Антифишинг что это касперский

Обновлено: 05.07.2024

В случае клонового и мобильного фишинга подготовительный этап несколько отличается как от адресного фишинга, так и между этими двумя вариантами. Клоновый фишинг не имеет направленности на определенную жертву. Он направлен на широкую аудиторию пользователей. Суть состоит в том, что злоумышленники берут за основу реальное письмо известной компании, банка и т.д., заменяют в нем оригинальные ссылки на ложные, которые переводят на ложный сайт или содержат вредоносное ПО.

При использовании фарминга злоумышленники готовят поддельный сайт, неотличимый от оригинала, на который через редирект перенаправляют пользователя.

Если вы когда-то сталкивались с тем, что после авторизации в онлайн-банке вам приходило уведомление о том, что ваш счет скомпрометирован, а его состояние равнялось нулю, то вы стали жертвой фарминга.

Поэтому, чтобы избежать вышеописанных случаев, необходимо улучшить антифишинговую защиту компаний, повысив уровень знаний в сфере информационной безопасности сотрудников предприятий разных сегментов бизнеса.

Антифишинг — это программы защиты от фишинга.

Различают следующие виды антифишинга:

Персональный антифишинг – это программы для защиты от фишинга. Принцип его работы заключается в следующем: браузер, установленный на ПК или на смартфоне, оповещает пользователя о том, что он попал на подозрительный сайт, созданный для реализации целей мошенников: сбор логинов и паролей к платежным системам, интернет-банкингам, банковским картам и т.д. Все современные антивирусные программы и интернет-браузеры содержат функцию антифишинга. Эти программы автоматически проверяют и блокируют ссылки на известные сомнительные сайты, предупреждают о входе на подозрительные страницы. Функция антифишинга определяет подлинность сайта и тем самым обеспечивает безопасное использование интернета пользователем. Так же мобильные операционные системы проверяют и загружаемые приложении на наличие вредоносного ПО.

Как работает защита от фишинга
и вредоносных программ?

Защита от фишинга и вредоносных программ проверяет сайты, которые вы посещаете, помогает определить поддельный сайт или нет и наличие на нем вирусного ПО. Так же при загрузке какого-либо файла с поддельного сайта, браузер ее отменяет. После этого он спрашивает пользователя хочет ли он загрузить подозрительный файл.

Также перед установкой любой программы, если она издана неизвестным лицом или источником, операционная система спрашивает у пользователя хочет ли он установить данную программу. Чтобы исключить риск вышеописанных ситуаций сотрудников компании необходимо рассказывать основы антифишинга,обучая их на специализированных платформах.

Антифишинговые платформы
Обучение сотрудников антифишингу

В мире существует множество платформ для обучения сотрудников информационной безопасности. На них можно обучить кибербезопасности персонал компании. Это позволит минимизировать риск незаконной кражи конфиденциальной информации и финансовых средств, нарушения работы IT-инфраструктуры и минимизировать ущерб репутации компании.

Общие возможности платформ:

• Обучение в формате курсов и тестов.
  
• Имитация фишинговых атак с целью проверки и закрепления навыков сотрудников.
  
• Различные виды отчетов: рейтинги сотрудников, подразделений, всей организации; статистика действий; данные по уязвимостям программного обеспечения, используемого на рабочем компьютере сотрудника.
  

• Регулярная оценка и обучение сотрудников.

Необходимый элемент программы — отработка приобретенных навыков. Она проходит в «боевых условиях» — на рабочем месте в почтовой системе, установленной на предприятии. Для реализации данной системы обучения в рамках компании нужно предварительно подготовить инфраструктуру.

Далее необходимо настроить получение отчета о небезопасных действиях сотрудников. Суть состоит в том, чтобы отслеживать, какие пользователи открыли письмо и перешли по вредоносной ссылке, а какие открыли вложение. Важно отслеживать действия пользователей, которые необходимы мошенникам при отправке вредоносных вложений.

