Круглый стол на тему "Фишинг"

[Carding 4 Carders]

Отчет сотрудников Федеральной торговой комиссии
Отдела потребительского и бизнес-образования и Отдела маркетинговых практик
Июль 2020 г.​

СОДЕРЖАНИЕ

I. Предпосылки и обзор
II. Следующие шаги
III. Резюме обсуждения
А. Первое занятие: Обзор проблемы
Б. Вторая сессия: Текущие усилия по борьбе с фишинговыми атаками и обучению потребителей
С. Третья сессия: Разработка плана повышения эффективности обучения потребителей и мобилизация ключевых игроков
1. Методы уточнения сообщения
а. Связывание антифишинговых сообщений с кражей личных данных
б. Разработка поведенческих сообщений
c. Работаем вместе в коалиции
2. Стратегии охвата нужных людей в нужное время и правильном месте
а. Образовательные лендинги
б. Использование новых каналов связи для обучения онлайн-безопасности
3. Разработка руководства для бизнеса
а. Обучение малых и средних предприятий
б. Работа с регистраторами и интернет-провайдерами
IV. Заключение

I. Предпосылки и обзор
Фишинг использует ложный спам, который, как представляется, исходит от законных, хорошо известных источников, чтобы обманом заставить потребителей разглашать конфиденциальную или личную информацию, например, номера кредитных карт, другие финансовые данные или пароли в ответном электронном письме или по ссылке на копию
веб-сайт предполагаемого источника. Во время июльского 2020 г. Саммита Федеральной Торговли Комиссии («FTC») участники группы определили потребительское и бизнес-образование как ключевой инструмент для помощи в сокращении количества потребителей, которые становятся жертвами фишинговых атак. После Саммита, в речи перед Национальным альянсом кибербезопасности, тогдашний председатель FTC Дебора Платт Майорас объявил, что агентство проведет семинар продолжительностью полдня, посвященный оживлению антифишингового обучения потребителей и бизнес-образования.
Семинар состоялся 1 апреля 2020 г . Присутствовали около 60 специалистов из бизнеса, правительство, технологический сектор, сообщество, защищающее интересы потребителей, и научные круги встретились, чтобы обсудить стратегии охвата и обучения потребителей фишингу. Бюро потребителей Подразделения по обучению потребителей и бизнесу, а также по маркетингу компании Protection провели мероприятие в конференц-центре FTC.
Персонал установил и достиг трех основных целей этого семинара:
• методы реагирования организаций на фишинговые атаки и информирование своих клиентов об атаках;
• выявление возможности научить потребителей фишингу и мобилизовать ключевых игроков, которые используют эти «обучающие моменты», чтобы рассказать потребителям о
рисках определенного поведения в Интернете и вознаграждения других;
• разработка плана действий по повышению осведомленности потребителей о фишинге и изменение рискованных методов работы потребителей в Интернете.
Семинар состоял из двух дискуссий за круглым столом, за которыми последовало секционное заседание.
Чтобы обсудить следующие шаги, между сессиями сотрудники представили и предварительно ознакомились с тремя 60-секундными FTC видеороликами о фишинге, которые теперь размещены на следующих веб-сайтах: www.onguardonline.gov, www.ftc.gov и www.youtube/ftcvideos. OnguardOnline.gov - это федеральный правительственный веб-сайт с информацией, которая поможет потребителям защититься от интернет-мошенничества, защитить свои компьютеры, и защитить свою личную информацию.

II. Следующие шаги
Обсуждение за круглым столом показало, что практика фишеров динамична и развивается.
Обучение фишингу требует сотрудничества между членами антифишингового сообщества.
Участники согласились, что есть неиспользованные возможности для обучения потребителей и предприятий как избежать фишинга. Подробно о том, что участники узнали и поделились во время круглого стола более подробно обсуждаются в разделе III. Сотрудники FTC с нетерпением ждут продолжения заинтересованным сторонам предпринять следующие шаги, определенные во время семинара, в том числе:
• Создание целевой группы для продолжения диалога - во время семинара.
Национальный альянс кибербезопасности объявил, что формирует рабочую группу по фишинговому образованию и пригласил участников принять участие. Большинство участников согласились быть часть этой группы. Сотрудники FTC также планируют принять участие.
• Использование целевых страниц в качестве «обучающих моментов» - в рамках борьбы с фишингом.
меры, некоторые интернет-провайдеры и другие организации отслеживают веб-сайты и удаляют используемые страницы для фишинга. Несколько участников поддержали идею замены этих страниц на целевые страницы, содержащие образовательные сообщения, чтобы пользователи, переходящие по URL после того, как образовательная страница будет опубликована, узнали, что они могли нажать на мошеннический сайт и как этого избежать в будущем. Некоторые компании уже использовали образовательные целевые страницы с успехом. Рабочая группа по борьбе с фишингом разработала обучающие фишинговые лендинги и перевела их на различные языки для использования отечественными, а также иностранными интернет-провайдерами.
• Мобилизация участников для распространения нового потребительского образования - Федеральной торговой комиссией были запущены новые фишинговые видео, и несколько участников согласились разместить видео на своих сайтах и распространять их по другим каналам.

III. Резюме обсуждения
А. Первое занятие: обзор проблемы
Первая сессия началась с обсуждения влияния фишинга на бизнес и организации. Участники обсудили проблему фишинга с точки зрения своей организации и рассмотрели некоторые проблемы обучения пользователей компьютеров.
Лаура Мазер, управляющий директор отдела операционной политики по борьбе с фишингом.
Группа представила несколько наблюдений. Во-первых, фишеры, похоже, больше используют менее известные бренды чаще, чем широко известные бренды, чтобы обмануть потребителей. Во-вторых, фишеры по-прежнему крайне ловкие в использовании техники для тактики подрывной деятельности. Иллюстрируя это, Маркус Якобссон,
исследователь Исследовательского центра Пало-Альто и бывший профессор информатики Университета в Индиане отметил, что некоторые фишинговые электронные письма могут сканировать историю браузера пользователя, чтобы идентифицировать недавно посещенные веб-сайты и, используя эту информацию, автоматически настраиваются на
внешний вид финансового учреждения получателя или финансового учреждения, которое получатель недавно посетил онлайн. Этот тип фишинговых атак создает проблемы для образования, поскольку потребители скорее всего, видят меньше писем от незнакомых учреждений и больше писем, которые кажутся им знакомыми.
Несмотря на все более коварные тенденции фишинговых атак, многие участники указали, что доверие потребителей к Интернету высоко, и это доверие делает многих потребителей небезопасными.
Ссылаясь на опрос, проведенный Zogby International, Макс Вайнштейн из Беркмана Гарвардской школы права Центра Интернета и общества отметил, что пока 88 процентов пользователей чувствуют себя в безопасности, используя личный компьютер для доступа в Интернет, и 84% считают, что у них есть все необходимые инструменты, чтобы обезопасить себя, гораздо меньше людей имеют такие инструменты.
Кроме того, участники семинара считали, что потребители обычно занижают уязвимость к фишинговым атакам. Из-за этого организациям сложно понять истинный размер
проблемы. Недостаточная отчетность может быть результатом того, что потребители не могут идентифицировать адрес электронной почты.
как «фишинг» или не зная, стали ли они жертвой «фишинга», потому что любая связь между фишинговым письмом и последующим инцидентом кражи личных данных или неправомерного использования учетной записи может быть неочевидной.
B. Вторая сессия: Текущие усилия по борьбе с фишинговыми атаками и обучению потребителей
Большинство участников сообщили, что их организации предоставляют потребителям информацию о том как сообщать о фишинге и размещать на своих веб-сайтах информацию о безопасности, чтобы помочь информировать потребителей о практике. Среди инструментов, которые организации используют для предотвращения попыток фишинга:
1) личное изображение, которое клиент всегда видит при входе в систему, которое аутентифицирует сайт для пользователь,
2) слоган в каждом электронном письме от компании, объясняющий, что они никогда не будут просить пароль клиента или банковская информация,
3) панели инструментов, предупреждающие клиентов о том, что сайт подозрительный.
Многие организации работают за кулисами - и за кадром - с поставщиками услуг Интернета, чтобы уменьшить количество фишинговых писем, доставленных их клиентам.
Некоторые из их практик:
1) иметь механизмы аутентификации на уровне домена,
2) предоставление фильтров для предотвращения попадания фишинговых писем почтовый ящик клиента,
3) маркировка всех логотипов и изображений брендов, чтобы сократить время, необходимое для поиска поддельных сайтов.
Представители интернет-провайдеров отметили, что обычно они работают напрямую с организациями, чтобы предупредить их, что их продукты используются для попыток фишинга.
С. Третья сессия: Разработка плана повышения эффективности обучения потребителей и мобилизация ключевых игроков
Во время секционных заседаний участники обсудили потенциальные элементы плана действий для фишингового образования. Участники были заинтересованы в продолжении совместной работы над улучшением антифишинговых сообщений для потребителей и предприятий, разработка стратегий по охвату потребителей «обучаемый момент» (с использованием, например, панелей безопасности и информационных целевых страниц), и разработка новых каналов связи для повышения осведомленности о сетевой безопасности.
Национальный Альянс "Cyber Security" объявил о создании целевой группы по обучению фишингу. Рабочая группа по борьбе с фишингом объявила о намерении разработать фишинговые целевые страницы и несколько участников взяли на себя обязательство разместить новые видеоролики FTC на своих веб-сайтах и иным образом продвижение видео.
В ходе секционных заседаний были выявлены три ключевые темы:
• методы уточнения сообщения;
• стратегии для достижения нужных людей в нужное время;
• разработка рекомендаций для бизнеса.

