Фишинг остается любимым оружием киберпреступников: восемь из десяти группировок, атакующих Россию и другие страны СНГ, используют его, чтобы проникнуть в IT-системы компаний. Причем масштабы растут: если в 2023 году с фишинга начиналось 68% целевых атак на российские организации, то в первом полугодии 2024-го уже 76%.
Злоумышленники маскируют вредоносные письма — делают их похожими на деловую переписку, счета или документы. Все, чтобы получатель поверил и перешел по ссылке или открыл файл, запустив таким образом вредоносную программу.
Но иногда преступники промахиваются. И тогда фишинговые письма становятся настолько странными, что вызывают скорее смех, чем доверие. Однако даже за самыми нелепыми письмами может скрываться серьезная угроза. Поэтому, смеясь над ошибками киберпреступников, не стоит забывать сохранять бдительность.
Финансовые письма с элементами абсурда
В 2024 году 79% фишинговых писем выглядели как финансовые документы: счета, платежные поручения и тому подобное. Это одно из самых популярных прикрытий у злоумышленников, ведь в любой компании есть сотрудники, которые работают с финансовыми документами. Такие сообщения редко вызывают подозрения.
Но некоторые фишинговые письма выглядят настолько нелепо, что распознать их можно с первого взгляда. Например, вот подтверждение платежа якобы от имени одной из инжиниринговых компаний, которая предлагает решения для горнодобывающей промышленности, транспорта и других отраслей. Уже первая строка «Привет, дорогой» заставляет насторожиться. Даже если сообщение не такое странное и сразу в глаза ничего не бросается, нужно быть бдительным. Стоит обращать внимание на текст письма, адрес отправителя, смотреть, правильно ли написано название компании.
Если письмо от подрядчика, заказчика или коллеги кажется подозрительным, не стоит открывать вложения и переходить по ссылкам. Необходимо сообщить об этом в службу безопасности своей компании и связаться с отправителем другим способом, например, в мессенджерах или по телефону.
Хотели сказать по-русски, но что-то пошло не так
Злоумышленники — тоже люди и стремятся оптимизировать свою работу. Часто они идут простым путем и используют обычные онлайн-переводчики, чтобы адаптировать фишинговые рассылки под нужный язык. Качество текста в таких случаях оставляет желать лучшего. Например, в одну из российских логистических компаний пришло письмо с приветствием «Дорогой апрель». Скорее всего, злоумышленники взяли какое-то англоязычное письмо, где фигурировало имя April (Эйприл), но онлайн-переводчик решил, что это название месяца.
Подобные ошибки встречаются регулярно. Например, в прошлом году в российскую компанию приходили письма, начинавшиеся со слов «Уважаемый господин». По-русски так никто не пишет — это дословный перевод привычного для англоязычной деловой переписки обращения Dear Sir. К сожалению, на эту странность почти никто не обратил внимание, и больше 400 компаний оказались скомпрометированы всего за 24 часа с момента рассылки. Во вложении к этому письму скрывалась вредоносная программа Agent Tesla, с помощью которой киберпреступники крадут конфиденциальные данные.
Резюме с подвохом
Фишинговые письма, замаскированные под резюме, встречаются нечасто — их всего 5% от общего числа. Но кибергруппировка Silent Werewolf решила использовать именно этот прием в своих шпионских атаках. Однажды в организацию, которая помогает малому и среднему бизнесу, пришло письмо от якобы соискательницы. Девушка представлялась бывшей моделью, которая теперь ищет работу секретаря. Она была готова заниматься «организацией жизнедеятельности» офиса и выполнять некие «представительские функции». А завершалось письмо игриво подмигивающим смайликом. К письму был приложен архив с рекомендациями и фото привлекательной девушки (скорее всего, сгенерированными с помощью ИИ). Но вместе с ними там пряталcя загрузчик бэкдора (программы для доступа к компьютеру, серверу или другого устройства путем обхода аутентификации) XDigo.
Резюме может быть составлено и более тщательно, ведь злоумышленники знают, что найти хорошего сотрудника — задача не из простых, и применяют это в своих атаках. Поэтому нужно быть бдительным, а чтобы снизить риски, стоит искать кандидатов только на проверенных ресурсах и не доверять сомнительным письмам с резюме.
Когда фантазия покидает преступников
Обычно злоумышленники подбирают отвлекающие документы, чтобы они соответствовали теме письма. Например, если сообщение якобы от регулятора, во вложении, скорее всего, окажется что-то похожее на официальное постановление.
Но бывает, что-то ломается. Иногда кажется, что преступники спешили либо их фантазия закончилась — они выбирают в качестве отвлекающего документа буквально первый попавшийся текст. Например, могут прислать эссе о личности первого президента КНДР Ким Чен Ира. А некоторые вложения выглядят так, будто по клавиатуре случайно пробежала кошка.
Как защититься от от иногда смешного, но всегда опасного фишинга
Иногда фишинговые письма выглядят настолько нелепо, что вызывают улыбку. Но за внешней комичностью скрывается реальная угроза. В случае успешной атаки ущерб для компании может быть громадным: страдает значительная часть IT-инфраструктуры, а объемы похищенных данных могут исчисляться десятками терабайт.
Чтобы обезопасить компанию, рекомендуется использовать сервисы для фильтрации нежелательных писем, а также решения для защиты конечных точек от сложных угроз. Но не менее важно обучить сотрудников ключевым навыкам кибергигиены, например, внимательно проверять адресата и содержание письма, не открывать подозрительные вложения и не переходить по внешним ссылкам. Эти несложные правила могут значительно снизить риск успешных атак на организацию.
Мнение редакции может не совпадать с точкой зрения автора