Фишеры и тяга к знаниям

Когда мы говорим о фишинге, в первую очередь подразумеваем поддельные банковские сайты, платежные системы, популярные во всем мире почтовые и другие сервисы. Однако интересы киберпреступников этим вовсе не ограничиваются, в их поле зрения оказываются довольно неочевидные на первый взгляд жертвы, например студенты и преподавательский состав университетов. Причина — научная деятельность, которую они ведут и к результатам которой многие хотели бы получить доступ.

Примеры фишинговых страниц, имитирующих страницы авторизации на сайтах университетов University of Washington, Harvard Business School, Stanford University

За последний год мы зафиксировали фишинговые атаки на 131 университет в 16 странах мира. Больше половины из них — 83 высших учебных заведения — находятся в США, 21 — в Великобритании, по 7 в Австралии и Канаде. Некоторые известные университеты Финляндии, Колумбии, Гонконга, Индии, Израиля, Нидерландов, Новой Зеландии, Польши, Южной Африки, Швеции, Швейцарии и Объединенных Арабских Эмиратов за последний год столкнулись хотя бы с одной атакой фишеров. Самыми популярными университетами у мошенников в этом году стали: University of Washington — 11,6% атак, Cornell University — 6,8%, University of Iowa — 5,1%.

Хоть университеты и уделяют внимание защите своих ресурсов, мошенники успешно используют «привычное» слабое звено — невнимательность пользователей. В зависимости от уровня доступа (преподаватель, студент, научный сотрудник), личный кабинет на сайте университета может предоставлять доступ как к информации общего характера, так и к различным платным сервисам, результатам исследований. Помимо этого, аккаунт преподавателя, например, может предоставить злоумышленникам сведения о зарплате сотрудника, его расписании и пр. Все это может быть использовано для кражи личности или осуществления целевой атаки.

Cornell NetID — уникальный электронный идентификатор, который в сочетании с паролем предоставляет доступ к непубличным ресурсам и информации университета

Обычно фишинговая страница отличается от оригинала лишь веб-адресом. Однако несмотря на предупреждение браузера и, как в случае с поддельной страницей Cornell University, призыву проверять адресную строку (скопированного злоумышленниками с оригинального сайта), пользователи часто не обращают на отличия внимание.

При изучении скриптов одной из фишинговых страниц мы обратили внимание, что помимо логинов и паролей мошенники собирают информацию об IP-адресах и местоположении жертв. Используя эти данные, преступники могут обходить некоторые антифрод-системы, маскируясь под владельца аккаунта.

Как защититься

Одной из основных рекомендаций по-прежнему остается проверка адресной строки сайта, на котором пользователь собирается ввести конфиденциальные данные. Но на эффективность данного метода сильно влияет человеческий фактор, потому главная рекомендация для учебных заведений здесь — использовать двухфакторную аутентификацию, а для пользователей — использовать программные решения с функцией защиты от фишинговых атак.