Хау мач из зэ фишинг: госсайты хуже банковских защищены от вредоносных рассылок
Подделка писем
ИБ-компания StopPhish, которая занимается противодействием социальной инженерии, провела исследование настроек антифишинговых протоколов на 343 сайтах банков и небанковских кредитных организаций (НКО), имеющих аккредитацию ЦБ, а также 95 ресурсов государственной власти. По данным ЦБ, в России сейчас действуют 319 банков и 37 НКО. На портале госуслуг указано около сотни сайтов органов и информационных ресурсов государственной власти.
StopPhish анализировала, установлены ли на этих ресурсах два протокола, препятствующих рассылке фишинговых писем от имени домена (буквенного названия сайта). Первый — SPF (Sender Policy Framework), позволяет владельцам доменов указать, какие почтовые серверы имеют право отправлять электронные письма от их имени, то есть помогает предотвратить подделку адресов отправителей. Второй — DMARC (Domain-based Message Authentication, Reporting & Conformance), позволяет получать отчеты о том, какие письма не прошли эту проверку, и о попытках подделки писем от того или иного домена. Если эти записи отсутствуют или не работают корректно, злоумышленник сможет отправлять фишинговые письма от имени организации, например банка или государственного ресурса, указывают в StopPhish. Софт, который использовали исследователи, считывает наличие или отсутствие настроенного протокола (в том числе настроенного с ошибками), а значит, позволяет сделать вывод, защищен домен или нет.
Эксперты выяснили, что протокол SPF настроен у 86,9% проверенных банковских ресурсов, не настроен вообще у 10,2% и с ошибками в записи (например, превышение времени ожидания, проблемы с серверами и др.) — у 2,9% сайтов кредитных организаций. Протокол DMARC установлен на 44,9% банковских сайтов, не настроен у 49,3% и с ошибками в записи (статус настроек невозможно определить) — у 5,8%. «Таким образом, от лица 35 банков могут рассылаться фишинговые письма из-за отсутствия настройки SPF. Еще более серьезная ситуация с 169 банками, которые не имеют протоколов DMARC, что делает невозможной проверку подлинности отправителей», — делают вывод в StopPhish.
Анализ государственных сайтов показал, что протокол SPF настроен у 85,3%, не настроен у 14,7% (в том числе с ошибками на 6,3% ресурсах). Протокол DMARC настроен у 64,2% госсайтов, не настроен у 35,8% (в том числе настроен с ошибками у 9,5%).
Банковские и госсайты не защищены в достаточной степени, делают вывод в StopPhish. «Но несмотря на лучшее внедрение DMARC в госсекторе, банковский демонстрирует более защищенное состояние благодаря низкому проценту сайтов без SPF и меньшему количеству различных ошибок», — заключили в организации.
Такие уязвимости банковских сайтов и ресурсов госструктур используются злоумышленниками для фишинговой рассылки, говорит исследователь социальной инженерии в StopPhish Алишер Джураев. «Из-за отсутствия этих настроек на этих ресурсах гражданин может получить письмо от мошенников, которое не попадет в спам и не будет проигнорировано почтовым клиентом. А мошенники при этом будут представляться официальными организациями, чтобы придать себе большую убедительность», — добавил он. В этом случае остается надеяться только на здравомыслие пользователя, заключил он.
На усмотрение организации
С 2022 года действует программа по борьбе с мошенническими сайтами «Антифишинг», рассказали Forbes в Минцифры. За это время было заблокировано около 215 000 фишинговых сайтов, только с начала 2024 года — 64 000. В документах к тендеру на создание этой системы было указано, что для сбора информации о фишинговых сайтах и утечках персональных данных будет сканироваться трафик в сетях связи. В Роскомнадзоре на запрос не ответили.
Около 85% фишинговых сообщений действительно приходят в компании под видом финансовых документов и официальных писем от государственных органов, посчитали в Bi.zone.
В требованиях регуляторов нет явного указания на обязательное применение этих протоколов для повышения защищенности ресурсов финансовых и госорганизаций, замечает руководитель направления Security Awareness МТС Red Илья Одинцов: «Это остается на усмотрение организации и, как правило, находится в зоне ответственности IT-специалистов». По словам Одинцова, банковский фишинг чаще направлен на граждан, тогда как мошеннические письма за подписью разных госструктур массово получают и организации. Качество банковского фишинга достаточно низкое, чего нельзя сказать об атаках под видом госорганов, добавляет он.
Действие SPF и DMARC предполагает крупные затраты для злоумышленников, чтобы организовать рассылку спама с защищенных этими протоколами доменов — от $50 000, оценивает руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров: «Сомневаюсь, что кто-то сможет положить на это такие деньги. Это на порядки дороже обычной атаки и очень сужает круг тех, кто может такое совершать». По его словам, любой ИБ-специалист знает процедуру установки таких систем: «На это нужно один-два дня, вопрос упирается только в достаточный уровень компетентности специалистов в отдельных компаниях и необходимость потратить деньги на нужный софт».
По словам генерального директора Security Vision Руслана Рахметова, относительно простой в настройке протокол SPF обычно внедрен на большинстве сайтов: «А вот тонко настроить DMARC сложнее, поэтому зачастую он функционирует в самом толерантном режиме аудита. Это характерно прежде всего для государственных сайтов и сайтов небольших коммерческих компаний, которым может не хватать кадровых ресурсов для корректной настройки DMARC».
Спуфинг и вишинг
Фишинг от имени банков и госорганизаций в России — один из наиболее распространенных сценариев, обращают внимание участники рынка кибербезопасности. По словам генерального директора R-Vision Валерия Богдашова, чаще всего злоумышленники представляются сотрудниками госорганов (полиция, ФСБ, ЖКХ), специалистами техподдержки или IT-специалистами. «Это называется «вишинг» (voice phishing), который основан на социальной инженерии, манипуляциях и психологическом давлении на жертву», — пояснил он.
По оценкам F.A.C.C.T., в 70-80% вредоносных рассылок киберпреступники используют спуфинг (spoofing — «подмена»). «Эта популярная техника эксплуатирует проблему почтовых протоколов, которая позволяет подделать адрес отправителя. В итоге для ничего не подозревающего пользователя все выглядит так, будто письмо отправлено с легитимного адреса. Таким образом, преступники быстро входят в доверие к получателям сообщений и убеждают открыть вложение или перейти по ссылке, тем самым загрузив на свое устройство вредоносный софт», — поясняет руководитель центра кибербезопасности F.A.C.C.T. Ярослав Каргалев.
При этом именно протокол DMARC при правильной настройке обеспечивает достаточно надежную защиту пользователей от подделки почтового адреса отправителя, указывает Рахметов. «Техника спуфинга используется, как правило, при целевых кибератаках, однако для массированных фишинговых рассылок злоумышленники идут более простым путем: регистрируют и настраивают домен, синтаксически схожий с атакуемым сайтом, и затем ведут рассылку с него — в этом случае проверки SPF- и DMARC-записей принимающим почтовым сервером пройдут успешно и не защитят невнимательных пользователей», — продолжает он.
Почтовый фишинг — причина большинства успешных кибератак на различные компании: злоумышленники отправляют пользователям файлы с вирусами или выманивают у них корпоративные учетные данные (логины и пароли), рассказал Руслан Рахметов. Имена государственных ресурсов чаще всего используются для фишинга— отчасти по причине широких возможностей для социальной инженерии, отчасти по причине более разветвленной сети различных госучреждений, легитимность сайтов которых порой бывает трудно проверить, добавил он. Фишинг от имени банков может быть направлен против юридических лиц или крупных клиентов, а при фишинге от имени госсайтов атакующие могут потребовать от жертв открыть вложение с вирусом или сообщить персональные данные и логины/пароли для различных ресурсов, включая госсайты и банки, заключает эксперт.