На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

 

Как защититься от фишинговых атак

 

 

Павел Головлев
Начальник управления безопасности
информационных технологий ОАО “СМП Банк"
Itsec.Ru

 

Еще в 2007 г. компания IBM опубликовала 70-страничный документ, не потерявший актуальности до сегодняшнего дня: “Руководство по фишингу: понимание и предотвращение фишинговых атак" [1] . Огромное количество материала, посвященного этой проблеме, можно найти в Сети, просто погуглив по слову “фишинг". Здесь я постараюсь дать краткий обзор моментов, на которые необходимо обратить внимание.

В чем тут суть?

Суть фишинга и его производных (вишинга, вэйлинга и пр.) состоит в так называемой социальной инженерии и при этом целью атаки является не компьютер, а человек, сидящий за ним. Даже если действия осуществляются по взлому программ, информация, необходимая злоумышленнику, извлекается не из "мозгов" компьютера, а из мозга человека.

Не заставляйте меня думать!

Задача "социального инженера" состоит в том, чтобы заставить пользователя компьютера (смартфона, планшета и даже банкомата) добровольно совершить некое действие или сообщить ту информацию, которую необходимо хранить в тайне. В этом плане их деятельность схожа с деятельностью различных гадалок, наперсточников и прочих "воров на доверии" из офлайновой жизни.

Квинтэссенция питательной среды, на которой расцветает этот вид мошенничества, отражена в названии книги одного из столпов Web-дизайна, Стивена Круга: "Не заставляйте меня думать!". Различные технологические ухищрения, предназначенные для того, чтобы облегчить жизнь простому пользователю и "сделать ему красиво", вкупе с объективными недочетами программистов и дизайнеров оставляют огромное количество лазеек для злоумышленников, что позволяет последним добиться своей цели и постоянно совершенствоваться в методах ее достижения. При этом наблюдается постоянный рост сложности подобных атак и тенденция к переходу от "стрельбы по площадям" к целевым атакам за счет использования информации, полученной из социальных сетей.

Доверяй, но проверяй

Для того чтобы снизить вероятность попадания на удочку, необходимо помнить старую поговорку: на заборе много чего пишут, а за ним дрова лежат. Любое предложение о предоставлении чувствительной информации необходимо внимательно и критично проверять, помня о том, что бесплатный сыр бывает только в мышеловке. В первую очередь необходимо всегда быть уверенным в том, с кем вы общаетесь. По возможности проверять полученную информацию по другому каналу связи. Понимать, что в реальной жизни практически никогда нет никакой реальной срочности в том, чтобы сделать что-то прямо здесь и сейчас, как вас пытаются заставить.

В помощь утопающим

Несмотря на то что спасение утопающих – дело рук самих утопающих, владельцы вышеупомянутых "заборов" тоже могут приложить определенные усилия для защиты своих клиентов/пользователей. Вовлечение информационного ресурса организации в фишинговые атаки может нанести серьезный ущерб бренду.

Кстати! Жертвой фишинга можно стать, вообще не имея компьютера. Достаточно осуществить платеж по поддельной коммунальной квитанции, обнаруженной в почтовом ящике, или отдав деньги по телефонному звонку "об участии в аварии".

Необходимо проводить мероприятия по недопущению несанкционированной модификации информационных ресурсов, проводить проверку размещаемой/рассылаемой информации, взаимодействовать с различными организациями, которые осуществляют мониторинг Сети на предмет выявления поддельных сайтов и помогают блокировать фишинговые ресурсы. Обеспечивать возможность дополнительной идентификации подлинного ресурса для пользователей. И никогда не останавливаться на достигнутом.

___________________________________________
1 http://www-935.ibm.com/services/us/iss/pdf/phishing-guide-wp.pdf.

 

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2014

 

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru