Google учит пользователей распознавать фишинговые e-mail



    Несмотря на все усилия специалистов по информационной безопасности, киберпреступники все еще одерживают победу во многих случаях. Кража корпоративных секретов, личной информации, саботаж работы компаний-конкурентов — вот лишь несколько пунктов из обширного списка действий злоумышленников. И как бы хорошо ни была защищена сетевая инфраструктура, остается слабое звено, которое чаще всего и становится причиной проблем. Это звено — человек.

    Самый простой способ попасть в защищенную среду для киберпреступника — отправить сотруднику целевой организации специальным образом сформированное сообщение. Оно может быть от начальника, партнера, клиента и т.п. Основной элемент такого e-mail — зловред, замаскированный под видом документа в приложении или же ссылка на вредоносный сайт. Google решил научить своих пользователей распознавать проблемные сообщения.

    На этой неделе компания опубликовала своеобразный опросник, который позволяет участнику прояснить, в первую очередь, для себя, в состоянии ли он (или она) распознать ложное сообщение. Фишингу — много лет, и за это время киберпреступники научились филигранной работе, создавая фальшивые сообщения, которые очень сложно отличить от настоящих.

    Опросник разработан на основе результатов тренингов, проведенных подразделением Google, Jigsaw, с 10 000 журналистов, активистов, политиков.

    В некоторых случаях демонстрируемые в тестовом задании сообщения являются «белыми», в других — фишингом чистой воды. Часть из них — точная копия реальных фишинг-сообщений, которые отправлялись злоумышленниками в 2017 и 2016 годах в ходе крупных атак.

    После каждого примера Google учит распознавать признаки проблемных сообщений. Чаще всего — это оценка содержащихся в теле письма ссылок или приложений, или же адресов отправителей. Ссылка может выглядеть вполне «белой», но она сформирована таким образом, что при клике откроется иной url.

    Jigsaw — экспериментальный проект Google, который позволяет оценивать и анализировать широкий спектр геополитических проблем в IT. В прошлом команда подразделения разработала софт, который может обнаружить сообщения троллей, а также опен-сурс приложение для работы с VPN. Есть в инвентаре Jigsaw и облачный сервис, помогающий фильтровать оскорбления.

    По статистике, из шести адресатов, которым отправлены фишинговые письма, хотя бы один перейдет по вредоносной ссылке с вероятностью в 80%. Для 10% вероятность повышается до 90%, а для 20 — почти до 100%.

    Современные технологии позволяют злоумышленникам отправлять сотни тысяч и миллионы фишинговых сообщений. Некоторые из них блокируются анти-спам фильтрами, защитными системами телекоммуникационных компаний. Но многие тысячи попадают к адресатам.

    Стоимость такой атаки невелика, поскольку киберпреступники используют относительно простые инструменты, включая те из них, что находятся в общем доступе. Конечно, при решении критически важной для себя задачи злоумышленники могут воспользоваться и гораздо более продвинутыми средствами. Но в общем случае они просто рассылают тысячи и тысячи писем, часть из которых открывает для злоумышленника желанный «Сезам».

    К слову, отечественные финансовые и банковские организации неплохо научились защищаться от фишинга. И если в 2017 году атаки такого типа принесли взломщикам более 1 млрд рублей, то в прошлом, 2018 — всего 76,5 млн.

    Тем не менее, масштабы работы киберпреступников постоянно увеличиваются. Деятельность настолько активная и мощная, что в России это привело к налоговым послаблениям для банков. Минфин недавно опубликовал письмо о том, что при хищении средств со счета в банке компании могут учитывать полученный убыток в составе расходов, снизив таким образом базу для расчета налогов на прибыль.

    Растущее количество хакерских атак против клиентов банков, в том числе путем направления жертве поддельного счета на оплату со взломанной почты партнера, привело к налоговым послаблениям. На сайте garant.ru опубликовано письмо Минфина о том, что при хищении средств со счета в банке компании могут учесть полученный убыток в составе расходов, снизив базу для расчета налога на прибыль, пишет «Коммерсант».

    Условие для включения убытков — наличие документа органа государственной власти об отсутствии виновных лиц. Это письмо является ответом на запрос компании, у которой обманным путем украли деньги, как клиентов, так и собственные. По мнению экспертов, разъяснения Минфина помогут налогоплательщикам, которые работают добросовестно. Но есть и лазейка. Так, жертва и контрагент могут разработать и реализовать «фальшивый» взлом, с имитацией компрометации почты и последующей обналичкой денег.
    Поделиться публикацией

    Комментарии 30

      +1
      Опросник по фишингу, который первым действием просит Email? :)
      Я даже начал искать кнопку «Я не отдам вам свои данные».
        0
        В дисклеймере сказано, что можно использовать фейковое имя и email. Меня только что пустило в опросник с несуществующим мейлом
          +5
          Да и так себе тест.

          Я прокололся на PDF файле. Чисто визуально — там все ок, но никто не уточняет реально ли я жду файл или нет. Я предположил, что почему бы и нет, а гугл сказал, что это фишинг.

          В то же время, когда «кто-то» запросил разрешение на доступ к почте, я посчитал, что гугл посчитает это подозрительным, но это оказалось «нормальным» запросом.
            0
            > Я прокололся на PDF файле. Чисто визуально — там все ок, но никто не уточняет реально ли я жду файл или нет. Я предположил, что почему бы и нет, а гугл сказал, что это фишинг.

