Практически каждое нарушение данных и все онлайн-атаки сегодня включают в себя какую-либо фишинговую попытку кражи паролей, запуска мошеннических транзакций или обмана получателя сообщения для загрузки вредоносного программного обеспечения. По данным PhishMe, в начале 2016 года 93% фишинговых писем доставлялись с помощью программ-вымогателей.

Специалисты по безопасности регулярно напоминают пользователям, что следует остерегаться фишинговых атак, но многие просто не знают, как их распознать, ведь атаки могут принимать различные формы. «Фишинговые атаки бывают разных видов, они нацелены на конкретных людей в организации, которые имеют доступ к конфиденциальным данным», — комментирует Шалаб Мохан из Area 1 Security.

Пользователи, как правило, плохо распознают действия мошенников. Согласно отчету Verizon о кибербезопасности, злоумышленник, отправивший 10 фишинговых писем, имеет 90-процентную вероятность того, что один человек попадется в ловушку. Поначалу это кажется абсурдным, но только если речь идет о пользователях из технологической отрасли, а не пользователях из сферы производства или образования. Прибавьте к этому тот факт, что не все фишинговые письма работают одинаково: некоторые из них являются обычными электронными рассылками, а другие тщательно продуманы для атаки на определенный тип людей, и становится все труднее научить пользователей соблюдать осторожность, когда сообщение кажется немного странным.

Давайте рассмотрим различные типы фишинговых атак и способы их распознавания.

Что такое фишинг

Фишинг — это массовая рассылка электронных писем. Наиболее распространенной формой фишинга является массовая рассылка, когда кто-то отправляет электронное письмо, выдавая себя за другого, и пытается обмануть получателя, предлагая выполнить действия, обычно подразумевающие вход на веб-сайт или загрузку вредоносного программного обеспечения. Атаки часто бывают основаны на подделке электронной почты, когда заголовок электронной почты, поле «От», подделывается, чтобы сообщение выглядело так, как если бы оно было отправлено тем, кому получатель доверяет.

Что может произойти, если вы все же примете фишинговое письмо за реальное?

  1. Получив письмо от якобы знакомого, вы можете перейти по опасной ссылке или загрузить файл, содержащий вредоносную программу. Она может нанести заметный ущерб.
  2. Если мошенники убедят вас в правдивости своей истории, не исключено, что вы захотите перевести им деньги. Так можно потерять даже крупную сумму.
  3. Вы можете переслать злоумышленникам свои финансовые данные или рабочие файлы. Это приведет к потере ваших личных средств или средств компании, а следовательно, к проблемам на работе.
  4. Под видом ваших знакомых мошенники могут втереться к вам в доверие и использовать все, что удастся у вас выведать, в целях вымогательства.

На что стоит обратить внимание

Насторожитесь, если увидите призыв ввести какие-либо свои данные — в самом письме, по ссылке или каким-либо иным способом. Ни одна из служб, которыми вы пользуетесь, никогда не станет запрашивать ваши данные, они уже есть в системе. А вот злоумышленники вполне могут прислать письмо, подобное представленному на экране 1.

Пример фишингового письма
Экран 1. Пример фишингового письма

Другой пример фишингового письма показан на экране 2. Обратите внимание на то, как составлен текст. В нем содержится прямое указание на то, что ваш профиль будет заблокирован, если вы не последуете содержащейся в письме инструкции. Это манипуляция и явный признак того, что письмо написано мошенниками.

Фишинговое письмо
Экран 2. Фишинговое письмо

Однако фишинговые атаки не всегда выглядят как электронное письмо с уведомлением о доставке UPS, или как предупреждающее сообщение от PayPal об истечении срока действия паролей, или электронное письмо Office 365 о квотах хранилища. Одни атаки предназначены специально для организаций и частных лиц, а другие используют иные методы помимо электронной почты.

Компрометация деловой электронной почты

Помимо массовых распространенных фишинговых кампаний, преступники атакуют ключевых лиц в отделах финансов и бухгалтерии с помощью мошеннических действий с использованием электронной почты, business email compromise (BEC) и манипуляций с электронной почтой генерального директора. Выдавая себя за финансовых чиновников и генеральных директоров, такие преступники пытаются обмануть жертв, заставляя их переводить деньги на несанкционированные счета.