1. Методы уточнения сообщения
Участники согласились с тем, что антифишинговые сообщения следует проверять и уточнять для простоты, последовательности и позитивности. Многие предлагали правительству сосредоточиться на координации образовательных мероприятий, и что согласованность антифишинговых сообщений требует согласованные усилия.
а. Связывание антифишинговых сообщений с кражей личных данных
Участники отметили, что продолжение связывания антифишинговых сообщений с кражей личных данных является хорошей практикой, потому что потребители уже осознают опасность кражи личных данных. Информирование потребителей что предотвращение фишинга может снизить риск стать жертвой кражи личных данных может быть больше
эффективнее, чем просто продвижение антифишинговых сообщений. Некоторые участники дискуссии предложили напомнить потребителям, которых фишеры ищут для собственной финансовой выгоды, что послужило еще одним эффективным сообщением.
б. Разработка поведенческих сообщений
Участники указали, что лучшие антифишинговые сообщения носят скорее поведенческий, чем технический. Например, инструкции о том, как проверить, является ли URL-адрес поддельным, вряд ли будут таким эффективным в качестве поведенческих сообщений, которые могут быть направлены на то, чтобы побудить пользователей научиться учитывать
источник запроса, прежде чем они предоставят свою информацию. Оценка того, кому доверять в Интернете может помочь предотвратить превращение пользователей в жертв фишинга. Было отмечено, что фишеры используют срочность и вызвать у потребителей панику, чтобы вызвать у потребителей быструю эмоциональную реакцию. Образовательный
сообщение, которое может изменить поведение потребителей в этом сценарии, будет напоминать потребителям не торопиться, прежде чем раскрывать личную информацию, быть скептичными и не предполагать, что все запросы информации безопасны. Участники описали это как разработку здорового чувства скептицизма - или «уличный ум» - в Интернете. Учитывая, что многие онлайн пользователи привыкли быстро переходить по ссылкам и необязательно разбираются в технологиях, участники группы предложили использовать крылатую фразу, такую как «остановись, подумай и проверь», прежде чем отвечать на электронное письмо с запросом личной информации необходимо для повышения осведомленности о фишинге.
Участники также заявили, что сообщения молодым людям (и другим) должны быть сосредоточены на поведение, а не технологии. То есть мы должны научить пользователей компьютеров ценить свою личную информацию больше, чем в настоящее время, и как решить, когда доверять запрос на нее, а не сосредочиться на конкретной технологии, например электронной почте.
c. Совместная работа над коалицией
Несколько участников предположили, что для уточнения антифишинговых сообщений требуется участие соответствующие заинтересованные стороны. Этот процесс должен основываться на целостном исследовательском подходе - с использованием академических исследований и отраслевую информацию о поведении пользователей и опросы потребителей, чтобы сообщения »перед запуском общенациональной кампании. В целом участники круглого стола согласились с тем, что целевая группа по обучению фишингу - хорошая идея, потому что многие эффективные кампании разработаны коалициями бизнеса, правительства и потребительских организаций. Большинство участников
согласился быть в этой целевой группе.

