Positive Technologies

Тренды фишинговых атак на организации в 2022–2023 годах

Тренды фишинговых атак на организации в 2022–2023 годах

Фишинг — один из основных инструментов для несанкционированного проникновения злоумышленников в организации. В 2023 году почти половина (43%) всех успешных атак на организации были проведены с использованием социальной инженерии (79% из них осуществлялись через электронную почту, СМС-сообщения, социальные сети и мессенджеры). Все это свидетельствует об эффективности фишинговых атак, которые не только влекут за собой репутационные риски, но и наносят серьезный финансовый урон.

В этом исследовании мы проанализировали темы фишинговых сообщений в атаках по всему миру, при этом мы рассматривали исключительно те фишинговые атаки, которые были направлены на организации и осуществлялись через электронную почту, СМС-сообщения, социальные сети и мессенджеры.

Резюме

  • Основной целью фишинговых атак является кража данных (85% инцидентов).
  • В топ-3 отраслей, которые наиболее часто атаковали с помощью социальной инженерии в период с III квартала 2022 года по III квартал 2023 года включительно, вошли государственные учреждения (44%), оборонно-промышленные предприятия (19%) и организации в сфере науки и образования (14%).
  • Чаще всего в фишинговых сообщениях злоумышленники выдают себя за контрагентов (26%), специалистов техподдержки или ИТ (15%) и представителей госорганов (13%).
  • Самым распространенным способом доставки вредоносных сообщений по-прежнему является электронная почта (92%). Однако популярность мессенджеров и социальных сетей в качестве каналов для фишинга увеличивается.
  • Для доставки вредоносной нагрузки с помощью вложений наиболее часто (37%) используют архивы (ZIP, 7z, RAR и т. п.), на втором месте по популярности (30%) — текстовые документы (DOC, ODT, ONE и т. п.).
  • Фишинговые ссылки зачастую ведут на поддельную страницу для ввода данных (50%).
  • Широкое распространение фишинговых наборов и бизнес-модели phishing-as-a-service упрощают подготовку и проведение атак.
  • Основной вектор развития фишинга, по нашему мнению, — автоматизация процессов подготовки и проведения атак с помощью ИИ-инструментов.

Цели фишинговых атак

Основными целями фишинговых атак являются получение данных (85%) и получение финансовой выгоды (26%). Примером тщательно продуманной атаки с целью кражи данных может служить инцидент в американской компании в сфере гостиничного бизнеса и развлечений MGM Resorts International, который произошел в III квартале 2023 года. Эта многоэтапная кампания началась с бронирования отеля, затем атакующие отправили электронное письмо в ответ на полученное сообщение с подтверждением брони. Их последующие электронные письма были составлены так, чтобы вызвать сочувствие и ощущение срочности. Наладив контакт с жертвой, злоумышленники отправили вредоносный URL-адрес, якобы содержавший важные документы; после их загрузки и открытия запускалось вредоносное ПО. Оно проникало в систему жертвы и скачивало конфиденциальные данные. Стоит отметить, что украденные данные злоумышленники могут монетизировать или применить в последующих атаках. В примере выше после успешного проведения атаки преступники использовали украденные профили отелей для атак на их клиентов.

Рисунок 1. Цели атак (доля инцидентов)

Одним из каналов сбыта украденных конфиденциальных данных является дарквеб. В исследовании теневого рынка в странах Персидского залива мы обнаружили преобладающий интерес к таким категориям, как персональные данные, учетные данные сотрудников и клиентов и т. п. Стоит отметить, что спрос на подобные сведения существует и в других странах.

Кража информации может также производиться с целью шпионажа, направленного на организацию или страну. В этом случае злоумышленники стараются оставаться незамеченными в сети жертвы как можно дольше с целью регулярного получения данных либо сразу похищают максимальное количество информации в кратчайшие сроки. Например, в июне 2023 года была зафиксирована фишинговая кампания группировки Red Wolf, нацеленная на российские промышленные организации. Группировка занимается прежде всего корпоративным шпионажем и предпочитает медленное продвижение по скомпрометированной инфраструктуре, в ходе которого ее участники остаются незамеченными до шести месяцев. Несмотря на использование распространенных техник, эта АРТ-группировка способна обходить средства защиты и достигать поставленных целей.