После реализации технической части, необходимо организовать правильное наполнение контентом шаблонов писем. Администраторы системы отслеживают примеры цифровых атак и моделируют тренировочные атаки в соответствии с реальными примерами. В данном случае, учебная среда будет приближена к реальности.

Подводя итоги, для каждой компании необходимо иметь свою антифишинговую систему и повышать киберграмотность своих сотрудников. Это позволит в будущем исключить потерю информации, финансовый и репутационный ущерб компаний.

C помощью эксперта «Лаборатории Касперского» разбираемся, какой набор инструментов должен иметь в своем арсенале современный специалист по ИБ. От каких угроз и с помощью каких технологий надо защищаться. Говорим о тенденциях в сфере ИБ, о механизмах работы некоторых продуктов «Лаборатории Касперского» и немного заглядываем в будущее.

Сегодня массовые атаки и различные «выбросы» в сеть уже воспринимаются как нечто обыденное, а купить вредонос в DarkNet или заказать DDOS можно недорого и без особых проблем. Как итог — появляются примеры, как школьники, заплатив небольшие деньги, «дидосят» электронный дневник.

С другой стороны, киберпреступники стали более избирательными и всесторонне исследуют цель, прежде чем целенаправленно атаковать ее.

У «Лаборатории Касперского» есть статистика: с 1986 по 2016 годы было разработано около 1 млн зловредов. За последние два года ситуация изменилась: еженедельно в базах фиксируется 2 млн новых зловредов массового поражения, которые выбрасываются в сеть.

Какие же инструменты приходят на помощь специалистам по безопасности, когда вариант «лучшая защита — это нападение» не уместен?

Капитанская вещь, но: для защиты рабочей станции как минимум необходимо использовать всем давно знакомый антивирус. Впрочем, благодаря политике Microsoft, он сейчас есть на каждой машине с Windows. В пик роста кибератак и удивительной находчивости хакеров многие считают, что антивирус работает лишь как плацебо: поставил его на машину и спи себе спокойно.

Ну а если какая-то зловреда таки просочится через такую «лжезащиту», восстановим машину из бэкапа у хороших админов он же всегда есть , поругаем создателя антивируса, еще пару дней плохого настроения от воспоминаний, и все проблемы уйдут. Правда, бывают случаи, когда зараженная машина наносит заметный ущерб коммерческой деятельности.

На сегодняшний момент классический антивирус, который сигнатурно проверяет файлы, действительно не эффективен. Злоумышленники стали активнее и умнее. Поэтому для защиты рабочих станций нужно использовать продукт, совмещающий в себе как классический антивирус, так и разнообразные варианты поиска вредоноса, например, по поведению.

Не стоит забывать о таких важных вещах, как мониторинг уязвимости в программах на всех машинах предприятия, антивирусные проверки файлов в оперативной памяти и на флешках, проверку почтового и веб-трафика.

Кроме того, очень полезна централизованная консоль управления, где можно мониторить все машины компании, видеть угрозы, вести статистику и выполнять задачи удаленного администрирования. Она просто необходима для распределенных организаций. У многих компаний есть соответствующие решения. В той же «Лаборатории Касперского» оно называется Kaspersky Endpoint Security для бизнеса.

Многие организации переводят свои мощности на виртуальные машины. В данном случае виртуальную среду тоже необходимо как-то защищать. Можно, конечно, поставить защиту на каждую такую машину, но так как обычно виртуалкам выделяется мало ресурсов, то хорошо бы строить защиту виртуальный среды с отдельной виртуальной машины. Выделенная машина обрабатывает все данные, а на рабочие виртуалки устанавливаться только агент, который не дает большой нагрузки.

Можно также использовать агентское решение, доступное только для VMware. В этом случае агент не устанавливается на виртуальную машину, а осуществляет защиту и проверяет машины на наличие угроз через гипервизор. Именно такая схема реализована в том же Kaspersky Security для виртуальных и облачных сред.

