Вече почти всяка седмица получавам писмо от голяма азиатска авиолиния с информация за „Вашата полетна резервация“. Само че никога не съм летяла с тази авиокомпания. Нямам нищо общо с тях. Вглеждам се в писмото. Логото изглежда легитимно, но имейлът изпращач е някаква невъзможна поредица от букви и съкращения, която дори не мога да повторя без copy+paste. Тези от авиокомпанията знаят ли, че някой се представя за тях? Да им кажа ли? Имат офис в София. Издирвам телефона им и ги набирам…
Така изглежда срещата с фишинга. Някой ни праща писмо, като се представя за другиго. Получаваме послание, изглеждащо като да е от някоя голяма банка, авиокомпания, екип на социална мрежа или електронен магазин. Вътре нещо искат от нас. Например, да се запишем за някаква промоция. Или да „верифицираме“ някакви данни. Или да платим някаква малка такса, за да избегнем някаква голяма глоба. За да ни е лесно, дават и линк. Предлагат ни да отидем там, за да попълним личните си имена, евентуално адрес, евентуално парола, а ако ще плащаме – и номер на кредитна карта. Направим ли го, капанът щраква – в добрия случай се разделяме със своите профили, в лошия – и със своите пари.
Фишингът не е технологична атака. Не е и хакерство. Това е чиста проба социален инженеринг, което звучи авангардно, но всъщност е старо като света – престъпниците се възползват от човешките слабости.
Защо работи фишингът?
„При всички видове атаки от тип „социално инженерство“, към които принадлежи и т. нар. фишинг, измамниците разчитат на няколко неща“, казва Павел Георгиев, специалист по информационна сигурност и заместник-председател на Българската асоциация на сертифицираните етични хакери.
Това включва:
- тенденцията хората да не са наясно с важността на информацията, с която разполагат, и да са небрежни към защитаването й;
- факта, че чисто човешки ни е присъщо да се доверяваме;
- игнориране на възможността да бъдем подложени на кибератака или измамничество;
- страх от тежки загуби (финансови или отказ на достъп до дадена услуга) или санкции;
- чувство за морално задължение – жертвата е помолена за помощ и тя се чувства морално длъжна да я окаже;
- алчност и лакомия.
„Във фишинг имейлите си измамниците използват език, който подтиква към неотложни и спешни действия“, обяснява Георгиев. Например заплашват ни със санкция от НАП и изискват бързо изплащане на някаква сума. В други случаи „заплахата“ е да изтървем някоя небивала промоция, например 60% отстъпка на тенджери или спортни обувки. “Разчитайки, че в натовареното си ежедневие нямаме възможност да отделим достатъчно време, за да проверим легитимността на описаните в писмото твърдения, решаваме първосигнално да последваме изпратения ни линк или да свалим съмнителния файл. Все по-често отваряме електронна си поща от мобилните си устройства – и точно на това разчитат измамниците. По-малките екрани на телефоните и таблетите не ни позволяват да проверим всички индикатори за фишинг в получените писма“, коментира специалистът.
На кого да кажа?
Ако сме получили фишинг писмо от името на някоя фирма или организация, би било добре да й съобщим, разбира се.
„Редно е да информираме оператора на съответната услуга, че сме получили измамен имейл, в който някой се представя за тях“, посочва Георгиев и допълва: „В повечето случаи е необходимо този имейл да бъде запазен като файл и предоставен по предварително обявените от оператора на услугата канали. Така той ще може да предприеме съответни мерки по намаляване на негативния ефект от фишинг атаката върху своите потребители или клиенти“.
Това не винаги е лесна задача. Големите организации като банки и телекоми знаят какво да правят. Но в други фирми може и да не осъзнаят какво им съобщаваме. В случая с авиокомпанията, от която получавам писма за „Вашата полетна резервация“, лицето, на което попаднах при позвъняването, сопнато ми отговори „Ха, ние нямаме нищо общо с това“ и тресна телефона…
Тогава?
Органът, който е редно да знае за подобни явления, е Националният екип за реагиране при инцидент в компютърната сигурност – CERT.bg.
А какво трябва да направи засегнатата фирма?
Фирмата, чието име е използвано във фишинг кампания, рано или късно ще разбере, че с нейния бранд е злоупотребено. Добра идея е да разпрати до всички свои клиенти информационно писмо, че нейното име е било използвано в зловредна кампания, за да знаят да не вярват на всяко нещо, което се представя за идваща от нея комуникация.
Някои големи организации провеждат мащабни информационни кампании, в които показват какви биха били издайническите признаци на фишинг писмата, как да се проверяват, какво да не се прави.
„Но най-сигурният инструмент за справяне с фишинга сме точно ние – хората“, категоричен е Павел Георгиев. „Всеки от нас може да е обект на фишинг атака, затова е изключително важно да можем да различим измамния от легитимния имейл“, подчертава експертът.
Основните му препоръки са следните:
- Проверявайте изпращача на имейла.
- Бъдете подозрителни към общи обръщения от типа: „Dear Customer” или „Уважаеми госпожи и господа“.
- Следете за неправилен изказ или грешки – често измамниците са чужденци и разчитат на машинен превод.
- Бъдете подозрителни към имейли, които изискват спешни и неотложни действия.
- Внимавайте с линковете в имейли. Отваряйте само тези, които очаквате да получите. Винаги може да поставите курсора на мишката върху линка и така да проверите накъде води той.
- Бъдете подозрителни към прикачени файлове, снимки, архиви.
- Бъдете подозрителни към е-писма, които звучат „прекалено добре“.
- Това, че даден имейл изглежда като да e от приятел или колега, не винаги значи, че наистина е бил изпратен от него.
Жертва на фишинга може да стане всеки потребител или компания. Ако получите съобщение от А1, което ви се струва странно, проверете за основните признаци на фишинг и се свържете с А1 чрез официалните канали за обслужване на клиенти – звъннете на *88, пишете на официалните профили на А1 в социалните мрежи или посетете обект на телекома.