Как правило, злоумышленники компрометируют учетную запись электронной почты руководителя или финансового директора, используя различные методы. Мошенник тайно отслеживает действия с электронной почтой руководителя в течение определенного периода, чтобы узнать о процессах, происходящих в компании. Фактическая атака принимает форму ложного электронного письма, которое выглядит так, как будто оно пришло из скомпрометированной учетной записи руководителя, и отправляется тому, кто является постоянным получателем подобных писем. Письмо кажется важным и срочным, и в нем требуется, чтобы получатель отправил банковский перевод на внешний или незнакомый банковский счет. Деньги в конечном итоге попадают на банковский счет злоумышленника.

По данным центра жалоб на интернет-преступления ФБР, мошеннические действия типа BEC привели к фактическим потерям в размере более 4,5 млрд долл., и они представляют собой глобальную проблему. Пример подобного письма показан на экране 3. Обратите внимание на то, что в письме указывается на высокий приоритет задачи. Это вполне может быть манипуляция, продуманная злоумышленником. Каким бы образом ни был сформулирован в письме призыв, если он предполагает выполнение действий, опасных для вашей компании или репутации, его следует игнорировать.

Пример атаки типа ВЕС
Экран 3. Пример атаки типа ВЕС

Помните, что опасными считаются следующие действия:

  • отправка данных;
  • отправка денег;
  • переход по ссылке;
  • открытие вложения;
  • установка приложения;
  • переход по ссылке на сайт с последующий регистрацией с учетной записью (вводом имени пользователя и пароля).

Проблема целевых атак

Целевые атаки с помощью фишинга, spear-phishing, — это процесс отправки электронных писем конкретным адресатам от имени якобы являющегося надежным отправителя. Цель состоит в том, чтобы заразить устройства вредоносной программой либо убедить жертву передать информацию или деньги. Фишинговые атаки начинались как мошенничество с получением денег «нигерийских принцев» в середине 1990-х годов. Сегодня они превратились в эффективные, хорошо проработанные и целенаправленные кампании.

Фишинговые направленные атаки получили свое название из-за того, что мошенники ловят случайных жертв, используя поддельную или мошенническую электронную почту в качестве приманки. Используя направленные фишинговые атаки, злоумышленники нападают на жертв и организации с высокой ценностью. Вместо того чтобы пытаться получить банковские учетные данные 1000 потребителей, мошеннику может оказаться более выгодным ориентироваться на несколько предприятий.

Направленные фишинг-атаки чрезвычайно успешны, потому что злоумышленники тратят много времени на сбор информации, специфичной для получателя, например на составление ссылки на конференцию, которую получатель мог только что посетить, или отправку вредоносного вложения, где в имени файла отражена тема, интересующая получателя.

В недавней фишинговой кампании группа 74 (также известная как Sofact, APT28, Fancy Bear) нацелилась на профессионалов в области кибербезопасности. Было написано электронное письмо, якобы связанное с конференцией Cyber Conflict U. S. conference и мероприятиями, организованными United States Military Academy Army Cyber Institute, NATO Cooperative Cyber Military Academy и NATO Cooperative Cyber Defence Centre of Excellence. Хотя CyCon — это настоящая конференция, вложение являлось документом, содержащим вредоносный макрос Visual Basic для приложений (VBA), который загружал и запускал разведывательное вредоносное программное обеспечение, называемое Seduploader.

В чем принципиальная разница между атаками фишинга и spear-phishing? В то время как обычные фишинговые кампании преследуют большое количество целей с относительно низкой результативностью, spear-phishing — атака, направленная на конкретные цели с использованием электронных писем, созданных специально для предполагаемой жертвы.

«Фишинг относится к типичным низкотехнологичным атакам, — считает Аарон Хигби, соучредитель и технический директор антифишинговой фирмы Cofense, ранее известной как PhishMe. — Злоумышленников не особенно волнует, кто их цель. Они просто используют большую сеть, пытаясь поймать как можно больше рыбы. Spear phishing — это кампания, которая целенаправленно построена с целью проникновения в одну организацию, чему предшествует изучение имен и процессов внутри компании».

Если массовый фишинг в первую очередь подразумевает применение готовых автоматических комплектов для массового сбора учетных данных с использованием поддельных страниц входа в систему для обычных банковских или почтовых служб или распространения вымогателей или шифрующих вредоносных программ, то атаки направленного фишинга являются более сложными. Некоторые целевые кампании используют документы, содержащие вредоносные программы или ссылки на сайты для кражи учетных данных, чтобы получить конфиденциальную информацию или ценную интеллектуальную собственность либо просто поставить под угрозу платежные системы. Другие применяют социальную инженерию, чтобы внедриться в процессы для небольшого количества крупных выплат с помощью одного или нескольких банковских переводов.

Поле «От» электронного письма часто подделывается, чтобы отправитель выглядел как известная организация или домен, похожий на ваш или ваших доверенных партнеров. Например, буква «о» может быть заменена цифрой «0» или буква «w» буквой «ш» из русского алфавита.

Если ранее фишинговые кампании просто содержали вредоносные документы, прикрепленные к электронному письму как есть или в виде zip-файла, то сейчас преступники усовершенствовали свои методы. Хигби объясняет, что многие вредоносные документы теперь размещаются на законных сайтах, таких как Box, Dropbox, OneDrive или Google Drive, поскольку организаторы атак знают, что они вряд ли будут заблокированы ИТ-отделом.

«Мы также встречаем фишинговые атаки, которые пытаются скомпрометировать токены API или токены сеансов, чтобы получить доступ к почтовому ящику или сайту OneDrive либо SharePoint», — уточняет эксперт.

Разведка — ключ к направленному фишингу

Векторы угроз могут начинаться с электронных писем, собранных в результате взлома данных, но их дополняют информацией, которую легко найти в Интернете. Нигерийская преступная группировка, известная как London Blue, даже использовала законные коммерческие сайты для сбора информации о финансовых директорах и других сотрудниках финансового отдела.

Социальные сети, такие как LinkedIn и Twitter, дают представление о должностях, обязанностях и профессиональных отношениях внутри организации и таким образом помогают определить, кто больше подходит в качестве мишени и кому проще подражать. Веб-сайты компании могут предоставлять информацию о процессах, поставщиках и технологиях, Facebook и Instagram — личную информацию о потенциальных целях.

«Мошенники используют справочную информацию для создания сообщения, заслуживающего доверия. Объединяя данные, полученные со страницы команды организации, профиля LinkedIn, профиля Twitter и профиля Facebook, преступник обычно может получить довольно точный портрет своей жертвы. Они могут использовать ваше имя, информацию о том, где вы работаете и с кем, о недавнем внесенном вами платеже, сведения о вашей семье и друзьях, а также любые другие личные данные», — поясняет Оз Алаше, генеральный директор платформы обучения и повышения осведомленности о кибербезопасности CybSafe.

Что такое whaling

Фишинговая атака, нацеленная на руководителей предприятия, называется whaling, поскольку украденная информация будет гораздо более ценной, чем та, что может дать обычный сотрудник. Учетные данные, принадлежащие генеральному директору, откроют куда больше, чем данные сотрудника начального уровня. Цель состоит в краже данных, информации о сотрудниках и денежных средств.

Атака типа whailing требует дополнительных исследований, потому что злоумышленнику необходимо знать, с кем общается предполагаемая жертва и какие темы обсуждает. Примерами могут служить ссылки на жалобы клиентов, судебные повестки или другая информация. Злоумышленники обычно начинают с социальной инженерии, чтобы собрать информацию о жертве и компании, прежде чем создавать фишинговое сообщение, которое будет использоваться при подобной атаке.

Spear-phishing и whaling

Фишинговые атаки, направленные на руководителей высшего звена, обычно включают в себя действия злоумышленника, который пытается выдать себя за генерального директора или такого же значимого человека в компании с целью использования служебного положения, чтобы заставить жертву совершать платежи или делиться информацией. Исследования показывают, что руководители чаще других становятся жертвами таких атак. В ходе недавнего эксперимента на Rapid7 были обмануты три четверти выбранных руководителей. Британская исследовательская благотворительная организация Wellcome Trust потеряла 1 млн долл. после того, как четыре руководителя высшего ранга ввели учетные данные на поддельном сайте.

«Руководители высшего звена чаще других сотрудников становятся объектами атак. Они испытывают давление, принимают сложные решения в ограниченный срок и, соответственно, часто страдают от того, что психологи называют смещением внимания, и могут недооценивать угрозу направленного фишинга. Они очень значимы и в то же время доступны для преступников. Потенциальные выгоды от атак на руководителей по сравнению с атаками на младших сотрудников организации оправдывают затраты на исследование и создание этих целевых электронных писем», — объясняет Алаше.

Целевые атаки, направленные на злоупотребление такими процессами, как расчет заработной платы или выставление счетов, называются компрометацией деловой электронной почты (business email compromise, BEC). Охранная фирма Agari недавно выявила примеры мошеннических схем, нацеленных на то, чтобы убедить отделы кадров изменить существующие счета для прямых выплат заработной платы на те, которые были созданы преступниками. Более распространенный пример — злоумышленники, притворяющиеся поставщиками и запрашивающие изменения в деталях выставления счетов.

Целевые атаки, включающие отправку SMS-сообщений или голосовых вызовов (smishing), следуют тем же схемам, что и атаки на основе электронной почты.

Инструменты фишинга

Атаки, основанные исключительно на социальной инженерии и бизнес-транзакциях, могут быть совершены даже с помощью простой учетной записи электронной почты от обычного поставщика без каких-либо дополнительных инструментов.

Хигби из Cofense говорит, что многие готовые схемы фишинга становятся все более успешными в функциях автоматической персонализации. Уже существуют веб-службы, которые исследуют и анализируют социальные сети, чтобы получить необходимые преступникам данные.

Почему направленный фишинг эффективен

По данным последнего отчета Symantec об угрозах безопасности в Интернете, направленный фишинг был основным фактором заражения, который использовали 71% организованных преступных групп в 2017 году. В ходе исследования Wombat State of the Phish 53% специалистов по информационным технологиям сообщили, что они сталкивались с направленным фишингом в 2017 году от одного до пяти раз в квартал.

Эффективность фишинг-атаки сводится к сочетанию как технических, так и психологических причин.

Поддельные фишинговые электронные письма довольно сложно обнаружить. Они выглядят как обычная деловая электронная корреспонденция, поэтому системам обнаружения спама действительно трудно установить, что это не подлинная электронная почта. Вы ведь не хотите, чтобы защита от спама блокировала подлинные электронные письма? Конечные пользователи разочарованы, бизнес-процессы начинают ухудшаться. Этой ситуацией и пользуются преступники.

Злоумышленники могут потратить время на создание положительной репутации IP-адресов и доменов электронной почты, некоторое время отправляя законный трафик и электронные письма, чтобы избежать блокировки.

Эффективность направленного фишинга также сводится к человеческому фактору и элементам социальной инженерии.

«Доверие является естественным, неотъемлемым и необходимым элементом формирования отношений. Именно эта наша способность чаще всего используется фишерами. Люди значительно чаще выполняют просьбы, если они исходят от доверенных лиц. Высокая степень персонализации заметно повышает надежность писем. Чем больше личной информации присутствует в электронном письме, тем больше вероятность того, что жертва поверит в подлинность электронного письма», — поясняет Алаше.

Как работает направленный фишинг

Фишинговые электронные письма имеют направленный характер и поэтому отличаются в разных организациях, однако существуют и общие тенденции, которые должны настораживать пользователей. Самый очевидный тревожный признак — неверный адрес электронной почты или адрес, похожий на ожидаемый, но немного другой. Но не стоит упускать из виду и то, что адреса электронной почты могут быть так искусно подделаны, что подлог невозможно обнаружить без тщательной проверки.

«Наиболее распространенная особенность направленного фишинга — создание ощущения срочности. Учетная запись или вложение (обычно это счет-фактура, документ об отслеживании доставки или обновленное соглашение о политике) заставляет жертву выполнить поставленную задачу незамедлительно», — комментирует Ливиу Арсен, старший аналитик по электронным угрозам в Bitdefender.

Срочность часто сопровождается нарушением принятых в компании норм, например требуется осуществить быстрые платежи без обычных проверок. В сообщении также могут использоваться эмоциональные выражения, способные вызвать симпатию или страх. Генеральный директор может написать, например, что вы подведете компанию, если не произведете срочный платеж (экран 4).

Попытки фишинга часто создают иллюзию срочности
Экран 4. Попытки фишинга часто создают иллюзию срочности

Другая особенность, на которую нужно обращать внимание, — это формулировка и терминология (экран 5). Включает ли электронная почта деловую речь или выражения, которые обычно не употребляются вашими сотрудниками? Многие из столкнувшихся с поддельными письмами от имени генеральных директоров обнаружили мошенничество, обратив внимание на какие-то мелочи, достаточно тонкие детали.

Терминология, обычно не используемая в организации, может указывать на попытку фишинга
Экран 5. Терминология, обычно не используемая в организации, может указывать на попытку фишинга

Часто электронные письма содержат файлы или ссылки на файлы, которые требуют включения макросов. Большинство макросов безвредны. Но так ли уж необходимо их включение, чтобы выполнить поставленную задачу?

Копии тоже эффективны

Фишинг-клонирование требует от злоумышленника создания почти идентичной копии легитимного сообщения, чтобы обмануть жертву и заставить ее думать, что это реальное сообщение. Письмо отправляется с адреса, похожего на адрес законного отправителя, и тело сообщения выглядит так же, как и предыдущее сообщение. Разница лишь в том, что вложение или ссылка в сообщении были заменены вредоносными. Злоумышленник может добавить пояснение относительно повторной отправки оригинала или обновленной версии, чтобы объяснить, почему жертва снова получила вроде бы такое же сообщение.

Подобная атака основана на ранее замеченном законном сообщении, что повышает вероятность того, что пользователи попадутся в ловушку. Злоумышленник, который уже заразил одного пользователя, может использовать эту технику против другого человека, который также получил клонированное сообщение. В другом варианте злоумышленник может создать клонированный веб-сайт с поддельным доменом, чтобы обмануть жертву.

Фишинг по телефону

Vishing означает «голосовой фишинг» и подразумевает использование телефона. Как правило, жертва получает звонок с голосовым сообщением, замаскированным под сообщение от финансового учреждения. Например, в сообщении получателя могут попросить позвонить по определенному номеру и ввести данные своей учетной записи или PIN-код в целях обеспечения безопасности. А звонок при этом осуществляется прямо злоумышленнику через службу передачи голоса по IP.

В последнее время преступники стали звонить жертвам, притворяясь сотрудниками службы технической поддержки Apple и предоставляя номер для звонка, чтобы решить «проблему безопасности». Подобно старому варианту мошенничества со службой технической поддержки Windows, эти мошенники используют в своих интересах опасения потребителей по поводу взлома их устройств.

Что такое snowshoeing

Snowshoeing, или «спам-наезд», предполагает, что злоумышленники распространяют сообщения через несколько доменов и IP-адресов. Каждый IP-адрес отправляет небольшой объем сообщений, поэтому технологии фильтрации спама на основе репутации или объема не могут сразу распознавать и блокировать вредоносные сообщения. Некоторые сообщения попадают в почтовые ящики до того, как фильтры научатся их блокировать.

Атаки типа Hailstorm работают так же, как и snowshoeing, за исключением того, что сообщения рассылаются в течение очень короткого промежутка времени. Некоторые атаки заканчиваются так же, антиспамовые инструменты захватывают и обновляют фильтры, чтобы блокировать будущие сообщения, но злоумышленники уже перешли к следующей атаке.

Научитесь распознавать различные виды фишинга

Пользователи плохо представляют себе последствия фишинг-атаки. Достаточно опытный пользователь может оценить риск щелчка по ссылке в электронном письме, поскольку это может привести к загрузке вредоносной программы или последующим мошенническим сообщениям с требованием денег. Только наиболее опытные пользователи могут оценить потенциальный ущерб от кражи учетных данных и взлома аккаунта. Этот пробел в оценке риска затрудняет понимание пользователями серьезности распознавания вредоносных сообщений. «Несмотря на продолжающиеся инвестиции, фишинговые электронные письма продолжают обходить технологии периметра для ежедневного доступа к почтовым ящикам сотрудников», — заявил Рохит Белани, соучредитель и генеральный директор PhishMe.

Организациям необходимо пересмотреть внутренние кампании по повышению осведомленности и убедиться, что сотрудникам предоставлены инструменты для распознавания различных типов атак. Важно также усилить защиту, потому что некоторые традиционные инструменты защиты электронной почты, такие как спам-фильтры, не обеспечивают достаточной защиты от некоторых типов фишинга. Например, спам-фильтры бесполезны против атак BEC.

Профилактика фишинга

Организации могут использовать как технический, так и «человеческий» контроль для снижения угрозы фишинга. Наряду со стандартными средствами контроля, такими как спам-фильтры, обнаружение вредоносных программ и антивирус, компаниям следует рассмотреть возможность проведения тестов на фишинговую симуляцию, обучения пользователей и организации установленного процесса, позволяющего сотрудникам сообщать о подозрительных электронных письмах в отдел ИТ-безопасности.

Важно иметь открытые линии связи между сотрудниками и руководством. В некоторых компаниях иерархия действительно очень важна, поэтому конечные пользователи обычно не обращаются к руководителям. Но они должны знать, что всегда могут и в определенных случаях должны это делать.

Хотя обучение и осведомленность пользователей являются основным элементом снижения риска фишинга, служба безопасности также должна участвовать в защите бизнес-процессов, чтобы ограничить возможности злоумышленников.

Например, гарантия, что платежи не будут совершены без подписи нескольких человек и нескольких этапов авторизации или что никакие реквизиты платежа не будут изменены без предварительного подтверждения по телефону или другому каналу связи, может снизить риск того, что посторонние будут выдавать себя за генерального директора или поставщика. Наличие отдельных компьютеров для задач, связанных с электронной почтой и Интернетом, а также задач по выставлению счетов-фактур, может снизить вероятность заражения компьютеров вредоносными программами, собирающими банковскую информацию.