От:
Subject: Message from human resources
Дата: 13 апреля 2017 Время: 21:29:54
Кому: XXXXX@berkeley.edu
Уважаемый XXXXX@berkeley.edu
Информационное письмо направлено HR-отделом.
Пройдите по этой ссылке, чтобы авторизоваться и просмотреть документ. Спасибо!
Калифорнийский университет в Беркли, HR-отдел.
© 2017. Попечительский совет Калифорнийского университета. Все права защищены.
__________
Уведомление о конфиденциальности: это сообщение и все вложенные файлы могут содержать охраняемую законом конфиденциальную информацию, предназначенную исключительно для использования физическими и юридическими лицами, которым оно адресовано. Если вы не относитесь к числу предполагаемых получателей, пожалуйста, удалите сообщение со всеми вложениями. Дальнейшее использование, копирование, раскрытие информации и ее распространение, а также ссылки на содержание письма и вложенных файлов строго запрещены.
Письмо кажется настоящим. Просьба авторизоваться для просмотра документа не вызывает подозрений: это стандартная практика для многих организаций, особенно при работе с конфиденциальной информацией. Отдел IT-безопасности университета Беркли в данном случае порекомендовал проверять достоверность ссылки, прежде чем переходить по ней. Наведите на нее курсор, и внизу экрана появится адрес веб-сайта. Затем нужно убедиться, что ссылка действительно ведет на страницу HR-отдела, а не на ресурс мошенников.
Такой совет одобрило бы большинство экспертов по кибербезопасности, но есть два нюанса. Во-первых, просмотр рабочих писем – рутина, с которой часто хочется покончить побыстрее. Многие решат, что наведение курсора на ссылку, изучение и проверка веб-адреса займут слишком много времени. Во-вторых, далеко не каждый рядовой пользователь сумеет проверить достоверность веб-адреса. Компания не может вменять это сотрудникам в обязанность.
Обучение основам безопасности
Это распространенный способ снизить риски фишинговых атак и внедрения вредоносного ПО в корпоративные компьютерные сети. Однако даже сотрудники компаний, специализирующихся на кибербезопасности, не могут похвастаться блестящими результатами подобных тренингов. Компания Intel Security (в прошлом McAfee) протестировала 19 000 человек в 140 странах, и только 3 % из них выявили все фишинговые имейлы в выборке из десяти сообщений, а 80 % не нашли ни одного[3]. Никакое обучение основам безопасности не решит эту проблему: достаточно одному сотруднику кликнуть на вредоносную ссылку или зараженное вложение, чтобы фишинговая атака достигла своей цели.
Отстрел на подлете
Еще один инструмент борьбы с фишингом – современные технологии, предназначенные для выявления вредоносного ПО заранее, на этапе установки. Но как гарантированно поймать всех воров и шпионов? Первоначально здесь помогало составление списка сигнатур, то есть своего рода отпечатков пальцев известных образцов вредоносных программ, и их сравнение. Новая программа не прошла проверку на «отпечатки пальцев»? Система безопасности блокирует запуск. Продвинутые антивирусы принимают во внимание также дополнительные характеристики, в том числе поведение потенциально вредоносного ПО. Однако проблема остается, и разработчики антивирусов пытаются своевременно обновлять свои продукты, не отставая от ухищрений хакеров.
В конце 2017 года компания Malwarebytes, специализирующаяся на антивирусном ПО, проанализировала уровень кибербезопасности почти на 10 млн компьютеров. Выяснилось, что даже самые совершенные антивирусы не смогли выявить почти 60 % участвовавших в эксперименте вредоносных программ