            Там же написано в условии «но адрес отправителя какой-то кривой».
              0
              Ну мы вроде бы учимся распознавать фишинг-письма, а не читать подсказки. Хотя признаю, не читал что там в подсказках пишут :)
                +2
                Граждане, не тупите. Задача дословно была «Вам пришло письмо с аттачем с левого почтового адреса. Вы хотите открыть аттач?». Верхний уровень, нижний уровень — какая разница? Почта отправителя явно отличается от той, что вам известна и которой вы доверяете. Какие могу быть варианты :-?
                  0
                  Вот я лицо достаточно публичное и в силу этого через меня пытаются зайти в компанию — пишут предложения на мое имя. И да там и pdf и доки и презентации в аттачах. И адреса бывают странные.
                  Спасает, что фишинга я перевидал достаточно — один раз адрес утек спамерам и получал я по 500 писем спама в день
                0
                Разница там была только в домене верхнего уровня, edu вместо org, ЕМНИП. Вполне нормальная ситуация для сайта школы, он мб на .edu и .org. Это действительно очень кривой вопрос (и я тоже дал неверный, по мнению гугла, ответ).
                0
                С PDFом вообще весело — дыры в парсере/читалке, а остерегаться предлагают пользователю.
                  0
                  И «а у меня Linux» не спасает, проблемы с PDF были даже там…
                    +1
                    Ни коим образом не пытаюсь пиарить Linux, но ИМХО надо дыры закрывать, а не сидеть в страхе.

                    Если у меня есть баг в текстовом редакторе, который позволяет выполнять произвольный код при открытии txt, это повод писать на багтрекер, переходить на другой, но не рассказывать всем, что txt страшный и ужасный.
            0
            Последний вопрос умилил. Никому-никому не отдавайте свои данные, но вот нам-то вы точно можете отдать вообще всё!
              +1
              Контрразведчик должен знать всегда, как никто другой, что верить в наше время нельзя никому, порой даже самому себе. Мне — можно.
              0
              Пример с финансовым отчётом 2018 в PDF как пример фишинга — некорректный. Единственным объяснением, почему это фишинг, значится «PDF могут содержать вирусы». По логике авторов опроса, нельзя открывать вообще никакой приложенный PDF.
                +2
                Это американская специфика. Письмо пришло с .org, а должно было с .edu — все американские учебные заведения имеют домены в этой зоне. К ней даже привязываются тарифы со скидкой для студентов/преподавателей — вместо скана студенческого у тебя могут попросить прислать письмо с address@yourschool.edu.
                  0

                  Корректный вопрос. Надо проверять домен отправителя (хотя бы просто на него зайти). Такого домена не существует.

                    +1
                    Во-первых, оба домена в примере могли быть вымышленными, так что гарантированно в рамках задачи это не проверить.

                    Во-вторых, если цель этого примера — сказать «проверяйте домен», то непонятно, почему в ответе про это ни слова, а говорится только про опасность вирусов в PDF.

                    Upd: Подсказки в заголовке не в счёт (в некоторых других вопросах заголовки кстати давали намеренно вводящую в заблуждение подсказку).
                      0

                      Про домен было в предыдущих вопросах, google.support, к примеру.

                      0
                      По домену может не быть сайта, но быть почта. Почему бы и нет.
                        0

                        Технически — да. Но Гугл не для нас с вами сделал этот тест, он очень простой для технически подкованных людей. В предыдущем вопросе Гугл указывал на то, что надо проверять домен.

                    +1
                    Короче, все проще.
                    Если вы ждете письмо — скорее всего, все ок. Если не ждете — заранее считайте, что это фишинг.
                      0
                      Иногда не работает — например, если поломали контрагента)
                        +1
                        Но если вы на работе с чем-то серьезным и ждете письмо, это тоже может оказаться фишингом — точнее, прицельной атакой через человека.
                        0
                        Google ничему не учит пользователей.

                        google.support — плохой адрес
                        blog.google — хороший
                        google.com/amp/tinyurl.com/y7u8ewlr — плохой
                        google.com/amp/amp.theguardian.com/blabla — хороший
                        ci5.googleuesrcontent.com/proxy/VI2cPXWhfKZEIa… — плохой
                        ci5.googleusercontent.com/proxy/VI2cPXWhfKZEIa… — хороший
                        (...)
                          0
                          збс, уже неделю на гуглопочте наблюдаю бесячий баг, приходит спам с событием для календаря. письмо как и должно попадает сразу же в папку спам, но при этом событие автоматически добавляется календарь. удобно.
                            0
                            Это длится не неделю, а гораздо дольше, решения пока не нашёл.
                            А ещё беда в том, что на MacOS приглашение в календарь выводится пушем, поверх всех приложений или даже на локскрине, что в случае спама сильно раздражает.
                            +1
                            Это демо версия игры аналога «Papers, Please»?! Где скачать полную?
                              0
                              21 век, Google учит ИИ распознавать фишинговые e-mail. Корпорация добра создаст блокировщик фишинга нового поколения…

                              Стоп, кого учит? Гугл? Анкета?
                                0
                                при хищении средств со счета в банке компании могут учесть полученный убыток в составе расходов, снизив базу для расчета налога на прибыль

                                Мммм, это же двойной профит.
                                  0
                                  Кто-нибудь может посоветовать подобную памятку про фишинг на русском языке? Хотелось бы в организации провести ликбез, да не охота городить с нуля свое.

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое