Составил небольшую памятку, надеюсь, она окажется полезной для вас и ваших коллег в противодействии социальной инженерии и фишингу.


Кто-то скажет «баян», кому-то подойдет как основа, если собственных инструкций для сотрудников нет или они занимают десятки страниц.


К слову, по роду деятельности, встречались организации, у которых не просто сотрудники не знают базовых правил информационной безопасности, но и железо с софтом уязвимы перед уловками «хитрецов».


Например

Уже больше года существует полезный в узких кругах способ (теперь нет).
Если вставить ссылку на источник в виде обычного url, то otvet.mail.ru выдаст заглушку при клике.
Если же использовать «mail.ru@» перед вредным url, то заглушка не появляется.



А на одном из тестовых серверов с Windows машиной, запрещено было майнить криптовалюту через Coinhive на уровне фаервола. Разместив браузерный майнер на поддомене https://google.com.mainer...1.ru, всё работало в плюс.


Но эта статья не об уязвимостях софта или железа, хоть их настройкой и занимаются люди.


В общем, читайте, редактируйте под себя, используйте.


Признаки в письмах, которым не стоит доверять:


  • в тексте более чем одна ашибка или писка;
  • ссылка в виде цифр. Пример: 178.248.232.27;
  • ссылка содержит символ «@»; Пример: http://bank.ru@phish.ru ;
  • ссылка c двумя и более адресами. Пример: https://bank.ru/bitrix/rd.php?go=https://bitly.com/bank
  • письма с отсутствующими дополнительными контактами (ФИО, должность, телефон, почтовый адрес);
  • если в начале адреса сайта есть www, но нет точки или стоит тире. Пример: wwwbank.ru или www-bank.ru
  • если в начале адреса сайта есть http или https, но нет «://». Пример: httpsbank.ru
  • когда в адресе сайта несколько точек, смотрите то, что написано в правой части, до первого символа «/», там вы обнаружите исходный сайт и если он вам не знаком — ссылка подозрительна. Пример: www.bank.ru.zlodey.ru/login?id=12/aa/bank.ru
  • email в поле «Отправитель» может быть подделан или самого отправителя могли взломать;
  • если при наведении указателя «мыши» ссылка выглядит по-другому. Пример: в тексте письма написано tele2.ru, а при наведении мыши, в нижнем левом углу браузера отображается teie2.ru
  • ссылка может быть не кликабельна, но содержать подмененные символы. Злоумышленник надеется, что вы скопируете ссылку и вставите в браузер. Пример: в письме указана ссылка teIe2.ru, копируете и вставляете в браузер, но оказывается, что это teie2.ru
  • злоумышленник может заменить букву “o” на цифру “0” или маленькую латинскую букву L — “l”, на большую букву i — “I” или b на d, использовать сочетание букв (rn вместо буквы m, cl вместо d, vv вместо w) и т.д. Пример: 0nIinedank.ru вместо onlinebank.ru
  • если ссылка начинается с https:// — это не значит, что она безопасна;
  • к любым письмам с вложениями обязательно применяйте другие правила из памятки;
  • не фотографируйте свое рабочее место и компьютер и тем более не выкладывайте эти фото в интернет.

Что делать при получении подозрительного письма:


  • лично, по телефону, через мессенджер уточнить факт отправки такого письма. Желательно, контакт для связи взять не из письма, а из других источников: собственная записная книжка, визитка, спросить у коллег, узнать на официальных сайтах;
  • перешлите письмо в службу безопасности.

Как быстро проверить подозрительную ссылку если у вас в организации нет инструкций на этот счет:


  • Можно использовать сайт https://www.browserling.com ;
  • В поле ввода вставьте проверяемую ссылку и нажмите «Test now»;
  • У вас будет 3 минуты, чтобы изучить куда ведет ссылка;
  • Главное, если у вас попросят ввести логин и пароль от чего угодно или скачать что-то, уходите с сайта. Если ссылка была подозрительна, то это тем более свидетельствует, что она опасна.

Надеюсь, материал окажется полезным. Его можно свободно использовать для повышения осведомленности ваших коллег как базовый материал, корректируя под себя.


В следующей статье составлю список тезисов, как различать вредоносные вложения и отправителя-злоумышленника. Оказалось, что не все пользователи знают, что «.exe» можно скрыть так



Желаю вам и вашим близким непопадаемости на уловки злоумышленников.