Злоумышленники могут извлекать прямую финансовую выгоду из фишинговой атаки несколькими способами. Например, APT-группировка OPERA1ER получает первоначальный доступ через фишинговые электронные письма с популярными темами: счета-фактуры, уведомления о доставке по почте и т. п. Эти письма содержат вложения, в которых находится вредоносное ПО. Как правило, злоумышленники атаковали сотрудников, контролировавших большие суммы денег. После успешной кражи учетных данных преступники совершали многоэтапные переводы денежных средств на подконтрольные им счета. При этом обналичивание денежных средств производилось в праздничные или выходные дни, чтобы минимизировать возможность своевременного реагирования на ситуацию. Примечательно, что группировка проводит в сети жертвы от трех до двенадцати месяцев, а иногда атакует одну и ту же компанию дважды. Подобные атаки требуют от злоумышленников не только знаний о внутренних процессах организации-жертвы, но и умения проникать в скомпрометированную сеть и оставаться незамеченными.

Все чаще для получения финансовой выгоды злоумышленники стали применять технику double extortion Двойное вымогательство. Мы отмечали этот тренд в исследовании актуальных киберугроз во II квартале 2023 года. Двойное вымогательство подразумевает совмещение шифрования и вымогательства под угрозой публикации украденных данных. Так, в результате кибератаки с использованием социальной инженерии в середине сентября 2023 года одна из крупнейших компаний в сфере гостиничного бизнеса и развлечений Caesars Entertainment понесла серьезные финансовые потери, из которых только выкуп за похищенные данные составил 15 миллионов долларов. Компания согласилась с требованиями вымогателей, которые угрожали опубликовать украденную базу данных клиентов. Подобный тренд объясняется стремлением преступников получить максимальную выгоду от проведенной атаки. Ведь если атакованная организация может восстановить системы из резервных копий, вероятность выплаты выкупа многократно снижается. Так как злоумышленники не знают заранее, есть ли у жертвы возможность восстановить информацию, им выгоднее подстраховаться и, помимо шифрования, украсть данные. Этот тренд также может быть обусловлен некоторым снижением эффективности шифровальщиков из-за выпуска специалистами безопасности различных дешифраторов. Например, White Phoenix позволяет восстанавливать файлы, которые были зашифрованы так называемым «прерывистым шифрованием» Техника частичного шифрования целевых файлов, при использовании которой шифрование занимает существенно меньше времени..

Кроме того, отдельно стоит отметить хактивизм, который актуален в последние годы из-за обостренной геополитической обстановки в мире. Его основная цель — навредить жертве любыми способами. Хактивисты, как правило, проводят атаки не для получения финансовой выгоды, а по политическим, идеологическим или личным мотивам. Например, в декабре 2023 года 70% автозаправочных станций Ирана вышли из строя в результате кибератаки. В израильских СМИ причиной этой ситуации была названа атака APT-группировки Gonjeshke Darande (Predatory Sparrow), которая предположительно связана с Израилем. Хактивисты опубликовали снимки экранов системы АЗС и, помимо скриншотов взломанной системы, указали, к чему они получили доступ:

  • к информации об отдельных АЗС
  • к деталям платежной системы
  • к системе управления АЗС на центральном сервере каждой станции

В исследовании актуальных киберугроз в контексте обострения арабо-израильского конфликта компания Check Point Research установила, что группировка Gonjeshke Darande, помимо прочих инструментов проникновения, использует фишинг для доставки вредоносного ПО.

Методы распространения фишинга

Для коммуникации с сотрудниками компаний используется наиболее актуальный и привычный канал: большинство фишинговых атак осуществляется через электронную почту (92%). Однако злоумышленники умеют подстраиваться под особенности бизнеса и использовать иные способы доставки вредоносных сообщений. Источники фишинговых атак могут быть самыми разными, а значит необходимо использовать программное обеспечение для защиты, а также обучать сотрудников принципам информационной гигиены. Только комплексный подход может обеспечить надежный уровень безопасности.

Рисунок 2. Каналы распространения (доля инцидентов)

По мере развития технологий и распространения удаленного формата работы организации все чаще ведут корпоративную переписку в мессенджерах, социальных сетях или в СМС-сообщениях. В феврале 2023 года преступники атаковали нескольких инженеров Coinbase Платформа обмена криптовалюты, отправив СМС-оповещения, призывающие их войти в свои корпоративные учетные записи, чтобы прочитать важное сообщение. Один сотрудник попался на эту уловку и ввел данные на фишинговом сайте. На следующем этапе злоумышленник попытался войти во внутренние системы Coinbase, используя украденные учетные данные, но ему это не удалось, поскольку доступ был защищен многофакторной аутентификацией (MFA). Однако преступник продолжил атаку: лично позвонил жертве и представился сотрудником ИТ-команды Coinbase, а затем попросил выполнить ряд компрометирующих действий. Популярным сценарием атак является выдача себя за руководителя или сотрудника организации с использованием различных каналов связи, помимо электронной почты. Для создания поддельного профиля с целью рассылки вредоносных сообщений злоумышленнику достаточно знать имя и иметь фотографию руководителя или сотрудника организации-жертвы. Таким образом в декабре 2023 года была атакована российская ИТ-компания: в Telegram был создан аккаунт якобы гендиректора, с которого сотрудникам поступали личные сообщения. Для противодействия киберугрозе поддельный профиль был оперативно заблокирован, но атакующие так же быстро создали новые фейковые страницы и запустили вторую волну атак. В таких ситуациях минимизировать риски позволяет своевременное информирование сотрудников об угрозе.

Чтобы снизить вероятность фишинговых атак через мессенджеры, социальные сети или в СМС-сообщениях, необходимо включать эту информацию в классическое обучение кибербезопасности для сотрудников, так как не все рекомендации по защите от фишинга по электронной почте эффективны для таких сервисов. Например, многие мессенджеры и социальные сети ограничивают возможности удобного предварительного просмотра гиперссылок и вложений для проверки их легитимности.

Нетипичный способ доставки фишинговых сообщений был применен в инциденте с центром занятости во Франции. Компания-жертва публиковала объявление о вакансии на веб-сайте агентства по найму сотрудников. Злоумышленники откликались на вакансию и прислали в ответ файл резюме в формате PDF, который содержал вредоносную ссылку. Агентство по найму, выступавшее посредником между соискателем и потенциальным работодателем, формировало электронное письмо от имени безработного и доставляло его компании, разместившей объявление. Перейдя по ссылке, ее сотрудник попадал на фишинговый сайт, напоминавший настоящий сайт агентства, на котором ему предлагалось ввести корпоративные учетные данные. Такая запутанная цепочка доставки с использованием проверенного отправителя (агентства по найму) практически исключает возможность обнаружения атаки на ранних этапах.

Необходимо отметить, что злоумышленники постоянно модифицируют техники фишинговых атак. Это усложняет защиту и требует комплексного подхода. Например, растет объем фишинга через легитимные сервисы и ресурсы: через Google Формы или Yandex Forms, с помощью внедрения скриптов на уязвимых сайтах на базе WordPress или «1С-Битрикс». Кроме того, несмотря на усилия государств в борьбе с фишинговыми ресурсами, их задача усложняется наличием сервисов CDN (content delivery network), позволяющих злоумышленникам скрывать реальный хостинг, а также специализированных провайдеров, предлагающих так называемый bulletproof-хостинг, и прочими факторами. Наконец, в фишинге часто используются одноразовые ссылки и более фокусный таргетинг жертв — это не позволяет собирать доказательства, необходимые для оперативной блокировки вредоносных ресурсов.

Отраслевая специфика фишинговых атак

Более половины (56%) рассмотренных в исследовании фишинговых атак были направлены на конкретную организацию, отрасль или страну. Как в отдельных регионах, например в Европе (в т.ч. России) и Азии, так и во всем мире, включая все регионы и страны, чаще других в фокусе злоумышленников оказываются госучреждения (44% инцидентов, в которых прослеживается отраслевая направленность) и оборонные предприятия (19%). Организации науки и образования (14%) замыкают топ-3 основных жертв.

