Киберсигурност

Как да намалим риска от фишинг имейли

Фишинг защитата работи, когато съчетава удостоверен домейн, филтриране на пощата, силна идентичност и ясен процес за проверка.

10 мин. четене
Обратно към блогаЗащита срещу фишинг имейли

Фишингът е бизнес риск, а не само технически проблем. Един успешно подведен потребител може да даде достъп до поща, фактури, банкови инструкции, клиентски данни или вътрешни документи. Затова защитата не трябва да се свежда до съвета „внимавайте какво отваряте“.

Съвременните атаки имитират доставчици, партньори и страници за вход в облачни услуги. Често нямат правописни грешки, използват реални компрометирани пощенски кутии и разчитат на спешност: плащане, доставка, изтекла парола или необичайна инструкция от управител.

Как изглежда съвременната атака

Целта обикновено е една от четири: отваряне на файл, натискане на линк, въвеждане на парола във фалшива страница или потвърждение на плащане. Понякога нападателят не търси незабавна щета, а тих достъп до кореспонденцията, докато се появи възможност за измамна промяна на банкова сметка.

Поток на фишинг атака от имейл до компрометиран акаунт
Атаката често започва с убедително съобщение, но целта е достъп до акаунт, данни или плащане.

Първи слой: удостоверяване на домейна

Има три широко използвани механизма, които помагат на получаващите пощенски системи да проверят дали писмото наистина е изпратено от фирмата, която твърди, че стои зад него. SPF (правило, което посочва кои сървъри имат право да изпращат поща от даден домейн), DKIM (цифров подпис, който показва, че писмото не е било променено по пътя) и DMARC (правило за обработване на съобщения, които не преминават тези проверки).

Тези защити не спират всяка измама: нападателят може да използва друг, на пръв поглед нормален домейн. Те обаче намаляват злоупотребата с името на фирмата и правят легитимната кореспонденция по-разпознаваема. Настройването им е работа за техническия екип или пощенския доставчик, но за бизнеса ползата е ясна: по-малък риск някой да изпраща писма от ваше име.

Механизми за удостоверяване на фирмена електронна поща
Трите механизма проверяват дали писмото е изпратено от разрешен източник и дали съдържанието му е запазено.

Втори слой: филтриране и защита на пощата

Дори коректно удостоверена поща може да бъде злонамерена. Затова пощенската платформа трябва да проверява линкове, прикачени файлове, новорегистрирани домейни, имитация на податели и необичайно външно препращане.

В Microsoft 365 това означава да се преглеждат защитите срещу фишинг, нежелана поща и зловредни файлове, както и защитата срещу имитиране на ключови служители и партньорски домейни. Филтърът не е настройка „сложи и забрави“: нужен е периодичен преглед на писмата, които са били задържани по погрешка, и ясни правила за доверени податели.

Сравнение между подозрителен и проверен имейл сценарий
Техническите филтри ограничават риска, но човешката проверка остава важна при необичайни съобщения.

Трети слой: сигурен вход в акаунтите

Многофакторното удостоверяване (MFA) добавя втора проверка при вход, например приложение на телефона, ключ за сигурност или биометрично потвърждение. То е задължително за работните акаунти, но различните му варианти не дават еднаква защита.

Код, който потребителят може да препише във фалшива страница, също може да бъде прихванат. По-сигурният вариант е ключ за вход по стандартите FIDO2 / WebAuthn (начин за вход с криптографски ключ вместо преписван код) - физически ключ или ключ, съхранен в устройството. Той е криптографски свързан с истинския адрес на сайта и не работи на имитация на този адрес.

За администратори, финанси и техническия екип е разумно да се използва хардуерен ключ или ключ за вход, обвързан с конкретно устройство. За останалите служители ключ за вход или приложение за удостоверяване е по-добър избор от текстов код по SMS (кратко текстово съобщение). Потвърждението с число в приложение е добра междинна мярка, но не е равностойно на FIDO2.

Ключ за сигурност за защита на бизнес акаунти
Ключът за сигурност не предава код към страница за вход и проверява за кой адрес на сайт се използва.

Четвърти слой: човешки процес и втори канал

Служителите не са длъжни да разпознават всяка атака. Трябва да знаят кога да спрат и как да проверят. За 20 секунди могат да се проверят реалният адрес на подателя, домейнът на линка, неочакваните прикачени файлове, спешният тон, искането за парола или промяна в платежна информация.

Най-важното правило е просто: при съмнение проверката става през втори канал, а не с отговор на същия имейл. Обаждане на известен номер, съобщение в Teams или проверка във вътрешната система за поръчки, клиенти или счетоводство е по-надеждна от бутон „Отговори“.

Четири слоя защита срещу фишинг
Най-добрата защита комбинира домейн, филтриране, силна идентичност и работещ процес за проверка.

Финансовият процес спира измамните плащания

Измамата чрез компрометирана бизнес кореспонденция (BEC) често не завършва с криптиране на файлове, а с измамно плащане. Нападателят наблюдава кореспонденцията и изчаква подходящ момент да изпрати правдоподобна инструкция. Промяна на IBAN (международния номер на банкова сметка), нов доставчик или необичайна авансова фактура не трябва да се одобряват само по имейл.

  • Промяната на банкова сметка се потвърждава по познат телефонен номер от договор или вътрешна система.
  • За нов доставчик и необичайна сума има втори одобряващ.
  • Одобрението се записва в система, а не остава само като устно потвърждение.
  • За първи превод към нов контрагент има лимит или допълнителна проверка.

Когато все пак се случи: план за реакция

Ако служител е въвел парола във фалшива страница, времето е критично. Нужни са смяна на паролата, прекъсване на активните сесии, проверка за непознати методи за вход, правила за пренасочване и скриване на поща, делегирания и дадени разрешения на външни приложения.

Следва преглед на изпратените писма и предупреждение към засегнатите партньори. При отворен файл се проверява и работната станция. Добре описаният план превръща хаотичните действия в последователни стъпки.

Последователност за реакция при фишинг инцидент
Бързата реакция ограничава достъпа и намалява възможността атаката да се разпространи.

Практичен минимум за следващите 30 дни

  1. Включете многофакторно удостоверяване за всички акаунти и използвайте ключ за сигурност за администратори, финанси и техническия екип.
  2. Настройте защита на фирмения домейн, така че получателите да могат да разпознават легитимната ви поща.
  3. Прегледайте филтрите за фишинг, спам и зловредни файлове; добавете защита срещу имперсонация.
  4. Забранете автоматичното препращане на поща към външни адреси без бизнес причина.
  5. Напишете едностранична процедура за съмнителен имейл и за промяна на банкови данни.
  6. Правете кратки, редовни обучения с реални примери вместо една годишна презентация.

Фишингът няма да изчезне. Целта е успешната атака да бъде трудна, скъпа за нападателя и бърза за откриване при вас.