В чем тут суть?
Суть фишинга и его производных (вишинга, вэйлинга и пр.) состоит в так называемой социальной инженерии и при этом целью атаки является не компьютер, а человек, сидящий за ним. Даже если действия осуществляются по взлому программ, информация, необходимая злоумышленнику, извлекается не из "мозгов" компьютера, а из мозга человека.
Не заставляйте меня думать!
Задача "социального инженера" состоит в том, чтобы заставить пользователя компьютера (смартфона, планшета и даже банкомата) добровольно совершить некое действие или сообщить ту информацию, которую необходимо хранить в тайне. В этом плане их деятельность схожа с деятельностью различных гадалок, наперсточников и прочих "воров на доверии" из офлайновой жизни.
Квинтэссенция питательной среды, на которой расцветает этот вид мошенничества, отражена в названии книги одного из столпов Web-дизайна, Стивена Круга: "Не заставляйте меня думать!". Различные технологические ухищрения, предназначенные для того, чтобы облегчить жизнь простому пользователю и "сделать ему красиво", вкупе с объективными недочетами программистов и дизайнеров оставляют огромное количество лазеек для злоумышленников, что позволяет последним добиться своей цели и постоянно совершенствоваться в методах ее достижения. При этом наблюдается постоянный рост сложности подобных атак и тенденция к переходу от "стрельбы по площадям" к целевым атакам за счет использования информации, полученной из социальных сетей.
Доверяй, но проверяй
Для того чтобы снизить вероятность попадания на удочку, необходимо помнить старую поговорку: на заборе много чего пишут, а за ним дрова лежат. Любое предложение о предоставлении чувствительной информации необходимо внимательно и критично проверять, помня о том, что бесплатный сыр бывает только в мышеловке. В первую очередь необходимо всегда быть уверенным в том, с кем вы общаетесь. По возможности проверять полученную информацию по другому каналу связи. Понимать, что в реальной жизни практически никогда нет никакой реальной срочности в том, чтобы сделать что-то прямо здесь и сейчас, как вас пытаются заставить.
В помощь утопающим
Несмотря на то что спасение утопающих – дело рук самих утопающих, владельцы вышеупомянутых "заборов" тоже могут приложить определенные усилия для защиты своих клиентов/пользователей. Вовлечение информационного ресурса организации в фишинговые атаки может нанести серьезный ущерб бренду.
Кстати! Жертвой фишинга можно стать, вообще не имея компьютера. Достаточно осуществить платеж по поддельной коммунальной квитанции, обнаруженной в почтовом ящике, или отдав деньги по телефонному звонку "об участии в аварии".
Необходимо проводить мероприятия по недопущению несанкционированной модификации информационных ресурсов, проводить проверку размещаемой/рассылаемой информации, взаимодействовать с различными организациями, которые осуществляют мониторинг Сети на предмет выявления поддельных сайтов и помогают блокировать фишинговые ресурсы. Обеспечивать возможность дополнительной идентификации подлинного ресурса для пользователей. И никогда не останавливаться на достигнутом.
___________________________________________
1 http://www-935.ibm.com/services/us/iss/pdf/phishing-guide-wp.pdf.