2. Стратегии охвата нужных людей в нужное время и в правильном месте
Группа согласилась с тем, что важно определить уместные «обучающие моменты», когда потребители с большей вероятностью будут открыты для антифишинговых информационных сообщений. Несколько тактик были обсуждены. Среди них были:
а. Образовательные целевые страницы
Как только фишинговые сайты удаляются провайдерами, их следует заменить целевыми страницами с соответствующими информационными сообщениями о фишинге. Эти образовательные страницы будут содержать четкие и простые антифишинговые сообщения, последствия отказа от личной информации и информацию о том, где потребитель может получить дополнительную информацию.
Чтобы страницы были содержательными, они должны быть запущены как можно быстрее после того, как фишинговые страницы обнаруживаются так, что если потребитель отвечает на фишинговое письмо, новая целевая страница появляется вместо поддельного сайта. Рабочая группа по борьбе с фишингом разработала две версии этих образовательных целевых страниц в сотрудничестве с Университетом Карнеги-Меллона и представила их участникам круглого стола. Участники считали, что это хорошее начало, но рекомендуется проделать больше работы, в частности, чтобы страницы были краткими, понятными и иметь более общий характер, чтобы многие организации могли их использовать.
б. Использование новых каналов связи для обучения онлайн-безопасности
Участники подчеркнули важность использования новых каналов для обучения онлайн-безопасности. Все отдельные группы обсудили роль школ в обучении молодых людей безопасному онлайн-обучению и поведению. Был консенсус, что больше школьного образования по компьютерной безопасности, кибербезопасности и киберэтике - хорошая идея. Несколько участников указали на школьную систему Вирджинии законодательно закрепленную образовательной программой по безопасности в Интернете.
Участники дискуссии отметили, что юным пользователям компьютеров следует доставлять антифишинговые сообщения через каналы, которые использует большинство молодых людей, например, мобильные устройства, игры и видео, и не следует сосредотачиваться на электронной почте или конкретных технологиях.
Большинство участников считали, что октябрь, который Национальный альянс кибербезопасности продвигает как Месяц осведомленности о кибербезопасности, это хорошее время для всех основных заинтересованных сторон, чтобы сосредоточиться на антифишинговом образовании и безопасности в Интернете. Группа хочет изучить способы получить больше
информации о безопасности в Интернете для новых пользователей компьютеров, включая, например, потребителей, которые только что купили новый компьютер или операционную систему, или недавно заключили договор с интернет-провайдером.
Некоторые участники упомянули «вишинг», то есть использование социальной инженерии и технологии передачи голоса по Интернет-протоколу («VoIP») для получения доступа к частным личным и финансовой информации от потребителей. Вишинг возможен, потому что технология VoIP позволяет спуфинг идентификатора вызывающего абонента, который позволяет «вишеру» действовать анонимно. Несколько участников предложили использование сообщений голосовой почты против вишинга для информирования потребителей о том, что делать, когда они звонят на номера телефонов, используемые в мошенничестве.
Некоторые участники отметили, что люди предпочитают «контрольные списки» безопасности с действиями, которые необходимо предпринять - или избегать - оставаться в безопасности в сети; таким образом, общий контрольный список с антифишинговыми сообщениями может быть частью пакета эффективных средств защиты от фишинга. Наконец, было обсуждение того, что потребители воспользоваться последовательными программными средствами защиты от фишинга, такими как предупреждения о безопасности в Интернете и значки.

3. Разработка руководства для бизнеса
В целом группа согласилась с тем, что компаниям следует предоставлять больше информации о влиянии фишинга и возможные ответы на фишинговую атаку. Это руководство было описано как гибридный образовательный подход, потому что он будет включать обучение предприятий, а также регистраторов и интернет-провайдеров.
а. Обучение малых и средних предприятий
Малые и средние предприятия были определены как уязвимые, поскольку им может не хватать ноу-хау для борьбы с фишинговыми атаками и эффективного взаимодействия с клиентами. Этим предприятиям были бы полезны данные о возможном влиянии на их бренд и рекомендации о том, как создать план на случай фишинга. Такое руководство должно включать: как общаться с потребителями о фишинге; как работать с интернет-провайдерами, регистраторами и охранными компаниями, по поводу поддельных сайтов; и как разместить обучающие целевые страницы.
б. Работа с регистраторами и интернет-провайдерами
Было отмечено, что регистраторов и интернет-провайдеров также следует поощрять к разработке плана действий когда они узнают, что размещают фишинговый сайт. Некоторые участники предположили создать учебный комплект для регистраторов и интернет-провайдеров. Однако многие отмечали, что интернет-провайдеры сталкиваются с международными препятствиями и тем, что им трудно работать с иностранными коллегами, и то и другое создают вызовы реализации такого плана.