Рисунок 3. Топ-10 жертв атак по отраслям во всех странах, в Европе, в Азии (доля инцидентов)

Атаки на госучреждения

Ввиду сложной геополитической ситуации по всему миру фишинговые атаки на государственные организации проводятся чаще, чем на другие отрасли. Кроме того, уровень цифровизации ежегодно повышается, и государственные учреждения все активнее предоставляют гражданам электронные сервисы. Только в России госорганы используют не менее 355 федеральных и более 2000 региональных информсистем, а главные целевые показатели цифровой трансформации, закрепленные в Указе Президента РФ № 474, по итогам 2022 года перевыполнены. Страны Азии и Европы также избрали путь повсеместной цифровизации данных. В политической программе Евросоюза «Цифровое десятилетие» одной из целей является перевод в онлайн-режим 100% ключевых государственных услуг и записей в системах здравоохранения. А в марте 2023 года Китай объявил о создании национального бюро данных, назвав его частью проекта по координации ресурсов данных и реализации концепции «цифрового Китая». Злоумышленников интересует информация, обрабатываемая в таких сервисах, в частности персональные данные граждан и иные сведения государственного значения.

Несмотря на растущую цифровую экономику, уровень цифровизации государственных услуг в странах Азии ниже, чем в Европе. Трансформацию цифрового правительства стран Юго-Восточной Азии сдерживают политические разногласия и контрасты в демократическом и экономическом прогрессе, поэтому в европейских странах доля атак на госучреждения выше (83%), чем в Азии (66%). Еще одним фактором является обостренная геополитическая обстановка в европейском регионе, которая повышает спрос на сведения государственного значения. В апреле 2023 года группа злоумышленников Mustang Panda и RedDelta Стоит отметить, что RedDelta и Mustang Panda в некоторой степени коррелируют и в некоторых случаях используются для описания одной и той же деятельности. в атаках на европейские страны использовала документы-приманки с актуальной новостной повесткой Документ с приоритетами Швеции на период председательства в Совете Европейского союза, приглашение на дипломатическую конференцию от Министерства иностранных дел Венгрии, статья о двух китайских адвокатах по вопросам защиты прав человека, письмо из посольства Сербии.. Благодаря обостренному вниманию к внешней политике злоумышленники успешно эксплуатируют в фишинговых письмах подобную тематику. Так, в декабре 2023 года в кампании APT-группировки Cloud Atlas, направленной против российской исследовательской госкомпании, была использована приманка, в которой преступники представлялись членами «Ассоциации Учебных Центров» и использовали актуальную тему изменений в законодательстве в связи с введением воинского учета и бронированием граждан, пребывающих в запасе.

Рисунок 4. Фишинговая приманка

Последствия кибератак на государственные учреждения наносят вред не только организации-жертве, но и обычным гражданам. Например, 12 октября 2023 года вследствие «инцидента, связанного с безопасностью» были отключены информационные системы судов Канзаса. Верховный суд штата 16 октября издал административный приказ, подтверждающий, что канцелярии апелляционных и большинства окружных судов отключены от сети, не могут принимать электронные документы и платежи и все заявления должны подаваться в бумажном формате или по факсу. Из-за этих проблем пользователи оказались без доступа к:

  • системам электронной регистрации судов
  • порталу охранных приказов
  • порталу для поиска информации о делах
  • системе запросов по апелляционным делам
  • системе регистрации адвокатов
  • сервису онлайн-заявок на вступление в брак
  • платежному центру
  • управлению судебной администрации
  • системе управления делами Kansas eCourt.

Системы, выведенные из строя в результате кибератаки 12 октября, были поэтапно восстановлены только к 2 января 2024 года, но информация в них к тому времени устарела, и суды занимаются вводом данных по делам, зарегистрированным после даты инцидента. Таким образом, эта атака дискредитировала правительственное учреждение и снизила доверие населения к государственным инстанциям.

