведётся через электронную почту просто потому, что у большинства организаций электронная почта есть — такое мнение высказал Михаил Кондрашин. Как отметил эксперт, корпоративная электронная почта защищена не идеально и у злоумышленников есть бесконечное количество попыток для того, чтобы обойти антиспам-защиту.

Спикеры уточнили, что в случае массовых атак электронная почта действительно является основным каналом доставки вредоносного контента. Однако в случае целевого нападения нередко используются другие способы взаимодействия с сотрудниками компании. При этом таргетированные фишинговые атаки не очень распространены из-за сложности их подготовки, как пояснил Сергей Кузнецов. Массовый фишинг также использует некоторый таргетинг, например проверяет регион, к которому принадлежит устройство, до начала атаки.

Александр Калинин привёл пример массовых фишинговых атак, ориентированных только на мобильные устройства. Таким образом злоумышленники пытаются увеличить время обнаружения кампании и повысить её эффективность. Что же касается ущерба, который может нанести фишинговая атака, то он колеблется от тысяч рублей в случае с частными лицами до миллионов, если целью злоумышленников является организация. Эксперты отметили, что зачастую методы массовых и направленных фишинговых атак не отличаются, однако даже ориентированные на большое число мелких жертв злоумышленники используют профилирование целей, чтобы повысить конверсию вредоносной кампании.

Несмотря на превалирование электронной почты как основного канала фишинга, киберпреступники также способны использовать мессенджеры, блоги, официальные аккаунты в соцсетях и другие варианты взаимодействия с целевыми пользователями. Так, многие интернет-провайдеры строят свое общение с клиентами на основе Viber или WhatsApp, а получивший доступ к корпоративному аккаунту злоумышленник может использовать Teams, чтобы рассылать подложные сообщения.

Методы защиты от фишинга

Почтовые серверы и клиенты, а также браузеры имеют встроенные средства защиты от фишинга. Достаточно ли этих инструментов, чтобы защититься от атаки? Так ли нужны наложенные решения? Эти и другие вопросы Алексей Лукацкий предложил обсудить в следующей части дискуссии.

Как пояснили эксперты в студии, встроенные средства безопасности почтовых сервисов и браузеров предоставляют базовый уровень защиты, который злоумышленники способны обойти, поскольку имеют возможность протестировать соответствующие механизмы до начала атаки. Наложенные средства реализуют более сложные алгоритмы, которые также могут быть изучены киберпреступниками, однако это существенно увеличит стоимость атаки — ведь нападающим придётся приобрести соответствующие решения для проверки и тестирования. Далеко не во всех случаях злоумышленники пойдут на такой шаг; так образуется «окно безопасности», где наложенные средства будут обеспечивать эффективную защиту.

По мнению спикеров, современное решение для защиты электронной почты должно обладать следующими свойствами:

  • Регулярно обновляться.
  • Использовать методы машинного обучения для распознавания атак.
  • Уметь хорошо разбирать структуру и текст письма, «понимать» его содержание, распознавать текст на картинке, а также выявлять другие индикаторы.
  • Обладать механизмом оценки репутации отправителя и указанных в письме доменов.

Эксперты AM Live отметили, что машинное обучение используется в антифишинговых системах для сравнения страниц сайтов, а также определения подозрительных доменных имён. Эти действия нельзя автоматизировать при помощи сигнатур или статистических методов, однако искусственный интеллект хорошо справляется с этой задачей. Кроме того, при помощи машинного обучения можно анализировать действия пользователя, которые он пытается совершить после получения сообщения, и таким образом пресечь развитие атаки.

В качестве основы для машинного обучения разумно использовать поставляемую вендором базу, поскольку собственных данных организации может быть недостаточно — ведь они быстро устаревают. При этом специалист по информационной безопасности может дополнять её, а также вручную корректировать решения искусственного интеллекта для более точной настройки правил.

Зрители прямого эфира AM Live в своих компаниях чаще всего контролируют только канал доставки электронной почты. Об этом в ходе опроса рассказали 60 % респондентов. Ещё 15 % опрошенных защищают другие каналы, такие как мессенджеры или голосовые звонки, а 25 % наших зрителей вообще не используют технические средства защиты от фишинга.

 

Рисунок 3. Какие каналы доставки фишинга вы контролируете техническими средствами?

Какие каналы доставки фишинга вы контролируете техническими средствами?

 

Дополнительно мы поинтересовались тем, настроены ли у зрителей встроенные механизмы защиты от фишинга в почте и браузерах. Как оказалось, у 36 % респондентов встроенная защита настроена только на почтовых серверах и клиентах, а у 8 % — только в браузерах. Защищают и почту и браузеры 30 % участников опроса, а у 26 % зрителей AM Live встроенные средства безопасности не настроены вообще.

 

Рисунок 4. Настроены ли у вас встроенные механизмы защиты от фишинга в почте и браузерах?

Настроены ли у вас встроенные механизмы защиты от фишинга в почте и браузерах?

 

Защита от веб-фишинга

Следующий блок вопросов, который обсудили участники онлайн-конференции, касался борьбы с сайтами-клонами, используемыми фишерами. Какая стратегия в отношении перехода по ссылке из сообщения или письма (не обязательно вредоносного) должна применяться? Нужно ли по умолчанию блокировать или ограничивать все переходы на внешние ресурсы или же, наоборот, разрешать их? Какие средства существуют для выявления фишинговых сайтов, копирующих ресурсы компании и нацеленных на обман её сотрудников? Как бороться с сайтами-однодневками? Об этом модератор предложил поговорить спикерам AM Live.

Как отметили гости студии, стратегия тотальных запретов может быть вполне эффективной, однако она губительно сказывается на бизнес-процессах компании. Использовать её в полной мере в условиях реальной работы организации очень трудно. Один из компромиссных вариантов — разрешить пользователям доступ к сайтам определённой категории, что также помогает бороться и с сайтами-однодневками.

Во многих компаниях существует практика предоставления рядовым сотрудникам доступа на основе ограниченного списка доверенных ресурсов. Однако проблема состоит в том, что главные цели фишинговых атак — сотрудники маркетинговой службы и отдела продаж, финансисты, руководители компаний — обычно обладают более широкими привилегиями, необходимыми им для работы.

Для борьбы с сайтами-клонами можно применять следующую стратегию:

  • Использовать сервисы Brand Protection (защиты бренда в цифровой среде), которые проверяют все вновь зарегистрированные домены на схожесть с доменом конкретной организации, а также выполняют автоматическую проверку содержимого таких сайтов.
  • Использовать средства анализа действий, выполняемых сайтом при открытии его в браузере, чтобы бороться с ресурсами, которые отображают разное содержимое в зависимости от определённых параметров сеанса.

Как показали результаты опроса, 58 % зрителей конференции AM Live не предпринимают действий для борьбы с сайтами-клонами и иными фишинговыми ресурсами. Ведут такую работу 42 % опрошенных.

 

Рисунок 5. Боретесь ли вы с сайтами-клонами и иными фишинговыми интернет-ресурсами?

Боретесь ли вы с сайтами-клонами и иными фишинговыми интернет-ресурсами?

 

Нужны ли внешние источники данных для борьбы с фишингом

В заключение беседы эксперты высказали свои мнения о практике использования сторонних потоков данных (фидов) для обогащения систем противодействия фишингу. Как отметили спикеры, сведения от агрегаторов могут принести пользу, однако эффективность такой информации применительно к фишингу невысока, поскольку она очень быстро устаревает. Следует также учитывать, что добавление большого количества индикаторов атаки может привести к росту числа ложных срабатываний.

Ряд организаций обязан использовать фиды поставляемые ГосСОПКА и ФинЦЕРТ; в некоторых случаях эти данные могут помочь защититься от фишинговой атаки, однако эффективность тех сведений, которые содержатся в обновлениях специализированных продуктов, конечно, выше.

Среди наших зрителей только 12 % имеют позитивный опыт использования индикаторов фишинга, поставляемых ГосСОПКА и ФинЦЕРТ. Примерно столько же (15 %) участников проведённого нами опроса считают, что обновления этих баз появляются с большим опозданием. Не используют эти источники для борьбы с фишингом 73 % респондентов.

 

Рисунок 6. У вас есть позитивный опыт получения и использования фидов от ГосСОПКА или ФинЦЕРТ с индикаторами фишинга?

У вас есть позитивный опыт получения и использования фидов от ГосСОПКА или ФинЦЕРТ с индикаторами фишинга?

 

Выводы

Как показала дискуссия, защита от фишинга не должна ограничиваться только встроенными в браузер или почтовый клиент инструментами. Такие средства обеспечивают лишь базовый уровень защиты и чаще всего бессильны против направленных угроз. При этом наложенные решения также не гарантируют полной блокировки всех вредоносных сообщений. Корпоративным пользователям следует уделить внимание внешним ресурсам, которые могут использовать их бренд в качестве приманки, а также подложным сайтам, нацеленным на сотрудников компании.

В любом случае борьба с фишингом требует комплексного подхода, включающего в себя комбинацию технических инструментов (встроенных и наложенных), а также организационные мероприятия — обучение персонала, регламенты, действия по защите бренда в интернете.

Цикл онлайн-конференций AM Live продолжается; вас ждёт ряд прямых эфиров, в ходе которых ведущие эксперты отрасли примут участие в дискуссиях по наиболее актуальным вопросам, связанным с информационной безопасностью. Для того чтобы не пропускать новых выпусков и иметь возможность задать вопросы спикерам, подпишитесь на наш YouTube-канал и включите уведомления о новых публикациях. До встречи в прямом эфире!

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru