Еще до прочтения сжечь: почему киберпреступники не снижают фишинговую активность

Роман Рожков Редакция Forbes

По данным исследования экспертов F.A.C.C.T., изучивших фишинговые рассылки во II квартале 2024 года, в 97% обнаруженных рассылок вредоносные программы были спрятаны во вложениях, в качестве бесплатных почтовых сервисов злоумышленники все чаще используют российские, при этом для основной вредоносной нагрузки киберпреступники использовали даже программы-шифровальщики. Фишинг по-прежнему остается наиболее эффективным способом социальной инженерии за счет дешевизны рассылки электронной почты и абсолютно гигантского охвата, говорят аналитики

Тренды ловли

Forbes ознакомился с исследованием F.A.C.C.T., посвященным фишинговым рассылкам в апреле — июне этого года. Согласно его результатам, несмотря на постепенное снижение числа рассылок через бесплатные почтовые сервисы, киберпреступники продолжают их активно использовать. Доля самой часто встречающейся общедоступной почтовой службы Gmail в фишинговых рассылках сократилась с 80,4% до 49,5%, а вот российских сервисов, наоборот, выросла почти в три раза — с 13,1% до 35,3%.

В рассылках злоумышленники, которые могут атаковать российских пользователей из любой точки мира, все чаще используют легенду, связанную с Россией и СНГ. Так, в 2023 году менее 6% писем имели отношение к России и ближайшим странам, а остальные были массовыми нетаргетированными рассылками без подготовки, констатируют аналитики: например, сообщения на английском с просьбой провести оплату или о готовности приобрести «вашу продукцию». Однако в 2024 году наблюдается тенденция, что уже более 13% фишинговых рассылок, которые приходят на электронные адреса российских компаний, написаны на русском или другом языке стран СНГ и «легенды» в сообщениях адаптированы под местные цели.

Telegram-канал Forbes.Russia

Канал о бизнесе, финансах, экономике и стиле жизни

Как правило, киберпреступники в массовых фишинговых рассылках использовали вложения для доставки вредоносного софта (ВПО) на конечные устройства — их доля составила более 97%. Доля писем с вредоносными ссылками увеличилась с 1,6% до 2,7%. Часто, используя ссылку на загрузку ВПО, злоумышленники стараются таким образом определить, кто переходит по ссылке, чтобы предотвратить обнаружение средствами защиты. Для этого атакующие могут использовать множество техник, например дополнительное звено в виде веб-страницы с тестом CAPTCHA — только после его прохождения жертве будет отгружен вредоносный файл.

Интересной особенностью вредоносных рассылок стало использование киберпреступниками программы-шифровальщика LockBit, указывают в F.A.C.C.T. «Рассылка такой категории вредоносных программ нетипична: программы-шифровальщики, как правило, применяются атакующими на финальном этапе атаки, Impact (деструктивное воздействие), когда инфраструктура компании уже скомпрометирована, в то время как рассылка вредоносного ПО на почтовые ящики чаще является еще только попыткой получения первоначального доступа (Initial access)», — обращают внимание авторы исследования.

Кроме того, пик вредоносных рассылок постепенно смещается со вторника и среды, больше всего фишинговых писем злоумышленники отправляли в четверг — 22,5% от всех писем за неделю. Меньше всего вредоносных сообщений отправлялось в воскресенье (1,3%).

Материал по теме

«Кто-нибудь однозначно попадется»

То, что четверг — самый «урожайный» на фишинговые рассылки день, директор по управлению сервисами Angara Security Павел Покровский объясняет тем, что пятница — это день с пониженной деловой активностью, и люди в меньшей степени склонны выполнять задания и поручения, а понедельник, вторник и среда — дни, когда люди работают после выходных, и их бдительность еще не притуплена. «Четверг — это по-прежнему активный рабочий день, но люди уже немного устали и с большей вероятностью они отреагируют на фишинговое письмо. Подобные исследования открывают новые грани социальной психологии, мы лучше понимаем то, как мошенники обманывают, пытаются играть на эмоциях, обязательствах людей, используя их в своих интересах», — рассуждает Покровский.

В последнее время наша компания тоже наблюдает рост таргетированных рассылок, направленных на Россию, подтверждает эксперт по кибербезопасности «Лаборатории Касперского» Роман Деденок. «Злоумышленники не только мимикрируют под российские организации, но и пытаются выдать себя за зарубежных поставщиков-заказчиков, — говорит он. — К сожалению, бесплатные почтовые сервисы все еще активно используются в таргетированных рассылках. Рассылки через общедоступные сервисы не так заметны по сравнению с обычным фишингом, так как в них злоумышленники часто маскируются под вашего коллегу, который якобы пишет вам с персональной почты о срочном задании».

Материал по теме

Фишинг по-прежнему остается наиболее эффективным способом социальной инженерии за счет дешевизны рассылки электронной почты и абсолютно гигантского охвата, говорят опрошенные Forbes эксперты. Одной относительно дешевой рассылкой можно охватывать десятки, если не сотни тысяч людей, кто-нибудь однозначно попадется, говорит Покровский: «Это многократно окупает вложения, которые мошенники производят в свои фишинговые рассылки, даже с учетом кастомизации этих рассылок под какие-то бизнес-параметры атакуемой организации».

Мошенники активно дорабатывают механизм фишинговых рассылок для обхода почтовых фильтров, делится своими наблюдениями трендов в этом сегменте ведущий эксперт по сетевым угрозам, веб-разработчик «Кода безопасности» Константин Горбунов. Годом ранее, по его словам, для успешной кибератаки часто было достаточно сымитировать e-mail-адрес и шаблон сообщения. «Но сейчас в компаниях активно применяются почтовые фильтры — специально разработанные расширения, например для Outlook, способные анализировать информацию об отправителе, разрешать или не разрешать отправку ответа на сообщение, открытие и скачивание файлов, а также переход по ссылкам из письма, — продолжает он. — Из-за этих нововведений мошенникам приходится создавать на фишинговом ресурсе дополнительное звено, например код CAPTCHA».

Кроме того, продолжающиеся утечки данных пользователей облегчают мошенникам поиск и выявление интересов жертв, а также получение сведений о занимаемых должностях, обращают внимание в Angara Security: «Это улучшает мимикрию, позволяя создать более качественную легенду для тела письма».

Не только письма

Впрочем, эксперты указывают на то, что, несмотря на массовость фишинга, все реже встречаются инциденты, в которых e-mail-рассылки выступают успешным изначальным вектором атаки. «По нашим оценкам, наиболее распространенным вектором проникновения в инфраструктуру сейчас являются уязвимые веб-приложения, — говорит инженер группы расследования инцидентов Solar 4RAYS ГК «Солар» Геннадий Сазонов. — Второй распространенный метод — атаки через подрядчиков, которые при этом имеют доступ к инфраструктуре основной жертвы злоумышленников». Нередко доступы в атакованные организации злоумышленники получают и с помощью скомпрометированных учетных записей во внутренних системах жертвы, продолжает он, а учетные данные от этих аккаунтов добываются разными способами, в том числе и с помощью фишинга.

Материал по теме

Несмотря на то что электронная почта держит первенство по каналам распространения фишинга, мессенджеры и соцсети все больше входят в инструментарий злоумышленников, продолжает руководитель направления аналитических исследований в Positive Technologies Ирина Зиновкина. «Эти каналы все чаще используют для оперативных корпоративных коммуникаций. Кроме того, широкое распространение фишинговых наборов и бизнес-модели phishing-as-a-service упрощает злоумышленникам подготовку и проведение атак», — заключает она.

Материал по теме