14.02.2024

Эксперты Positive Technologies проанализировали фишинговые атаки на организации в 2022–2023 годах и представили исследование на Уральском форуме "Кибербезопасность в финансах". Чаще всего в фишинговых сообщениях злоумышленники выдают себя за подрядчиков. Бизнес-модель phishing as a service ("фишинг как услуга") стала обычной практикой. Эксперты прогнозируют увеличение роли искусственного интеллекта в фишинговых атаках и противодействии им.

По данным исследования, основными целями фишинговых атак являются получение данных (85%) и финансовой выгоды (26%). Одним из каналов сбыта украденной конфиденциальной информации является дарквеб, где спрос на персональные и учетные данные сотрудников компаний и их клиентов традиционно высок. Кража информации может производиться также с целью шпионажа за организацией или страной.

Среди злоумышленников эксперты отдельно отмечают хактивистов, деятельность которых продолжает набирать обороты из-за обостренной геополитической обстановки в мире. Их основная задача — навредить— навредить жертве любыми способами, как в случае с атакой на автозаправочные станции Ирана в декабре прошлого года силами предположительно израильской APT-группировки.

В исследовании говорится, что "фишинг как услуга" стал обычной практикой, эксперты прогнозировали такое распространение киберуслуг несколько лет назад. Сегодня эту бизнес-модель используют как профессиональные АРТ-группировки и опытные злоумышленники-одиночки, так и новички, не обладающие специальными знаниями и навыками. Как показал анализ мессенджеров и форумов в дарквебе, на которых встречалось упоминание социальной инженерии, наиболее популярными категориями среди запросов и предложений стали готовые фишинговые проекты, инструменты для проведения фишинговых атак и услуги по разработке фишинговых страниц.

Большинство фишинговых атак осуществляется через электронную почту (92%), однако преступники умеют подстраиваться под особенности бизнеса, используя для доставки вредоносных сообщений мессенджеры (8%) и СМС-сообщения (3%). Популярным сценарием атак является выдача себя за руководителя или сотрудника организации в различных каналах связи. Для создания поддельного профиля с целью рассылки вредоносных сообщений злоумышленнику достаточно знать имя руководителя или сотрудника организации-жертвы и иметь их фотографии.

"Основным вектором развития фишинга мы видим автоматизацию процессов атаки с помощью ИИ-инструментов, — говорит бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. — Они набирают все большую популярность и используются как злоумышленниками (для подготовки и реализации фишинговых атак), так и специалистами по информационной безопасности (для противодействия киберугрозам). С помощью ИИ киберпреступники поддерживают осмысленный диалог с жертвой, генерируют убедительные фишинговые сообщения, создают дипфейки голосов, изображений и видео".

Больше половины инцидентов, рассмотренных в исследовании, были направлены на конкретную организацию, отрасль или страну. Чаще других в фокусе злоумышленников оказывались госучреждения (44% инцидентов, в которых прослеживается отраслевая направленность) и оборонные предприятия (19%). Замыкают топ-3 основных жертв фишинговых атак организации в сфере науки и образования (14%).

По данным исследования, чаще всего (26% атак) злоумышленники выдают себя за контрагентов. "Фишеры присылают поддельные акты сверки, счета фактур, документы для продления договоров и другие данные, связанные со взаимодействием с подрядчиками, — говорит аналитик исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Косолапова. — Популярность этой уловки объясняется тем, что она применима практически для всех организаций и предполагает наличие в сообщении ссылок или вложений. В 58% атак такие приманки не содержали привязки к конкретной отрасли. При этом в целевых атаках на медицинские, финансовые, промышленные и телекоммуникационные организации эта тема используется чаще других".

Для предотвращения, обнаружения и реагирования на угрозы фишинговой атаки эксперты предлагают внедрять в организациях обучение сотрудников и проведение фишинговых симуляций, использование репутационных механизмов на основе средств защиты классов SWG (secure web gateway), NGFW (next-generation firewall), SASE (secure access service edge), решений класса EDR для защиты конечных точек (endpoint detection and response), а также почтовых песочниц и механизмов антифишинга, встроенных в популярные браузеры (в том числе через дополнительные плагины). Чтобы не пропустить опасную уязвимость, через которую может быть осуществлена фишинговая атака, рекомендуется внедрять системы класса VM (MaxPatrol VM) и для своевременного обнаружения инцидента ИБ использовать SIEM-системы (MaxPatrol SIEM). Нельзя пренебрегать и классическими принципами цифровой гигиены на персональных компьютерах и мобильных устройствах (регулярное обновление, минимальный набор привилегий).