Все большую популярность набирают гибридные инфраструктуры: когда часть серверов в облаке и часть на земле. Для построения такой инфраструктуры можно использовать Microsoft Azure. Что касается защиты, то у «Лаборатории Касперского» есть подходящее решение — Kaspersky Cloud Security.

Я тучка, тучка, тучка, я вовсе не 0LzQtdC00LLQtdC00Yw=

Шифрование — важная часть информационной безопасности. Сотрудники компании для мобильности часто используют ноутбуки, которые можно потерять и легко украсть. Поэтому для защиты конфиденциальных данных необходимо шифровать не только конечные устройства, но и дисковое пространство, а также почтовый и веб-трафик, каналы связи. Для шифрования трафика можно использовать продукты от Cisco, OpenVPN, VipNet, Континента. У «Лаборатории Касперского» на этот случай есть Kaspersky Secure Mail Gateway, который помимо защитных функций (антивирус/антиспам/антифишинг), позволяет шифровать почтовый трафик и принимать только шифрованный трафик с валидным сертификатом.

Если злоумышленник пробрался во внутрь сети и на 443-й повесил ssh, а потом пошел на другую машину и с нее хочет подключится и выполнить вредоносные действия, то у него ничего не выйдет. В случае использования классического firewall — по 443 порту можно делать все, что хотите. В качестве open source варианта для создания firewall можно рассмотреть pfSense, который, кроме основных функций, предоставляет возможности по маршрутизации и балансировке трафика.

DDOS — штука неприятная. К тому же если конкуренты решили вывести ваш сайт из строя в самое неподходящее время, то атака может вылиться в большие потери.

Есть второй вариант работы, когда «Лаборатория Касперского», через средства мониторинга, контролирует назревающую DDoS-атаку и сообщает о ней заказчику, а заказчик принимает решение прогонять свой трафик в данный момент через центры очистки или нет.

В принципе, все названные выше решения позволяют защититься от 99% вредоносов, но всегда остается 1%, не значащийся в сигнатурных базах и созданный для одной конкретной атаки, которая может нанести большой ущерб. В той же «Лаборатории Касперского» разработали Kaspersky Anti Target Attack Platform. Это решение принимает на себя SPAN-трафик, который подается сетевому оборудованию, почтовый трафик, трафик с рабочих мест. Внутри платформы установлен антивирусный движок, который проверяет весь этот трафик и выдает антивирусные детекты. SPAN-трафик, в свою очередь, компонентом IDS проверяется на наличие аномалий в сетевом трафике.

Еще один компонент платформы — песочница — изолированная среда, в которой запускаются файлы и анализируется их поведение.

Если в песочницу попадает вирус, то он обычно скачивает свои дополнительные модули с командного центра, а платформа, проанализировав его поведение и сетевые взаимодействия, признает его вредоносным.

Фишинг-атаки можно назвать преступлением XXI века. Средства массовой информации ежедневно публикуют списки организаций, чьи клиенты подверглись фишинговым атакам. Средства phishing-мошенничества с каждым днем продолжают расти не только количественно, но и качественно. В то время как спам только отвлекает получателей от работы, фишинг зачастую ведет к реальным финансовым потерям. Угроза вполне серьезная, так почему же люди до сих пор не научились ее избегать?

Почему фишинг работает?

Есть масса способов сыграть на доверии пользователя

Причин, по которым онлайн-мошенничество работает, на самом деле достаточно много. Начать следует с того, что преступники достаточно умело играют на психологии своих жертв: есть масса способов обмануть пользователя, и все они идут в ход.

Обещание халявы — самый простой и эффективный способ заполучить массу жертв

Например, летом 2014 года был обнаружен фишинговый сайт, имитировавший сайт FIFA, на котором пользователю предлагалось подписать петицию в защиту Луиса Альберто Суареса, нападающего национальной сборной Уругвая. Чтобы подписать петицию, пользователю необходимо было заполнить форму, введя в нее свое имя, страну проживания, номер мобильного телефона и адрес электронной почты.

