Фил Ричардс, директор по безопасности компании Ivanti, рассказал о резком росте числа smishing-атак и о том, что необходимо предпринять всем ИБ-специалистам уже сейчас. Ведь буквально вчера в мире столкнулись с большой угрозой на Android-смартфонах по средствам smishing-атаки.
***
Каждый, кто пользуется смартфоном, скорее всего, уже бывал жертвой хотя бы одной smishing-атаки. «Смишинг» во многом похож на фишинговое мошенничество с использованием электронной почты, но в этом случае обманные или вредоносные ссылки отправляются через текстовые сообщения.
Слово «Смишинг» произошло от другого, похожего вида атак — фишинга. Так как для рассылки сообщений используются SMS-сообщения, то SMiShing — это производное от «SMS» и «фишинг».
Как и фишинг, смишинг-атаки пытаются обманом заставить пользователей передать ценную информацию, например, учетные данные для входа в банковские приложения, убеждая получателя в том, что сообщение пришло из надежного источника. И хотя такие виды мошенничества используются на протяжении десятилетий, специалисты по кибербезопасности должны быть особенно обеспокоены резким ростом числа атак с использованием смишинга за последние пару лет.
Еще до того, как эра COVID-19 заставила организации практически в одночасье перейти на удаленную работу, около 81 процента компаний заявили, что их сотрудники сталкивались со smishing-атаками на свои мобильные устройства. В 2020 году, после того как по всему миру были введены блокировки, число smishing-атак увеличилось в геометрической прогрессии. Одно из исследований показало, что в период с марта по июль 2020 года число таких атак увеличилось на целых 29 процентов.
Почему сейчас люди более уязвимы к фишингу?
Хотя фишинговые атаки существовали всегда, есть как минимум несколько причин, по которым они сегодня вызывают большее беспокойство с точки зрения ИТ-безопасности:
- На корпоративных ПК намного проще блокировать фишинг в электронной почте, но современные работники “на удалёнке” используют свои личные устройства для доступа к корпоративным приложениям и данным. И, откровенно говоря, просто не существует простого способа проверить подлинность URL-адресов на смартфонах, поэтому пользователи часто просто кликают и надеются на всё подряд, в глубине души надеясь, что не станут жертвой мошенников. Если вообще задумываются об этом.
- По данным на 2020 год, смартфоны есть у 2,8 миллиарда пользователей во всем мире. Эти устройства буквально повсюду, обеспечивая хакерам обширный, пригодный для использования ландшафт для атак.
- Пользователи мобильных устройств обычно открывают и отвечают на текстовые сообщения гораздо чаще, чем на электронную почту. Учтите, что 90% текстовых сообщений открываются и читаются практически сразу, в то время как средний показатель открываемости электронной почты колеблется в районе всего 20%.
- На личных устройствах, как правило, отсутствует надежная защита, которая используется в корпоративной среде для защиты устройств.
Давайте посмотрим правде в глаза, слишком часто мы просто не обращаем внимания на те ссылки, по которым переходим. Многие ли из нас проверяют свои телефоны, занимаясь другими делами, такими как покупки, еда, просмотр фильмов или выгуливание собаки? Да. И задумываться о том, на что нажимать времени нет.
И знаете что? Хакеры тоже всё это знают. Проведя небольшое исследование и проявив настойчивость, они могут легко обмануть сотрудника и заставить его раскрыть свои корпоративные учетные данные. Попав в компанию, хакеры могут быстро устроить кошмар безопасности для любой ИТ-организации.
Так, например, случилось с Twitter в июле прошлого года.
Поскольку новая эра массовой удалённой работы в значительной степени разрушила то, что осталось от традиционного периметра сети, компании по обеспечению информационной безопасности, такие как CISOS нуждаются в новых стратегиях защиты корпоративных приложений и данных, где бы они ни находились, в любой сети, устройстве или облаке. И организация защиты мобильных устройств должна стать приоритетной задачей для ИБ-специалистов.
Новый тренд – мобильная безопасность
«В декабре 2020 года моя компания Ivanti, заказала независимое исследование. Оно показало, что 87 процентов директоров по информационной безопасности в регионе заявили, что защита мобильных устройств в настоящее время является основным направлением их стратегий кибербезопасности. Почти 80 процентов из знают, что пароли больше не являются эффективным или безопасным средством аутентификации пользователей, и почти две трети (64%) считают, что инвестиции в программное обеспечение для обнаружения мобильных угроз станут одним из главных приоритетов в 2021 году». – Рассказал Фил Ричардс, директор по безопасности компании.
Пользовательский опыт является неотъемлемой частью мобильной безопасности
Конечно, ни один подход к мобильной безопасности не может быть успешным, если он не улучшает пользовательский опыт. Это тем более важно сегодня, когда так много сотрудников работают удаленно, и возможно, на постоянной основе.
Отказ от паролей в пользу многофакторной аутентификации (MFA) — одна из самых простых вещей, которые ИТ-специалисты по безопасности могут реализовать уже сейчас, чтобы помочь удаленным сотрудникам оставаться продуктивными, минимизируя угрозы безопасности. Требуя биометрию или другие факторы для аутентификации, ИТ-отдел может снизить «фишинговую» уязвимость учетных данных пользователя и пароля, которые невероятно легко украсть с помощью относительно простых средств. Не менее важно и то, что MFA значительно повышает удобство работы пользователей, избавляя их от необходимости набирать сложные и легко забываемые пароли на маленьких экранах.
Комплексный и «постоянно работающий» подход к мобильной безопасности (доступный у большинства поставщиков кибербезопасности), который может обнаруживать и предотвращать мобильные угрозы, не влияя на доступ сотрудников, должен быть в верхней части списка дел каждого ИБ-специалиста в этом году.