Почта как вектор атаки
Помимо традиционных фишинга или рассылки вредоносного ПО, электронная почта стала использоваться для афер, направленных на кражи денежных средств путем внедрения в корпоративные цепочки прохождения платежей. Раньше в России такие атаки были редкостью, но их количество быстро растет.
"Для киберпреступников электронная почта - идеальный вектор атаки. Весной специалисты Group-IB фиксировали в России двухкратный рост количества вредоносных почтовых рассылок по сравнению с началом года. Чаще всего преступники отправляли вредоносные программы (шпионское ПО, бэкдоры, загрузчики) и фишинговые формы, но иногда встречались фейковые счета для оплаты", - такое мнение высказали эксперты Group-IB.
На вебинаре "Топ-5 типов атак на электронную почту" менеджер по развитию сервиса Security Mail Gateway "РТК-Солар" Егор Клименко назвал наиболее распространенной атакой с использованием электронной почты фишинг, на который приходится 57% от общего числа атак. Большая часть таких атак приходится на массовые кампании, эффективность которых крайне низка. Плюс ко всему, с такими видами атак научились вполне успешно бороться провайдеры почтовых услуг, в том числе и российские, например "Яндекс". Наиболее опасен целевой фишинг, поскольку сценарии таких атак разрабатываются под конкретную компанию. Для разработки таких сценариев применяется анализ информации из социальных сетей, а также сведениях из украденных почтовых архивов. Как показывает практика, переходит по фишинговых ссылкам около трех четвертей пользователей. По данным VirusTotal, на целевой фишинг приходится 12% от общего числа атак.
Именно успешная фишинговая атака в трех из четырех случаев является первой фазой целевой атаки на компанию. Обычно они направлены на кражу денег или иных активов, а также получение данных. По мнению Егора Клименко, тут показателен пример атаки на онлайн-игру Axe Infitity, в ходе которой украдена криптовалюта на более чем полмиллиарда долларов. Добиться своих целей удалось с помощью атаки на одного из разработчиков, которому было отправлено фиктивное приглашение на новую работу.
Также 39% случаев заражения вредоносным ПО происходит через электронную почту. Особо выделяются шифровальщики. По статистике VirusTotal, на их долю приходится каждый девятый инцидент в мире. Positive Technologies оценивает долю такого рода инцидентов выше. "Более чем в половине случаев атак на организации вымогательское ПО доставляется по электронной почте, и злоумышленники используют методы социальной инженерии, чтобы жертва обратила внимание на письмо и открыла вредоносный файл", - предупреждает аналитик исследовательской группы Positive Technologies Федор Чунижеков.
Егор Клименко особо остановился на том, что в качестве контейнеров для вредоносного ПО часто применяются документы в офисных форматах, содержащие макросы. "Последние несколько лет злоумышленники активно используют офисные приложения при проведении как массовых атак на пользователей, так и целевых - на конкретные компании. Сегодня вредоносные офисные документы - один из самых распространенных способов заражения устройств жертвы, причем происходит это часто через старые незакрытые уязвимости", - напоминает эксперт по кибербезопасности "Лаборатории Касперского" Денис Паринов. По данным "Лаборатории Касперского", по итогам I квартала 2022 г. Россия вошла в десятку стран с наибольшим количеством зараженных документов в электронной почте.
Именно таким образом распространяется крайне опасный зловред Emotet, обладающий огромным набором функций. Он стал самой настоящей SaaS-платформой, которая сдается для разнообразных специфических услуг киберпреступного рынка.
https://www.comnews.ru/content/220690/2022-06-14/2022-w24/emotet-naraschivaet-aktivnost-i-funkcional
При этом Федор Чунижеков обращает внимание, что злоумышленники активно осваивают альтернативные программные платформы: "Не только компьютеры под управлением ОС Windows в опасности: шифровальщики активно портируются на Unix-системы как, например, недавно появившийся вымогатель BlackBasta для Linux. На кросс-платформенный язык Rust перенесла своего шифровальщика группировка Hive, что дало возможность атаковать и Windows, и Unix-системы. Шифровальщики постоянно совершенствуют и расширяют свои возможности - они атакуют сетевые накопители, резервные копии систем, виртуальную инфраструктуру".