Атаки на оборонно-промышленные предприятия

Второй по популярности отраслью, подвергшейся фишинговым кампаниям (19% инцидентов), стал оборонно-промышленный комплекс — одна из важнейших сфер государственного хозяйства. Ради успешных атак на указанные организации злоумышленники готовы пойти на значительные финансовые расходы и реализовать сценарии повышенной сложности. Это означает, что полученные в ходе подобных кампаний данные имеют высокую окупаемость и покрывают все ресурсы, затраченные на их реализацию, а степень урона в случае компрометации такой информации неоценима.

Стоит отметить, что в ходе кампаний по шпионажу АРТ-группировки иногда не напрямую атакуют интересующую организацию, а проводят внедрение через менее защищенных подрядчиков. Например, в России как минимум с 2019 года орудует АРТ-группировка Winnti, которая использует сложные методы атак, в том числе фишинг и атаки через подрядчиков (supply chain attack). В июле этого года мы зафиксировали новые категории жертв этой группировки, в число которых вошли и организации оборонно-промышленного комплекса. За эти годы тактики группировки практически не поменялись, однако им удалось расширить географию атак и сферу интересов, что говорит об эффективности выбранной стратегии нападения с применением фишинга.

По нашим данным, в ходе фишинговых атак на предприятия российского оборонного комплекса внедрялся бэкдор MataDoor со сложной архитектурой. Максим Андреев Старший специалист отдела исследования угроз ИБ, Positive Technologies подчеркивает: «Анализ кода показывает, что в разработку этого инструмента были вложены серьезные ресурсы. Это хорошо продуманный вредонос с глубокой специализированной разработкой механизмов транспорта, скрытности и архитектуры. Это вредоносное ПО может действовать даже в логически изолированных сетях, вытаскивать и передавать данные откуда угодно». Сценарий этой атаки был продуман до мелочей. Например, в документе-приманке злоумышленники намеренно использовали неконтрастный шрифт. Чтобы его прочитать, пользователю нужно было сменить цвет шрифта, включив режим редактирования. В этот момент происходила загрузка вредоносного ПО на устройство жертвы.

Фишинговым атакам подвергаются оборонно-промышленные организации по всему миру. Так, в рамках инцидента в странах Юго-Восточной Азии была взломана защита некоторых правительственных и военных органов. Преступная группировка Saaiwc Group использовала несколько хорошо продуманных поддельных документов с информацией якобы от филиппинской армии или министерства экономики и финансов Камбоджи. Ввиду специфики отрасли эти приманки сработали и сотрудники поверили в легитимность фишинговых писем.

Рисунок 5. Документ-приманка: Уведомление об обучении по управлению эффективностью филиппинской армии

Атаки на научно-образовательные центры

Еще одной важной функцией государства является развитие науки и образования. Например, в России выделено 70,1 млрд руб. до 2024 года на реализацию госпрограммы «Цифровая образовательная среда». Внедрение дистанционного обучения значительно повышает доступность образования, но в то же время открывает преступникам более широкие возможности для проведения кибератак. Недостаточное финансирование информационной безопасности в организациях и неспособность содержать полноценную команду киберзащиты позволяют злоумышленникам быстрее достигать своих целей. В атаках на организации, занимающиеся научными исследованиями, инновационным развитием и учебной деятельностью, мы выявили два основных мотива: кибершпионаж с целью получения эксклюзивных сведений и финансовая выгода. Например, раньше APT-группировка Transparent Tribe ориентировалась в основном на индийских военных и правительственных служащих, но недавно расширила сферу своей деятельности, включив в нее образовательные учреждения Индийского субконтинента. Эта кампания может соответствовать целям преступников, работающих на государство, — получить долгосрочный доступ к инфраструктуре ведущих научных институтов, связанных с правительством Индии, и осуществить кибершпионаж. Атака начинается с вредоносного документа, доставляемого в виде вложения или ссылки в целевом фишинговом электронном письме, а в итоге APT-группировка устанавливает долговременный доступ к сетям жертв с помощью вредоносного ПО CrimsonRAT.

