Фишинг и вредоносное ПО: почему старые методы все еще работают?
Зиннятуллин
директор Angara SOC
53% хакерских группировок, нацеленных на российский сектор, успешно достигают своих целей с помощью фишинга, отмечает Тимур Зиннятуллин, директор Angara SOC. Фишинг – это вид интернет-мошенничества, целью которого является получение идентификационных, корпоративных, банковских и других видов данных пользователя и распространение вредоносного программного обеспечения (ВПО). Мошенники применяют для этого разные методы, которые постоянно эволюционируют, но их успех часто основан на простых человеческих факторах: недостаточной осведомленности и неаккуратности пользователей. Они наносят существенный ущерб как частным лицам, так и организациям.
Фишинг делится на массовый и целенаправленный. Массовый привлекает мошенников экономической эффективностью, когда создание и распространение схем не требует больших финансовых и трудовых затрат, а потенциальная прибыль может быть внушительной. Например, 72% фишинговых атак во втором квартале 2024 года было запущено с использованием бесплатных почтовых сервисов, таких как Google (72.4%), Microsoft (16.3%) и др. Ситуация не сильно изменилась в сравнении с аналогичным периодом в 2023 году. Чаще всего использовался так же Google (79%) и Microsoft (10%), однако тогда в статистике также в отдельную категорию выделяли mail.ru (1%).
Самым популярным во втором квартале 2024 было мошенничество с подарочными картами (38%), ранее в 2023 году - с авансовыми платежами (44%). В последней схеме злоумышленники могут предложить инвестировать деньги в новый продукт, услугу или бизнес-проект, однако для начала нужно будет заплатить аванс, чтобы покрыть "первоначальные расходы". К письму также могут прилагаться документы для придания легитимности. Остается прежней популярность фишинга с перенаправлением заработной платы (около 8%).
При массовом типе фишинга помимо писем рассылаются также смс, сообщения в мессенджерах, таким образом вредоносное ПО или ссылки распространяются в огромных количествах. Достаточно одного пользователя, открывшего вложение из фишингового письма, для развития успешной атаки. Так, согласно исследованиям Fortra's Terranova Security от 2023 года, каждый 10 человек переходит по фишинговым ссылкам. У испытуемых организаций с численностью сотрудников от 100 до 499 человек выявили самый высокий показатель отправки паролей в поддельных формах на сайтах из писем (7,3%).
Однако встретить вредоносные ссылки можно не только в письмах, но и даже в откликах с резюме. Такие ссылки могут перенаправить пользователя на фишинговый веб-ресурс, который будет, например, копией настоящего сайта агентства по подбору персонала, где предлагается ввести корпоративные учетные данные.
Кроме того, выросло число мошенничеств, осуществляемых через легитимные сервисы и ресурсы, например, сбор данных через Google Forms или Yandex Forms. Под разными предлогами мошенники предлагают заполнить анкеты, вопросы в которых подразумевают в том числе передачу персональных, финансовых и других личных данных пользователя.
Целенаправленный фишинг рассчитан на конкретное лицо или организацию. При таком типе атаки мошенникам необходима дополнительная подготовка, чтобы использовать более убедительную схему, знать от кого и кому писать или какие фишинговые ресурсы создавать. Также им помогают методы социальной инженерии, которые заставляют пользователей действовать импульсивно. Поэтому, злоумышленники создают письма со знакомыми темами, такими как чеки, счета, или замаскированные под рассылки от Microsoft. Письма прорабатываются очень детально: имитируются QR-коды и цифровые подписи. Не все сотрудники компаний настолько подкованы в сфере информационной безопасности, что смогли бы, например, сверить дату DKIM-подписи (Domain Keys Identified Mail) с датой отправки самого письма.
Согласно исследованию SuperJob за 2023 год 7% опрошенных сотрудников использовали только корпоративные мессенджеры в работе, а 44% использовали только общие (например, WhatsApp, Viber, Telegram). Некоторые общаются в Telegram из-за привычки или чувства фантомной безопасности, забывая отключить автозагрузку медиа, в котором может находится вредоносное ПО. Если сотрудники компании используют открытые чаты, то злоумышленники могут проникнуть в них и отправить фишинговую ссылку или вложение с вредоносным ПО. Вдобавок к этому открытые чаты можно использовать как основу для создания базы аккаунтов для дальнейшей рассылки.
В некоторых организациях обучение по вопросам кибербезопасности проводится нерегулярно или вовсе отсутствует, что делает их легкой добычей для мошенников. В условиях высокой загруженности и стресса сотрудники могут действовать менее осмотрительно, чем обычно. При наличии огромного количества писем в почтовом ящике тяжело проверить каждое на легитимность, а фейковый "начальник" в мессенджерах и вовсе не вызовет подозрений. Последнее происходит в том числе из-за склонности людей доверять сообщениям, которые выглядят официально и правдоподобно.
Существует и более неожиданный канал заражения для пользователя, чем почта и мессенджеры, — SMS-фишинг или смишинг. Если для отслеживания возможного почтового фишинга существуют разного рода решения для бизнеса, то застраховать личные устройства сотрудников от смишинга сложнее.
Если регулярно информировать сотрудников о новых видах фишинговых атак и новых уязвимостях в приложениях и ПО, то это поможет снизить вероятность попадания на мошеннические уловки в сети. Также можно разработать памятку для сотрудников по личной безопасности в мессенджерах.
Необходимо подчеркнуть важность использования корпоративных мессенджеров для сотрудников и ввести их использование. Не все неспециализированные мессенджеры защищены end-to-end шифрованием, а при регистрации могут собираться не только сведения о номере, но и метаданные. Используя метаданные, злоумышленники могут отслеживать пользователей, изучать их поведение и интересы в открытых чатах. Такая информация поможет лучше подготовиться к целевой атаке. Также неизвестно, останутся ли в безопасности данные, хранящиеся на облачном сервере, при взломе или перекупе чувствительной информации злоумышленниками.
Так как одна из целей фишинга — это кража учетных данных, то внедрение многофакторной аутентификации поможет снизить риск проникновения в инфраструктуру компании. Также важно объяснить сотрудникам опасность регистрации на сторонних сайтах с указанием корпоративной почты. При утечке данных с сайта и отсутствии второго фактора защиты злоумышленники смогут направить фишинговое письмо с "легитимного" почтового адреса. Это возможно осуществить, если пароли от почтового сервиса и стороннего сайта с утечкой совпадают. Для придания еще большей правдоподобности атакующие могут отправить ответ на уже существующую ветку писем. В таком случае вероятность перехода по ссылке и скачивания вложений с вредоносным ПО очень высока.
Помимо этого, сейчас уже существуют тренажеры, которые, кроме электронных курсов, содержат в себе симуляции фишинговых атак. Есть и бесплатные фреймворки, которые можно использовать для изготовления более точных фишинговых писем под конкретную компанию с целью тренировки персонала.
При организации фишинговых учений в первую очередь нужно определить, с кем необходимо их согласовать, чтобы информация о фейковой атаке не дошла до сотрудников заранее. Также нужно сформулировать критерии по оценке успешности прохождения тестирования и протокол действий после учений. Лучше всего подобрать время для фишинговой рассылки, когда сотрудники могут быть отвлечены или не сфокусированы, например, рано утром. Для большей правдоподобности лучше отправлять письма в алфавитном порядке всем сотрудникам компании или департамента, если проводится проверка конкретного пласта людей.
На рынке информационной безопасности существуют различные решения для защиты от фишинга. Как правило, они предоставляются по подписке и не требуют внедрения и эксплуатации оборудования, а также содержания штата ИБ-специалистов.
Кроме того, нужно помнить про цифровой след организации в сети, где злоумышленники и берут информацию об инфраструктуре компании и ее сотрудниках. Не стоит оставлять избыточные данные: личные телефонные номера или почтовые адреса, куда потенциально может быть направлено целевое письмо.
