Большинство успешных хакерских атак за последнее время – результат целевого фишинга. Механизм этого «нового слова» в сетевом мошенничестве и причины его успешности изучает команда профессора Нью-Йоркского университета Аруна Вишваната. Они утверждают, что самая уязвимая часть любой компьютерной системы – это ее пользователь.
Обыкновенный, сейчас уже уходящий в историю фишинг, как правило, принимал форму легендарных «нигерийских писем». Мошенники старались обманом заставить пользователей предоставить им личную финансовую информацию. Целевой фишинг во многом похож на своего рода предтечу, но намного опаснее. Он убеждают жертв нажать на ссылку или вложение, которое содержит вирус, предоставляющий взломщикам доступ к компьютеру пользователя или даже ко всей корпоративной сети. Вирус распространяется не только в емэйлах, но и через сообщения в социальных сетях, рекламные и новостные баннеры, записывает себя на флешки.
Проблема в том, что мы мало что можем сделать против этих атак. Отчасти потому, что целевой фишинг опирается на социальную инженерию. Эти атаки очень адаптивны и потенциальной жертве иногда очень сложно обнаружить обман. Все существующие технические средства защиты: антивирусы, фаерволы, мониторинг сети – созданы для защиты компьютера и сети от нападений извне. Если злоумышленники проникают в систему при помощи целевого фишинга, они занимают позицию «законных пользователей», и программное обеспечение против них бессильно.
Таким образом, только мы, пользователи, можем защитить свой компьютер и локальную сеть от злоумышленников. Но мы же – самое слабое звено в кибербезопасности.
Цель – человек
Чтобы бороться с целевым фишингом, надо понимать, почему люди попадаются на уловки мошенников. Исследователи обратились к психологии поведения и изучили действия пользователей, чтобы вычислить, какими особенностями пользуются мошенники. Собранная статистика показала, что у сетевой «небезопасности» есть две основные поведенческие причины.
Во-первых, человек – существо энергосберегающее по своей природе. Человеческий разум создает десятки «автопилотов», чтобы получать максимальное количество пользы при минимальном участии мозга в деятельности. Например, вы же не читаете надпись на упаковке, покупая любимые чипсов? Ваш мозг и так знает, что Lays с беконом – это вон те в красной пачке. Психологические «ярлыки» приклеиваются к логотипам, названиям брендов или даже просто фразам типа «Отправлено с устройства Android». Все это мошенники часто включают в свои сообщения. Люди видят логотип своего банка – и их автопилот предполагает, что емэйл именно от него. В результате они не замечают опечаток, странных фраз и вопросов, даже зачастую не проверяют адрес, с которого пришло письмо.
Усугубляет эту проблему подсознательное убеждение большинства людей, что интернет безопасен. Ощущая, что они находятся в безопасной зоне, они не прилагают никаких усилий к исследованию небольших странностей, указывающих на большую проблему.
И это ощущение ложной безопасности характерно не только для интернета в общем. Из-за того, что в заголовках новостей чаще мелькает информация о компьютерных вирусах, многие люди убеждены, что операционные системы смартфонов вирусам в принципе не подвержены. Другие верят, что файлы PDF безопаснее, чем документы Word – как будто к тому файлу, который нельзя редактировать, не может быть привязан вирус. Третьи присваивают статус «домашней сети» бесплатному вайфаю от своего мобильного оператора в кафе, предполагая, что сеть, носящая название «Киевстар», каким-то образом безопаснее других.
Такого рода недоразумения ведут к тому, что некоторые файлы пользователи открывают не глядя и вовсе не задумываются о возможных опасностях, пользуясь определенными устройствами или находясь в любимой сети. Все это заметно повышает риск инфицирования.
Привычка – враг безопасности
Второй фактор заключается в том, что люди привыкли к сетевым технологиям. В наше время большинство использует мейлы, соцсети и сообщения так часто, что это становится привычнее разговора. Если спросить человека, который каждый день ездит на работу одним и тем же маршрутом, сколько раз он сегодня остановился на светофоре, он вряд ли сумеет ответить. Точно так же привыкший к виртуальности человек не запоминает, какие письма он открывал, на какие ссылки или вложения кликал. Сколько раз вы проверяли новые сообщения на прогулке? За обедом? Во время разговора? Хуже, за рулем? Невнимательность на дороге может привести к ДТП. Невнимательность в сети – к тому, что вы перейдете по зараженной ссылке, даже не заметив этого.
Некоторые организации пытаются бороться с технологическим разгильдяйством, моделируя фишинговые атаки и штрафуя тех сотрудников, которые попадаются. Но и это не очень эффективный метод, ведь от штрафа поведение человека не меняется, а значит, проблема остается там же.
А что делать-то?
Единственный способ бороться с такими проблемами – понять их суть и изменить поведение. Правила безопасности просты и известны, осталось начать их применять. В первую очередь, стоит присмотреться к своим действиям и понять, какие опасные действия вы совершаете. Кликаете по ссылкам, не глядя? Считаете, что «вирусов для Андроида не существует»? Просматриваете почту за обедом, одним глазом смотря "Игру Престолов"?
Если вы занимаетесь вопросами безопасности – «тренировочные» атаки, на самом деле, достаточно полезный способ. Но его следует применять правильно. Не просто делить сотрудников на тех, кто почувствовал подвох, и тех, кто попался. Обязательно нужно донести до вторых суть их ошибок и то, как не совершать их в будущем. Еще можно узнать, как именно определили опасность те, кто прошел проверку. Возможно, из этого вам удастся почерпнуть полезные идеи.