Рекомендации по защите от фишинга

Недавно прошла конференция Коммерсант, где мы обсуждали проблемы фишинга, запись тут

  https://www.kommersant.ru/conference/video

Что сейчас происходит?

• Люди случайно попадают на копии сайтов интернет-магазинов банков через поиск или через контекстную рекламу. Вы ищете магазин, допустим Леруа Мерлен, но не знаете как правильно пишется их сайт по-французски, делаете ошибки и опечатки и находите какой-то сайт, и потом выясняете, что это просто компания, которая доставляет вам товары из этого магазина, но не сам магазин. Или еще хуже - это поддельный сайт, где оплатить товар можно, но получить его и деньги - никогда. Сайт, на который вы зашли может быть прокси-сайтом, то есть он показывает вам экран известного интернет магазина и одновременно данные которые вы туда вводите: ваш логин/пароль и номер карты. Часто это работает на том, что вы не смотрите на иконку рядом с названием сайта, а там должен быть "замочек", и не смотрите на само название сайта: используются похожие начертания, но сайт реально не тот. Вот такой замочек, например, у моего блога:
  
  Если вы попали на копию, то даже профессионалам порой бывает сложно отличить настоящий сайт от поддельного. Стали применять интересную технологию: сайт работает по HTTP, а не по HTTPS - и если вы невнимательны и не проверяете наличие замочка в URL, то отдаете сайту все свои знания про свои пароли и кредитки.
• Сюда также отношу фейковые приложения в телефоне. Нужно смотреть рейтинг и сколько людей уже поставило это приложение. Если приложение под названием Belka поставило всего 100 человек, то стоит задуматься то ли это приложение, которое вы хотели поставить. 

Зачем это?

Как защищаться домашним пользователям?

1. Встроенная защита от фишинга в браузеры уже есть у всех поставщиков: Chrome, Firefox, Edge, Safari. Проверьте что соответствующая галочка включена в разделе Безопасность.
2. Вы должны ожидать, что защита будет блокировать сразу вредоносный URL - встроенные средства защиты от фишинга в браузер пользуются базой таких сайтов.
3. Google Chrome молодец - он проверяет также ваши логины/пароли по базе украденных паролей. Они собирают все публично выложенные пароли и когда вы вводите свой пароль - смотрят, нет ли его в базе украденных. Если ваш пароль украли - смените его!
4. Новые сайты  - это угроза похуже. Их еще нет в базах. И что делать? Начать с того, что сайт работает по HTTPS и он с правильным сертификатом. Тот самый "замочек" перед названием сайта. Однако существуют бесплатные сертификаты, например, Let's encrypt и хакеры обычно ими пользуются. 
5. Вас могут защищать дополнительные плагины к браузеру - они проверяют репутацию сайта и показывают ее вам. Например, если используется Let's encrypt, то это должно настораживать и это сразу снижает репутацию сайта. Например, есть расширение Netcraft .
6. Пользоваться двухфакторной аутентификацией! Если instagram, facebook и другие сайты уже сделали это - включите! Если какой-то сайт не сделал - требуйте. Поскольку это также защищает от фишинга.
7. Еще нужно проверять по категориям и блокировать неизвестные еще, но это может только NGFW которые есть только в корпоративных сетях. Однако сейчас распространены сервисы класса SASE или SWG - защита из облакака. Вы можете пользовать ними - там есть в том числе URL фильтрация по категориям. Но они также требуют настройки. 
8. Вы можете у вас дома пользоваться внешним защищенным DNS, например, Яндекс DNS. У него есть информация по вредоносным адресам DNS и он подменяет ответы к таким сайтам на страницу заглушку, чтобы оберечь вас от заражения или кражи данных.
9. И еще совет: заносите свои сайты, где вы тратите деньги в закладки, чтобы не искать их и не кликать на ссылки в контекстной рекламе.

Как защищаться компаниям?

1. Все то же самое что и домашние пользователи, например, использовать встроенную защиту от фишинга в браузере. Попросите свою техподдержку это включить. Также проверку ваших паролей по базе украденных и дополнительные плагины и возможно также менеджер паролей.
2. Поскольку у безопасника компании есть еще одна задача: защищать не просто своих сотрудников, а еще и клиентов своей компании, например, которые пользуются приложениями компании, то нужно еще проверять приложения в Google Play и Apple Store, чтобы там не появлялись фейки.
3. Если вы пишете приложение для компании, то лучше использовать взаимную аутентификацию: не только клиент проверяет что сервер тот самый, но и сервер проверяет, что приложение то самое.
4. Использовать двухфакторную аутентификацию - здесь много уже готовых средств в корпоративной сети, но также ваши NGFW могут добавлять второй фактор поверх любого приложения.
5. Есть программы, которые находят копии сайта вашей компании. Их надо запускать периодически и оповещать свою службу ИБ о находках.
6. Есть также утилиты, которые могут проверять создание похожих доменов. Это нужно делать постоянно.
7. Грамотное решение защиты своих клиентов: Аватар. Например, так сделано на портале gosuslugi.ru . Когда хакер делает поддельный сайт, то он не может скопировать ваш аватар, и поэтому когда вы заходите на подделку, то вы свой аватар там не найдете и это уже является сигналом, что что-то идет не так.
8. В компании нужно использовать NGFW, в котором встроены механизмы блокировки фишинга по URL категориям. В Palo Alto Networks NGFW недавно встроили Machine Learning, который позволяет определять новые фишинговые сайты и даже zero-day файлы на лету.
9. Также в NGFW есть проверка ввода паролей и логинов домена - то есть, когда вы пытаетесь ввесть логин и пароль от своего домена на стороннем сайте (поддельном), то NGFW это предотвратит или оповестит.
10. Что вообще может проверять компания: какие типы файлов хочет скачать человек, какие URL хочет посетить, какие DNS адреса запрашивает. Все это защищается.
11. Также VPN клиенты позволяют подключить домашний компьютер сотрудника к корпоративному NGFW в котором есть все методики защиты. Или сейчас весь мир переходит к облачному сервису защиты, Gartner называет этот сервис SASE . Но это отдельный разговор.
12. Также рекомендуется запустить программу рассылки тестовых фишинговый писем, например, компания Антифишинг предлагает это.