Другой мошеннический сайт предлагал посетителям скачать электронный билет на чемпионат. На самом деле вместо билета пользователь получал банковского троянца — пробравшись в систему, зловред перехватывал личные данные, прежде всего финансового характера.

Технически фишинг постоянно совершенствуется

Немалую роль в том, что многие люди становятся жертвами онлайн-мошенников, играет тот факт, что с технической точки зрения инструменты фишинга постоянно изменяются и становятся все более и более изощренными.

Фишинг — по-настоящему универсальная угроза, работает на всех платформах

Для преступников это по-настоящему прибыльно

Но в первую очередь популярность фишинга растет потому, что это действительно выгодный вид преступной деятельности. Инструменты существуют и сравнительно легко доступны, охват чрезвычайно широк, в том числе и в социальных сетях (помните — 600 миллионов переходов!), большинство действий фишеров полностью автоматизировано.

Поэтому даже при небольшом проценте попавшихся мошенники могут вполне прилично зарабатывать. Причем, поскольку в большинстве случаев охота идет за банковскими данными, для монетизации даже не надо придумывать какие-то сложные схемы.

Поэтому не следует думать, что единственная информация, которую необходимо защищать от мошенников, — это данные банковских карт и платежных систем. Многие фишеры будут вполне удовлетворены и доступом к вашей учетной записи в социальной сети или почтовом сервисе.

Как уберечься от фишинга?

Что предложить пользователям в качестве инструмента противодействия мошенникам? Прежде всего, естественно, здравый смысл.

В идеале на сайты, требующие ввода личных данных, ходить по ссылкам вообще не стоит — лучше набрать адрес вручную. Разумеется, посещение подобных ресурсов должно осуществляться через надежные устройства и сети.

В то же время современные Web-технологии настолько сложны, что не всегда можно понять ее потенциальные возможности и опасности. Например, в различных системах защиты есть технология черных списков, которая позволяет блокировать некоторые угрозы такие как спам, фишинг и загрузка вредоносного содержания. Сейчас подобные черные списки превратились в репутационные базы, которые используются в большинстве защитных систем. В то же время технология этих репутационных баз может быть использована в том числе и для сбора данных о перемещении пользователей по Интернет.

Дело в том, что система антифишинга должна перед загрузкой данных по определенную URL вначале проверить его репутацию в базе данных. Для этого традиционно используется очень компактный запрос к базе, содержащий URL ресурса, на который пользователь собирается попасть, а в ответ система сообщает уровень опасности запрашиваемого URL. Однако пользователь такой системы не всегда знает сохраняется ли предыстория его обращений к репутационной базе или нет. А такая предыстория и является тем самым путем пользователя по Интернет, важность которого обсуждалась выше. Если же такая история сохраняется, то подобная система и позволяет ее владельцам получать данные о перемещении пользователей по Интернет. То есть репутационную технологию всегда можно использовать как такой своеобразный шпион.

В качестве примера можно привести сервиc Google Safe Browsing, который предназначен для защиты от фишинга и сейчас интегрирован в браузеры Google Chrome и Mozilla Firefox.Скорее всего именно этот компонент многие исследователи воспринимают как шпиона, поскольку браузеры регулярно отсылают запрашиваемые браузером URL на центральный сервер системы. Однако важно, что Google собирает и анализирует полученные таким образом URL и использует их как для поиска (посылает по полученным адресам своего поискового робота), так и для настройки рекламы Adwords. То есть компания действительно использует антифишинговую технологию, которую они совместно создали с разработчиками Firefox, для контроля за действиями пользователей.

Наиболее опасны такие действия компании из-за интеграции этого механизма с поисковой системой. Дело в том, что когда Google индексирует URL, полученные от системы антифишинга, то часто они попадают на так называемый "приватный Интернет", который пользователи не всегда открывают широкой публике, но надеются на то, что эти данные злоумышленники найдут не скоро. Однако поисковик сильно упрощаеи ускоряет поиск такой приватной информации. Конечно для поисковика такой ценный источник сведений очень важен - он позволяет роботам проникнуть в такие уголки, в которые традиционным способом анализа ссылок попасть невозможно. Это, например, могут быть личные архивы или закрытые сайты, доступ к которым ограничен. В то же время технология FTP, с помощью которой часто организуют доступ к файловым хранилищам, в некоторых случаях позволяет получить доступ даже к закрытым файлам если пользователь точно укажет его URL. В результате, с помощью Google можно проникнуть даже в такие места, которые традиционно недоступны из открытого Веб. А ведь разрабатывалась система для защиты от фишинга, а получилось. как всегда.