Крайне серьезной угрозой в мировом масштабе, которая недооценивается в России, является мошенничество с использованием корпоративной электронной почты. Как подчеркнул Егор Клименко, коварство данных атак заключается в том, что их сложно или даже невозможно детектировать с помощью технических средств.
"В основе этого метода лежит популярный вид мошенничества "Нигерийские письма", который много лет назад появился в Африке, причем еще до распространения интернета такие письма отправлялись по обычной почте. Мошенники, обещая солидную финансовую помощь, просили перевести деньги якобы на оформление сделок, уплату сборов, взятки чиновникам, и т.п., - поделились подробностями эксперты Group-IB. - Со временем киберпреступники взяли этот прием на вооружение, и теперь "нигерийские письма" с зараженными ссылками или файлами отправляются не только на личную почту или в социальные сети, но и в офисы международных компаний. Сначала преступники при помощи фишинга получают доступ к электронной почте контрагента или партнера компании: создается, например, фальшивый сайт, имитирующий почтовый сервис, где ничего не подозревающий пользователь вводит свой логин и пароль, которые передаются злоумышленнику; теперь он может взять под контроль настоящий почтовый ящик жертвы и вести переписку от ее имени. Второй этап - компании-плательщику с почтового ящика партнера присылают вполне реальные счета и "левые" реквизиты - и через цепочку банков деньги попадают в руки мошенников".
В мире ущерб от такого рода афер в 2021 г. составил $26 млрд. По статистике Virus Total, на такие инциденты пришлось 40% от общего количества. Один только автопроизводитель Toyota подвергался атакам злоумышленников три раза в течение 2010-х гг., и каждый раз им удавалось, выдавая себя за контрагентов, получить на свои счета восьмизначные суммы в долларовом исчислении. Максимальный "улов" составил $37 млн в 2019 г. В России также отмечались такие атаки. В частности, в ноябре 2020 г. были объявлены фиктивные закупочные процедуры от имени компании "Т Плюс" на услуги по уборке помещений, пошив спецодежды и изготовление сувенирной продукции. "Одна из российских металлургических компаний пару лет назад по просьбе своих азиатских партнеров перевела по указанным в письме реквизитам деньги на счета в одном из европейских банков, и они затерялись где-то в африканских странах", - таким примером поделились эксперты Group-IB.
Эксперт по кибербезопасности "Лаборатории Касперского" Роман Деденок предупреждает: "В последнее время мы наблюдаем увеличение количества почтовых атак, направленных как на обычных пользователей, так и на сотрудников компаний. Для сотрудников компаний BEC-атаки (компрометация деловой электронной почты) представляют наибольшую опасность - помимо базовых сценариев, в которых сотрудника просят срочно оплатить какую-либо накладную или перевести зарплату одного из сотрудников на новые банковские реквизиты, существует ряд атак, которые нацелены на ключевую для компании информацию - внутренние отчеты, конфиденциальные данные, документы, содержащие коммерческую тайну. Атаки такого типа могут происходить в несколько этапов, а полученные данные могут быть использованы для продажи, шантажа или для последующих атак".
9% атак приходятся на кражи учетных записей. "Наиболее высокому риску, как подчеркнул Егор Клименко, подвержены ИТ и телеком. В итоге в даркнете можно найти 24 млрд логинов и паролей к разным сервисам. При этом многие пользователи пренебрегают правилом не использовать одинаковые учетные данные для разных ресурсов, чем пользуются злоумышленники. Тут показателен пример сервиса для организации свадеб Zolla, который был надежно защищен, но злоумышленники смогли подобрать пароли, воспользовавшись беспечностью пользователей. В итоге злоумышленники получили доступ к реквизитам платежных карт со всеми вытекающими", - сообщил он.