Это руководство является результатом совместных усилий Агентства кибербезопасности и безопасности инфраструктуры (CISA), Агентства национальной безопасности (NSA), Федерального бюро расследований (ФБР) и Межгосударственного центра обмена информацией и анализа (MS-ISAC) по усилению защиты от подобных угроз.

Фишинг – это кибератака, которая использует обман, чтобы заставить людей выдать конфиденциальную информацию или предпринять действия, ставящие под угрозу безопасность.

Фишинг часто является первым этапом более масштабной атаки, которая может привести к утечке данных, заражению программами-вымогателями, краже личных данных и другим серьезным последствиям.

Фишинг с целью получения учетных данных

Это фишинговая атака, при которой хакеры притворяются кем-то, кому вы доверяете, и просят вас предоставить свои учетные данные для входа, которые затем они могут использовать для доступа к вашим системам или ресурсам.

Как они это делают

Отправка электронных писем, которые выглядят так, будто они исходят от вашего начальника, коллеги или ИТ-персонала.
Использование текстовых сообщений или платформ чатов для обмана с целью получения ваших учетных данных для входа.
Использование интернет-телефонных сервисов для подделки идентификаторов вызывающего абонента заставляет вас думать, что он звонит с законного номера.

Как это остановить

Обучите себя и других тому, как обнаруживать подозрительные электронные письма и сообщать о них.
Используйте аутентификацию сообщений, отчетность и соответствие требованиям на основе домена (DMARC) для электронных писем.
Установите DMARC в положение “отклонять” исходящие электронные письма.
Следите за внутренней электронной почтой и трафиком обмена сообщениями.
Используйте строгую многофакторную аутентификацию (MFA) для своих учетных данных.
Проверьте настройки блокировки МИД и оповещений.
Используйте единый вход (SSO) для централизованного входа в систему.

Фишинг с использованием вредоносного ПО

Это фишинговая атака, при которой хакеры выдают себя за надежный источник и заставляют вас взаимодействовать с вредоносными ссылками или вложениями электронной почты, которые могут запускать вредоносное ПО на ваших устройствах.

Как они это делают

Отправка ссылок или вложений, которые заставляют вас загружать вредоносное ПО.
Использование приложений для смартфонов и текстовых сообщений для доставки вредоносного контента.

Как это остановить

Используйте списки отказов в шлюзе электронной почты и правила брандмауэра, чтобы блокировать доставку вредоносного ПО.
Не предоставляйте пользователям административных прав.
Применяйте принцип наименьших привилегий (PoLP).
Используйте списки разрешенных приложений.
Отключите макросы по умолчанию.
Используйте решения для удаленной изоляции браузера.
Используйте защитные распознаватели DNS.

Реагирование и сообщение об инцидентах

Если вы столкнулись с фишинговым инцидентом, вам следует предпринять шаги по сбросу скомпрометированных учетных записей, изоляции затронутых устройств, анализу и удалению вредоносных программ и восстановлению нормальной работы.

Сообщение о любой фишинговой активности соответствующим органам важно для выявления и смягчения новых угроз.

Фишинговые атаки представляют собой серьезную угрозу, но при наличии эффективного обучения, мер безопасности и процедур реагирования на инциденты вы можете значительно снизить риск стать жертвой этих атак.