Фишинговые электронные письма. Как распознать?

08 октября 2021

Речь пойдет о безопасности электронной почты – популярного инструмента для обмена информацией.

По разным данным от 50 до 95% всех электронных писем – спам-сообщения. Большинство таких сообщений состоят из ссылок на фишинговые сайты или сайты, на которых размещено вредоносное ПО.  Цель таких писем – кража личных данных, заражение компьютера вирусом, получение финансовой выгоды.

Что такое «фишинг»? Какую цель преследует? Как распознать действия мошенников? Какие домены используют злоумышленники? Как не стать жертвой e-mail мошенников? Какие действия с подозрительным электронным письмом считаются опасными?

Ответы на эти и другие вопросы – в информационной статье, подготовленной специалистами Группы компаний РСТБ.

Цифры и факты

По данным Symantec, каждое двухтысячное письмо является фишинговым, а это значит, что ежедневно совершается порядка 135 миллионов атак.

Так, из миллионов электронных писем, проанализированных компанией Cofense PDC в 2020 году, 57% были фишингом, направленным на кражу  учетных данных; 12% содержали вредоносные вложения; 6% – компрометация деловой почты или мошенничество, направленное на топ-менеджеров организации; 45% кражи учетных данных были нацелены на сервисы Microsoft; 17% были посвящены финансам; 9,3% сообщений из отправленных пользователями на анализ, были реальной атакой; 38% содержали только URL-рассылку; 36% содержали вложения; в 255 000 вредоносных писем обнаружено около 100 уникальных семейств вредоносных программ.

Ловись, рыбка, большая и маленькая!

Что общего в киберпреступлении и рыбной ловле? Конечно, результат! Рыбак получает рыбу, интернет-мошенник выуживает конфиденциальную информацию у пользователей.

 Термин «фишинг» происходит от английского слова «phishing» (рыбачить, выуживать рыбу). Фишинг – это вид интернет–мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей (логинам и паролям). Цель – обманным путем заставить пользователей совершить действия: скачать зараженное вложение или нажать на вредоносную ссылку.

Злоумышленники постоянно совершенствуют методы, которые они применяют в своей «работе». Сценариев мошеннических схем и «крючков» – множество. В их числе – использование доменов госорганов, маскировка под известные бренды, предложения пройти опрос от имени популярных интернет – ресурсов и магазинов; заманивание крупными денежными суммами, призами, выигрышами; вовлечение в распространение фейковых сообщений и др.

«Кто владеет информацией – тот владеет миром». Крылатая фраза актуальна как никогда в современных реалиях. Мошенники используют информацию в корыстных целях. Их действия в интернет – пространстве направлены на получение конфиденциальной информации. В их арсенале –великое множество методов и техник завоевания доверия. В их числе – социальный инжиниринг. Самый популярный среди инструментов социальной инженерии – фишинг. Мошенники – хорошие психологи. С помощью психологических навыков они выуживают у жертвы конфиденциальную информацию», – отметил Юрий Пузанов, директор по маркетингу Группы компаний РСТБ.

Предупрежден – значит вооружен!

Средства массовой информации, специалисты по информационной безопасности, производители программного обеспечения для защиты от вирусов, правоохранительные органы регулярно напоминают пользователям, чего следует остерегаться в почтовой переписке.

Так, в июле текущего года россиян предупредили  о новой уловке мошенников – использовании доменов государственных органов для фишинговых рассылок с вредоносным содержимым. Об этом «РИА Новости» предупредила администрация сети RSNet (Russian State Network, сегмент интернета для российских органов власти).

30 сентября 2021 года эксперты «Лаборатории Касперского» сообщили о вредоносной рассылке от имени ФНС. В ночь на четверг 30 сентября проводилась массовая рассылка фишинговых писем с вирусом «от имени одного из финансовых регуляторов», – говорится в сообщении «Лаборатории Касперского». По данным компании, в письме содержится вредоносный архив весом около 20 мегабайт. В «Лаборатории Касперского» зафиксировали более 11 тыс. попыток запуска вложения в письме.

Какие действия с электронным письмом считаются опасными?

Опасными считаются следующие действия: открытие вложения, переход по ссылке, установка приложения, отправка денежных средств, отправка персональных данных; переход по ссылке с последующей регистрацией (вводом логина и пароля).

Признаки фишинговых писем

– Незнакомый доменный адрес с нагромождением цифр и букв.

– Появление доменов второго уровня в почтовом адресе отправителя. (находится сразу перед .com, .ru и т.д.). Пример: noreply@gosuslugi.gov.ru (неправильный адрес),  noreply@gosuslugi.ru (правильный адрес).

– Безличное обращение. В фишинговых электронных письмах к получателю обращаются как к «клиенту» или «пользователю». Пример: Уважаемый пользователь, Dear friend, Уважаемый клиент, Дорогой друг и др.

– Наличие приложенных к письму вложений (zip, DOC, PDF, js и др.).

 – Наличие ссылок в тексте для входа с призывом ввести пароль, логин.

– Подозрительная ссылка (часто сокращаются с помощью bit.l u или аналогичной службы).

– Ошибки, опечатки, необычные символы в тексе письма.

– Незначительное изменение названия популярных брендов. Мошенники выдают себя за официальных представителей известных компаний. При этом пишут не с корпоративной почты, а с общих почтовых доменов mail.ru, gmail.com и др.

– Возможные темы для захвата почтовых учетных записей gmail.com, mail.ru и др.: «с вашего ящика рассылают спам», «недоставленное сообщение», «пора увеличить объем», «срочно сменить пароль», «ваша почта будет заблокирована» и др.

– Наличие психологических триггеров. Тема, контент сообщения, названия файлов побуждают получателя к немедленному действию (к переходу по ссылке, к открытию файла, к ответу на письмо). Злоумышленники играют на эмоциях, чувствах, рефлексах, страхах, используя методы и приемы, относящиеся к области социальной инженерии. Перечислим популярные. 1. Жалость, желание помочь (Цель – заставить пользователя перевести деньги на «благотворительность»). 2. Срочность (окончание акции), 3. Авторитетность (письмо от руководства или органов государственной власти), 4. Запугивание (сообщение о внезапной блокировке или последнее предупреждение). 5.Шантаж (обычно такие письма начинаются с фразы: «Здравствуйте! У меня для вас плохие новости!». Письмо содержит прямой шантаж и требование заплатить деньги за молчание о якобы компрометирующей пользователя информации).

– Подпись в конце письма. Часто является безличной, отсутствует контактная информация.

Как не попасть на крючок?

Лучшая защита от фишинговых электронных писем – знания. Главное – быть готовым распознать признаки фишинга. Вот несколько советов о том, как не попасть на крючок злоумышленников и не стать жертвой фишинга.

  1. Не теряйте бдительность. Внимательно проверьте имя и домен, с которого отправлено     электронное письмо.

  2. Проверьте наличие грамматических, орфографических ошибок в тексте сообщения.

  3. Не открывайте вложения (приложенные документы) и не загружайте подозрительные   ссылки.

  4. Не сообщайте свои учетные данные.

  5. Используйте сервисы проверки на вирусы. Например, Virus.Total.com – бесплатная     служба, анализирующая подозрительные файлы и ссылки на наличие вирусов.

Специалисты «Лаборатории Касперского» предлагают следующий алгоритм действий, если фишинговое письмо обнаружено в почтовом ящике: удалить письмо, не открывая его; вручную заблокировать отправителя (при условии, если почтовый клиент позволяет это сделать).