В I квартале 2023 года мы уже отмечали повышение активности вымогателей в отношении научных и образовательных учреждений: на эту сферу пришлась большая доля атак вымогателей (19%), а наиболее частыми последствиями были утечки конфиденциальной информации (51%) и нарушение основной деятельности (44%). В таких случаях атакующие зачастую выбирают в качестве средства доставки сообщения с актуальной новостной повесткой или выдают себя за контрагентов. Организации должны проявлять осторожность в борьбе с высокомотивированными противниками, которые быстро развивают свои стратегии и расширяют цели. Обеспечение защиты на основании анализа рисков может дать наилучшие результаты. Однако ему всегда должен сопутствовать хороший план реагирования на инциденты, который прошел тестирование, а впоследствии пересматривается и улучшается после каждой атаки.

Отслеживание результатов исследований, проведенных в странах-противниках, является стратегической целью многих APT-группировок во всем мире. По нашему мнению, количество атак на организации образовательной и научной сфер будет оставаться высоким до тех пор, пока не будет достигнут необходимый уровень защищенности информации.

Чем опасны фишинговые сообщения

В зависимости от целей атакующих можно выделить два основных действия, к которым они подталкивают жертву: ввести корпоративные учетные данные или загрузить на рабочее устройство вредоносный файл. Для этого злоумышленники отправляют сотрудникам вредоносное программное обеспечение либо поддельные формы для ввода данных. В редких случаях фишинговое письмо не содержит ничего из вышеперечисленного и не несет в себе никакой вредоносной нагрузки, так как является частью многоэтапной кампании.

Рисунок 6. Тип вредоносной нагрузки (доля инцидентов)

Типы распространяемого ВПО

Функцию сокрытия вредоносного программного обеспечения (ВПО) выполняют загрузчики Программы, отвечающие за загрузку исполняемых файлов и запуск другого вредоносного ПО. Зачастую после контакта жертвы с вредоносным ресурсом на устройство сначала устанавливается загрузчик, а уже потом — целевое ВПО. Такая последовательность нужна для обхода средств защиты и анализа, а также для обнаружения и обхода песочниц. Основным типом целевого программного обеспечения в 35% инцидентов являются Remote Administration Tools (RAT) ВПО для удаленного управления.

Рисунок 7. Типы вредоносного программного обеспечения (доля инцидентов)

Программы этого типа обладают широким набором функций, включая ввод и вывод данных, наблюдение за действиями пользователя, изменение системных параметров. Именно из-за универсальности их чаще всего выбирают злоумышленники.

Под «программой двойного назначения» мы подразумеваем легальное ПО, которое используется злоумышленниками в качестве целевого ВПО. Обычно к таким программам относятся приложения для удаленного рабочего стола, например AnyDesk, TeamViewer. Подобные инструменты похожи по своим функциям на RAT, при этом они являются легитимным ПО, поэтому остаются незамеченными системами безопасности, что и делает их привлекательными для злоумышленников.

Фишинговые сообщения с вложенными файлами

Для доставки вредоносной нагрузки и поддельных форм для ввода данных злоумышленники используют вложения, ссылки и QR-коды. Вложения остаются приоритетным инструментом преступников (56% инцидентов). Их используют как для доставки вредоносного программного обеспечения, так и для кражи учетных данных.

Рисунок 8. Вид вредоносной нагрузки (доля инцидентов)

В статье «Сложнее, чем кажется: социальная инженерия 2023» Константин Полишин Руководитель группы Red Team SE отдела тестирования на проникновение рассказал об актуальных способах доставки и хранения полезной нагрузки. Для доставки вредоносной нагрузки наиболее часто (37%) используют архивы (ZIP, 7z, RAR и т. п.), так как не все системы защиты способны провести полную проверку их содержимого. В них проще всего скрыть вредоносный файл, замаскировав его под документ или изображение, а большинство сотрудников часто работают с архивными файлами.

Рисунок 9. Типы вложений (доля сообщений)

Статические веб-страницы используются в фишинговых сообщениях чаще, чем PDF-документы. Этот тренд можно объяснить популярностью атак с использованием HTML-контрабанды, которая скрывает от систем обнаружения вредоносный код и ссылки. Это позволяет злоумышленнику передать закодированный вредоносный сценарий в специально созданном HTML-вложении или в виде веб-страницы. Когда пользователь открывает HTML-файл, браузер декодирует вредоносный сценарий, который собирает полезную нагрузку на устройстве. Таким образом, вредоносное ПО создается локально за брандмауэром, и нет необходимости передавать исполняемый файл через сеть.

