Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как защититься от фишинговых атак

Как защититься от фишинговых атак

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Как защититься от фишинговых атак

Еще в 2007 г. компания IBM опубликовала 70-страничный документ, не потерявший актуальности до сегодняшнего дня: “Руководство по фишингу: понимание и предотвращение фишинговых атак"1. Огромное количество материала, посвященного этой проблеме, можно найти в Сети, просто погуглив по слову “фишинг". Здесь я постараюсь дать краткий обзор моментов, на которые необходимо обратить внимание.
Павел Головлев
Начальник управления безопасности
информационных технологий ОАО “СМП Банк"

В чем тут суть?

Суть фишинга и его производных (вишинга, вэйлинга и пр.) состоит в так называемой социальной инженерии и при этом целью атаки является не компьютер, а человек, сидящий за ним. Даже если действия осуществляются по взлому программ, информация, необходимая злоумышленнику, извлекается не из "мозгов" компьютера, а из мозга человека.


Не заставляйте меня думать!

Задача "социального инженера" состоит в том, чтобы заставить пользователя компьютера (смартфона, планшета и даже банкомата) добровольно совершить некое действие или сообщить ту информацию, которую необходимо хранить в тайне. В этом плане их деятельность схожа с деятельностью различных гадалок, наперсточников и прочих "воров на доверии" из офлайновой жизни.

Квинтэссенция питательной среды, на которой расцветает этот вид мошенничества, отражена в названии книги одного из столпов Web-дизайна, Стивена Круга: "Не заставляйте меня думать!". Различные технологические ухищрения, предназначенные для того, чтобы облегчить жизнь простому пользователю и "сделать ему красиво", вкупе с объективными недочетами программистов и дизайнеров оставляют огромное количество лазеек для злоумышленников, что позволяет последним добиться своей цели и постоянно совершенствоваться в методах ее достижения. При этом наблюдается постоянный рост сложности подобных атак и тенденция к переходу от "стрельбы по площадям" к целевым атакам за счет использования информации, полученной из социальных сетей.

Доверяй, но проверяй

Для того чтобы снизить вероятность попадания на удочку, необходимо помнить старую поговорку: на заборе много чего пишут, а за ним дрова лежат. Любое предложение о предоставлении чувствительной информации необходимо внимательно и критично проверять, помня о том, что бесплатный сыр бывает только в мышеловке. В первую очередь необходимо всегда быть уверенным в том, с кем вы общаетесь. По возможности проверять полученную информацию по другому каналу связи. Понимать, что в реальной жизни практически никогда нет никакой реальной срочности в том, чтобы сделать что-то прямо здесь и сейчас, как вас пытаются заставить.


В помощь утопающим

Несмотря на то что спасение утопающих – дело рук самих утопающих, владельцы вышеупомянутых "заборов" тоже могут приложить определенные усилия для защиты своих клиентов/пользователей. Вовлечение информационного ресурса организации в фишинговые атаки может нанести серьезный ущерб бренду.

Кстати!Жертвой фишинга можно стать, вообще не имея компьютера. Достаточно осуществить платеж по поддельной коммунальной квитанции, обнаруженной в почтовом ящике, или отдав деньги по телефонному звонку "об участии в аварии".

Необходимо проводить мероприятия по недопущению несанкционированной модификации информационных ресурсов, проводить проверку размещаемой/рассылаемой информации, взаимодействовать с различными организациями, которые осуществляют мониторинг Сети на предмет выявления поддельных сайтов и помогают блокировать фишинговые ресурсы. Обеспечивать возможность дополнительной идентификации подлинного ресурса для пользователей. И никогда не останавливаться на достигнутом.

___________________________________________
1 http://www-935.ibm.com/services/us/iss/pdf/phishing-guide-wp.pdf.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2014
Посещений: 6825

Приобрести этот номер или подписаться
  Автор

 

Павел Головлев

начальник управления безопасности
информационных технологий ОАО "СМП Банк"

Всего статей:  3

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций