Как предотвратить фишинг

Фишинг — это тип атаки с применением социальной инженерии, часто используемый для кражи пользовательских данных, включая учетные данные и номера кредитных карт. Это происходит, когда злоумышленник, маскирующийся под доверенное лицо, обманывает жертву, заставляя ее перейти по ссылке на веб странице или в электронном письме. От фишинга страдают банковские учреждения, веб-супермаркеты и другие крупные онлайн проекты, вроде магазина моментальных покупок Гидра. Такая атака может иметь разрушительные последствия. Для физических лиц это чаще всего включает несанкционированные покупки или кражу средств.

Защита от фишинг-атак требует принятия мер как пользователями, так и предприятиями. Для пользователей бдительность является ключевой. Фишинговая страница или сообщение часто содержит тонкие ошибки, которые раскрывают его истинную сущность. Они могут включать орфографические ошибки или изменения в доменных именах, как показано в предыдущем примере URL. Пользователи также должны остановиться и подумать, почему они даже получают такое электронное письмо.

Для предприятий можно предпринять ряд шагов, чтобы смягчить как фишинговые атаки. Двухфакторная аутентификация (2FA) является наиболее эффективным методом противодействия фишинговым атакам, поскольку добавляет дополнительный уровень проверки при входе в чувствительные приложения. 2FA полагается на то, что у пользователей есть две вещи: что-то, что они знают, например, пароль и имя пользователя, и что-то, что у них есть, например, их смартфоны. Даже когда сотрудники скомпрометированы, 2FA предотвращает использование их скомпрометированных учетных данных, поскольку одного из них недостаточно для получения доступа.

В дополнение к использованию 2FA, организации должны применять строгие политики управления паролями. Например, сотрудники должны часто менять свои пароли и не иметь права повторно использовать пароль для нескольких приложений.

Образовательные кампании могут также помочь уменьшить угрозу фишинг-атак, применяя безопасные методы, например, не нажимая на внешние ссылки электронной почты.