ані з електронною поштою
Електронна пошта стала повсякденним інструментом будь-якого співробітника в компанії. Щодня багато хто з нас отримують через корпоративні та приватні поштові системи десятки і навіть сотні електронних листів. При такому потоці кореспонденції неможливо приділити належну увагу кожному листу, та й не рідко, просто притупляється пильність або виникає цікавість, а хто нам написав, або лист з утримання виявляється переконливим, щоб натиснути на посилання всередині нього або вислати певні дані за вказаною адресою. Навіть теми, від незнайомих нам осіб бувають актуальними чи сентиментальними. Наприклад, лист прийшов з банківського агента, в якому заведений особистий рахунок, з проханням підтвердити свої дані.
Зловмисник може відправити співробітнику компанії лист, в якому йдеться про зазначення начальника надіслати йому всі розклади вихідних днів для організації зустрічі, відправивши копію відповіді всім користувачам, включеним в доданий список. Зловмисник може легко включити в цей список зовнішній адресу і підробити ім'я відправника, щоб здавалося, що лист отримано з внутрішнього джерела. Підробити дані особливо легко, якщо у зловмисника є доступ до корпоративної комп'ютерної системі, тому що в цьому випадку йому не можуть перешкодити брандмауери, що захищають периметр мережі. Витік інформації про розклад вихідних днів підрозділи не здається загрозою безпеці, але насправді завдяки цьому зловмисник може дізнатися, хто з працівників компанії і коли буде відсутня на своєму робочому місці. У цей час зловмисник зможе видати себе за відсутнього співробітника з меншим ризиком викриття.
Фішинг - вид онлайнового шахрайства, метою якого є отримання ідентифікаційних даних користувачів за допомогою технік соціальної інженерії, коли користувача хибним листом або повідомленням від тієї чи іншої організації намагаються змусити ввести певні дані на сайті, контрольованому зловмисником. Організатори фішинг-атак розсилають електронні листи від імені популярних брендів, від імені партнерів, телекомунікаційних компаній (нібито оператора зв'язку, послугами якого користується компанія) і вставляють в них посилання на фальшиві сайти. Опинившись на такому сайті, користувачі ризикують повідомити злочинцям інформацію cугубо конфіденційного характеру.
Наприклад, на наступному малюнку (рис. 2.19) показана на перший погляд коректна посилання на сторінку управління обліковим записом веб-вузла компанії Contoso.
Використовуючи фішинг, зловмисник зазвичай діє навмання, просто запитуючи у користувача інформацію. Для додання правдоподібності таких листів зловмисники можуть використовувати в них корпоративні логотипи та шрифти і навіть вказувати реальні безкоштовні телефони служби підтримки, ПІБ реальних співрудніков компаній, від чийого імені проводиться нібито розсилання. Інформація у користувачів часто запитується під приводом надання допомоги з оновленням систем або надання додаткових послуг. Більш просунутою формою фішингу є спрямований фішинг (spear-phishing) - атака, метою якої є конкретний співробітник або група співробітників. Цей підхід набагато складніший, оскільки в цьому випадку зловмисник повинен бути знайомий з особистими і важливими корпоративними даними, щоб його обман виглядав переконливо. Однак і винагороду зловмисника при цьому вище: домігшись успіху, він отримає більш докладні і конкретні відо...