Разработка вредоносного кода, который служит для кражи паролей на компьютере жертвы является грязным занятием. Гораздо проще спросить: «Эй, дай мне свой пароль!». Именно такой концепции придерживается фишинговый сайт. Киберпреступник создает веб-страницу, которая выглядит идентично со страницами банков, финансовых институтов, а затем распространяет ссылки на данный сайт при помощи социальных сетей, спама и других методов.

После того, как несколько неопытных пользователей передадут свои конфиденциальные данные сайт закрывается и разрабатывается новый. К счастью, многие современные антивирусы эффективно борются с этими угрозами. Авторитетная австрийская лаборатория AV-Comparatives тестировала 16 популярных продуктов.

В течение целой недели сотрудники организации собирали базу различных фишинговых сайтов, устраняя дубликаты или недействующие сайты и убеждаясь в том, что конфиденциальные данные находятся под угрозой. После проверки осталось 187 ссылок на ресурсы с фишингом. Затем исследователи пытались посетить эти сайты при включенной защите на тестовых машинах с 16 различными антивирусами, отмечая каждый случай блокировки.

Выдающийся результат

ESET и Kaspersky опередили все остальные продукты, обнаружив 99 процентов угроз. Bitdefender, Trend Micro и McAfee смогли распознать 98 процентов фишинг-сайтов. У Fortinet, BullGuard, Panda, и Sophos уровень обнаружения составил 94 процента и выше. Все перечисленные продукты получили наивысший рейтинг ADVANCED+.

Emsisoft, eScan, F-Secure, Vipre, Avast и G Data нашли от 80 до 89 процентов угроз и заработали рейтинг ADVANCED. Рейтинг STANDARD оказался у Qihoo. Нужно отметить, что Qihoo особенно хорошо справился с блокировкой вредоносных сайтов на китайском языке.

Отсутствуют ложные срабатывания

Лучшие на сегодняшний день антифишинг решения используют двусторонний подход. Простая база данных позволяет им блокировать доступ к известным фишинговым сайты, а в некоторых случаях позволяет им добавлять в белый список надежные сайты. Для неизвестных страниц проводится полный анализ внутренний структуры и кода для выявления фальшивых элементов. Norton (не участвовал в программе тестов) стал первым антивирусом с подобным механизмом защиты. Проблема заключается в том, что если эти механизмы не достаточно отработаны, то будет наблюдаться большое число ложных срабатываний, т.е. блокировок безопасных ресурсов.

Исследователи проверили защиту с коллекцией из 400 страниц авторизаций на сайтах банков. Блокирование 1-2 сайтов понизит рейтинг на один пункт. Блокировка 3 сайтов понижает рейтинг на 2 пункта. Продукт с 4 ложными срабатываниями или более не сможет пройти тест и не получит даже STANDARD рейтинг. При тестировании ни один продукт не заблокировал ни один надежный сайт, ложных срабатываний не было вообще.

Таким образом, большинство популярных антивирусных решений показали высокие результаты в этом тестировании. Хотелось бы видеть в списке тестируемых продуктов Internet Explorer со встроенным фильтром SmartScreen. В собственном тесте PC Magazine многие продукты не дотянули до результатов Internet Explorer, поэтому такое сравнение будет очень интересным.

Читайте также:

  
• Чем открыть файл plot
  
• Планшет включается и сразу включается
  
• Dns сервер не является допустимым ip адресом ipv6
  
• Что означает опекун в пиксель петз
  
• Bpmn чем открыть онлайн