IV. Заключение
Семинар собрал группу людей, которые могут сыграть важную роль в обучении потребители и компании о методах фишинга и их влиянии. Отзыв о мастерской был очень позитивным, и в настоящее время мы планируем продолжить содержательный разговор.

 

[Carding 4 Carders]

Как избежать фишинговых атак​

Количество и изощренность фишинговых атак, рассылаемых потребителям, продолжает резко расти. Хотя онлайн-банкинг и электронная коммерция очень безопасны, как правило, вы должны быть осторожны при предоставлении своей личной финансовой информации через Интернет. Рабочая группа по борьбе с фишингом составила список рекомендаций, которые можно использовать, чтобы не стать жертвой такого мошенничества.

1. С подозрением относитесь к любым электронным письмам с срочными запросами личной финансовой информации
2. Фишеры обычно включают в свои электронные письма расстраивающие или захватывающие (но ложные) заявления, чтобы заставить людей немедленно отреагировать
3. Они обычно запрашивают такую информацию, как имена пользователей, пароли, кредит номера карт, номера социального страхования / национальной безопасности, дата рождения и т. д.
4. Не используйте ссылки в электронном письме, мгновенном сообщении или чате, чтобы перейти на любую веб-страницу, если вы подозреваете, что сообщение может быть не подлинным. Вместо этого позвоните в компанию по телефону или войдите на веб-сайт напрямую, набрав веб-адрес в вашем браузере
5. Вы должны передавать такую информацию, как номера кредитных карт или данные учетной записи, только через защищенный веб-сайт или по телефону.
Всегда проверяйте, что вы используете защищенный веб-сайт, отправляя данные кредитной карты или другую конфиденциальную информацию через веб-браузер.

Управление вашей учетной записью
Ваша регистрационная информация, особенно ваш пароль, является ключом к вашей учетной записи. Чтобы предотвратить несанкционированный доступ к вашей учетной записи, мы рекомендуем вам никогда не сообщать свою информацию для входа в систему, менять ее не реже одного раза в три месяца и всегда использовать сложный пароль.

Советы о том, как создать сложный пароль:
Простые пароли, которые могут быть легко угаданы другими (например, password, password1, 1234), запрещены. Вместо этого попробуйте использовать слова или фразы, которые имеют более личное значение.
Ваш пароль должен состоять минимум из 8 символов. Попробуйте использовать больше, если можете. Каждый дополнительный персонаж помогает.
Убедитесь, что вы используете хотя бы одну цифру или символ (кроме "&", "<" или "@", использование которых запрещено) в вашем пароле. Это не только необходимо, но и усложняет угадывание пароля и затрудняет его создание автоматическими декодерами.
Чтобы его было легче запомнить, попробуйте заменить несколько букв в пароле похожими цифрами или символами; например, используйте ноль вместо буквы O и замените букву S на $.
Создайте парольную фразу. Некоторые доски объявлений поддерживают использование пробела в паролях, поэтому вы можете использовать в качестве пароля целую фразу.
Избегайте этих распространенных ошибок при вводе пароля: слова, найденные в словаре, легче угадать. Лучше всего использовать случайную последовательность символов.
Последовательности символов и повторяющиеся символы (например, 123456, abcdefg, 9999) также легче угадать. Если вы меняете свой пароль каждый месяц с «пароль1» на «пароль2», «пароль3» и т.д., Кто-то может легко взломать ваш код.
Никогда не используйте пароль, который совпадает с вашим именем пользователя, адресом электронной почты, настоящим именем или названием компании или является его вариантом.
Никогда не используйте пароль, который используется как пример надежного пароля.

Храните свой пароль в безопасности
Вы единственный человек, которому нужно знать ваш пароль. Не делись этим ни с кем. Если вас беспокоит, что кто-то еще может узнать ваш пароль, немедленно измените его.
Как ни заманчиво было бы записать свой пароль, чтобы помочь вам его запомнить, это очень небезопасно.
Никогда не отправляйте никому свой пароль и, самое главное, никогда не отвечайте на электронные письма с просьбой ввести пароль.