Фишинг — атаката на масовото разпространение
Фишингът е номер 1 вектор на кибератаките в България. 90%+ от пробивите започват с фишинг имейл или съобщение. Не технологиите — хората са целта.
Какво е фишинг?
Фишингът е форма на социално инженерство — атака, при която нападателят се представя за доверен изпращач (банка, институция, колега, куриерска фирма), за да измами жертвата да разкрие чувствителна информация, да кликне на злонамерен линк или да изтегли зловреден файл. Каналите включват имейл, SMS, гласови обаждания и съобщения в социалните мрежи.
Механизмът е прост и затова ефективен: жертвата вижда убедително изглеждащо съобщение, кликва на линк и попада на фалшив сайт, имитиращ легитимен. Там въвежда парола, номер на карта или друга информация — която веднага постъпва при нападателя. Алтернативно, прикачен файл съдържа злоумишлен код, изпълняващ се при отваряне.
Мащабът на проблема е огромен — фишингът е отговорен за над 90% от успешните пробиви в организации по целия свят. В България броят на фишинг кампаниите, имитиращи НАП, банки и куриерски фирми, нараства всяка година. Осведомеността е единствената ефективна масова защита, тъй като техническите мерки сами по себе си не са достатъчни.
Видове фишинг
Масово изпратени имейли, имитиращи банки, куриерски фирми, НАП или PayPal. Ниска персонализация, но огромен обхват — дори 1% реакция носи значителна печалба за нападателите. Лесно разпознаваем при внимателна проверка на домейна и съдържанието.
Персонализирани съобщения, съдържащи конкретни данни за жертвата — имена на колеги, проекти, позиция. Нападателите използват LinkedIn и социалните мрежи. По-труден за разпознаване — изисква внимателна проверка на изпращача дори когато всичко изглежда легитимно.
Фишинг чрез SMS. Типични сценарии: фалшиви нотификации за недоставен пакет, неплатена глоба, проблем с банков акаунт. Кратките URL-и скриват дестинацията, а мобилните браузъри показват по-малко контекст при преглед на линкове.
Телефонни обаждания от „банка", „Microsoft поддръжка", „полиция" или „НАП". Нападателите създават усещане за спешност и страх. Важно: никоя легитимна институция не иска парола, ПИН или CVV код по телефона — никога и при никакви обстоятелства.
Насочен към ръководители на организации — CEO, CFO, главен счетоводител. Включва Business Email Compromise (BEC): нападателят компрометира или имитира корпоративен имейл и нарежда спешни финансови преводи. Щетите достигат милиони.
Злонамерени QR кодове, поставени в имейли, реклами или физически на обществени места. Основното предимство за нападателя: заобикалят email филтрите, тъй като кодовете изглеждат като безобидни изображения и не съдържат директен URL.
Как да разпознаеш фишинг
Признаците са едни и същи независимо от канала — имейл, SMS или телефонно обаждане. Едно или повече от следните трябва да предизвика незабавно подозрение:
- Спешност и заплаха — „Акаунтът ви ще бъде спрян в рамките на 24 часа!", „Имате неплатен данък", „Парцелът ви ще бъде върнат". Изкуствената спешност е основният инструмент на фишинга.
- Непознат или леко различен домейн — paypa1.com вместо paypal.com, банка-bg.com вместо банка.bg. Провери внимателно URL преди да кликнеш.
- Поискани чувствителни данни — парола, ПИН, CVV, ЕГН, копие на лична карта. Легитимните организации не искат тези данни по имейл, SMS или телефон.
- Лошо форматиране и граматически грешки — необичайни шрифтове, кирилица смесена с латиница в думите, правописни грешки, несъответствие с познатия корпоративен стил.
- Несъответствие между видим и реален URL — задръж мишката (без да кликаш) върху линка и провери реалната дестинация в долния ляв ъгъл на браузъра.
- Непоискан прикачен файл — особено .exe, .zip, .docx или .pdf от непознат изпращач. Дори Office файловете могат да съдържат злонамерени макроси.
- Налягане за незабавно действие без проверка — „Не се свързвайте с банката, само ние можем да ви помогнем". Легитимните организации насърчават проверката, не я възпрепятстват.
Какво да направиш ако си жертва
Действай бързо — всяка минута намалява щетите. Следвай тези четири стъпки веднага след инцидента:
Смени паролата на засегнатия акаунт от друго устройство или мрежа — не от компрометираното. Ако използваш същата парола другаде, смени я и там. Използвай силна, уникална парола от мениджъра на пароли.
Ако не е включена, активирай многофакторна автентикация веднага. Предпочитай authenticator приложение (Aegis, Google Authenticator) пред SMS. Провери и изгони всички непознати активни сесии.
Прегледай историята на транзакциите, изпратените имейли и промените в настройките. При банков акаунт — провери всички движения. Потърси нови правила за пренасочване на поща, непознати приложения с достъп, промени в данни за контакт.
При финансова измама — обади се на банката по официалния номер на гърба на картата веднага. При работен акаунт — уведоми IT/сигурностния екип. Подай сигнал в ГДБОП на cybercrime.bg или на тел. 02/982-0000.
За задълбочена информация и статистика за фишинга в България посети phishing.bg — специализирания ресурс на общността.