Например, в июле 2023 года в ходе атаки с целью сбора учетных данных злоумышленники отправили персонализированные вредоносные письма с HTML-вложением 615 сотрудникам. Вредоносный сценарий был запрограммирован так, что сканеры электронной почты не могли проанализировать его код, а сама приманка выглядела как уведомление о зарплате от работодателя. Отметим, что HTML-контрабанда используется не только для кражи учетных данных, но и для доставки ВПО, а возможности обхода средств обнаружения с ее помощью значительно увеличивают вероятность успеха фишинговой атаки.

Активная деятельность злоумышленников заставляет организации повышать уровень информационной безопасности своих систем. Так, компания Microsoft объявила, что будет по умолчанию блокировать макросы из интернета в офисных файлах. Это увеличивает риск обнаружения вредоносной нагрузки еще на этапе ее доставки сотруднику, поэтому для передачи вредоносного ПО все чаще используются ссылки.

Фишинговые сообщения с вредоносными ссылками

В 43% фишинговых сообщений используются ссылки, которые приводят либо к загрузке вредоносного файла (46%), либо к переходу на фишинговую страницу для ввода учетных данных (50%).

Рисунок 10. Результат нажатия вредоносной ссылки (доля инцидентов)

Ранее ссылки применялись прежде всего для кражи корпоративных учетных записей (логина и пароля) с целью продажи или использования в дальнейших атаках. Подобные инциденты зачастую имеют массовый характер, и в большинстве случаев злоумышленники маскируют свои сообщения под письма от контрагентов или же от техподдержки или IT-отдела. Зачастую в рамках фишинга подменяются страницы для ввода данных на сайте Microsoft, однако в атаках на российские организации, с учетом их перехода на отечественное ПО, злоумышленники иногда меняют тактику и используют адреса российских ИТ-компаний.

Современные средства защиты не всегда могут верно определить безопасность ссылки, особенно когда вредоносный файл несколько раз перенаправляется на пути к жертве. Типичным примером является вредоносная кампания TOITOIN, в ходе которой с мая 2023 года атакуются предприятия в Латинской Америке. На рисунке представлено мошенническое письмо из этой кампании, созданное с целью заманить в ловушку известную инвестиционно-банковскую организацию. Письмо выглядит как счет от поставщика, и его получателя побуждают нажать кнопку «Просмотреть счет». Такой выбор формулировки вызывает у жертвы ложное чувство срочности, вынуждая изучить содержимое письма.

Рисунок 11. Фишинговое письмо, отправленное жертвам кампании TOITOIN

Нажав кнопку, пользователь инициирует цепочку событий: открывается URL-адрес, служащий промежуточным пунктом перенаправления, затем браузер жертвы перенаправляется еще раз — на конечный URL-адрес. Именно в этот момент вредоносный ZIP-архив незаметно загружается в систему жертвы. Злоумышленники успешно используют подобные методы сокрытия вредоносной нагрузки, поэтому мы рекомендуем обращать внимание на предупреждения системы безопасности и не переходить по сомнительным ссылкам от неизвестных отправителей. Этот метод фишинга представляет особую опасность, если пользователи получают сообщения на мобильные устройства, на которых с целью экономии площади экрана строка браузера с URL-адресом ссылки обычно не отображается и поэтому они не могут увидеть, куда переходят.

Киберпреступники всегда ищут новые возможности и методы — например домены zip, недавно открытые для покупки всеми желающими. Это расширение домена создает путаницу, особенно среди нетехнических пользователей, предоставляя злоумышленникам эффективный инструмент для атак. В фишинговых кампаниях преступники стремятся создать вредоносные веб-сайты, которые выглядят максимально надежно. Домен zip может стать дополнительным маркером подлинности мошеннического сайта. Например, домены excelpatch[.]zip и outlook365update[.]zip выглядят как легитимные страницы аутентификации.

Рисунок 12. Фишинговый домен excelpatch[.]zip

Еще один пример: 15 мая 2023 года был зарегистрирован домен «42[.]zip», при посещении которого автоматически загружается ZIP-файл. Он представляет собой вредоносный архив, чтение которого приводит к сбою или выходу из строя используемой программы или системы. Мы полагаем, что этот домен мог использоваться в фишинговых рассылках для получения первоначального доступа.

Чтобы защитить организацию и минимизировать воздействие злоумышленников, использующих этот вектор атаки, мы рекомендуем:

  • Блокировать домены zip на уровне брандмауэра с помощью служб веб-фильтрации. Важно отметить, что при этом могут также блокироваться легитимные сайты, использующие TLD Последний сегмент доменного имени zip.
  • Использовать расширения браузера или веб-фильтры, которые могут оценивать безопасность веб-сайтов и предупреждать пользователей о потенциальной опасности.
  • Проинформировать сотрудников о возможных угрозах, связанных с доменом zip, и объяснить им, как проверить URL-адрес перед тем, как нажать на ссылку.

Фишинговые сообщения с QR-кодами

Нельзя утверждать, что преступники используют для похищения данных только ссылки, а для заражения устройств — исключительно вложения. В исследовании, посвященном актуальным киберугрозам в III квартале 2023 года, мы уже отмечали тренд на использование вредоносных QR-кодов в фишинговых сообщениях для более эффективного обхода защиты.

QR-коды помогают скрывать вредоносные URL-адреса от получателей и систем защиты. Зачастую их используют для маскировки вредоносных ссылок с целью кражи учетных данных. За 2023 год компания INKY перехватила сотни фишинговых писем с QR-кодами, и хотя эти электронные письма, предназначенные для сбора учетных данных, приходили от разных злоумышленников, можно выделить в них схожие черты:

  • Атакующие выдают себя за Microsoft.
  • Они просят решить определенную проблему с учетной записью, например настроить 2FA Двухфакторная аутентификация, проверить учетную запись или сменить пароль.
  • Они стараются вызвать у жертвы чувство предельной срочности.
  • В письмах сообщается о тяжелых последствиях в случае невыполнения указанного действия.
  • Предлагается отсканировать вредоносный QR-код для решения проблемы.

Рисунок 13. Фишинговое письмо для японского розничного магазина
Рисунок 14. Фишинговое письмо со взломанного аккаунта службы цифрового маркетинга

В приведенных примерах фишинговые письма рассылались максимальному количеству жертв с целью сбора учетных данных. Этим атакам подверглись компании из различных отраслей: некоммерческие организации, фирмы по управлению активами, производственные компании и многие другие. Предполагаемые получатели 545 зарегистрированных электронных писем находились в США и Австралии. Компания Cofense сообщает, что атака начинается с отправки фишингового письма с требованием принять меры для обновления параметров учетной записи Microsoft 365.

К письмам прилагаются вложения в формате PNG или PDF с QR-кодом, который предлагается отсканировать для подтверждения учетной записи. В электронных письмах также говорится, что получатель должен выполнить это действие за 2–3 дня — таким образом создается ощущение срочности.

Рисунок 15. Примеры фишинговых писем (Источник: Cofense)

Сокрытие URL-адреса с помощью QR-кода, использование легитимных служб в качестве прикрытия и применение кодировки base64 для фишинговой ссылки — все это помогает избежать обнаружения и пройти через фильтры защиты электронной почты. Чтобы не стать жертвой мошенников, мы рекомендуем отключить выполнение автоматического действия при сканировании кода (например, подключение к сети Wi-Fi, посещение веб-сайта, загрузку файлов и т. п.), а также избегать сканирования случайных QR-кодов, если невозможно проверить их подлинность.

Массовое применение QR-кодов в атаках приводит к появлению новых законопроектов. Например, власти Москвы запретили распространителям наружной рекламы использовать QR-коды на билбордах, остановках общественного транспорта и других конструкциях. Можно предположить, что в дальнейшем будут предприняты и другие подобные шаги.

Методы сокрытия вредоносной нагрузки

С развитием инструментов защиты злоумышленникам приходится все тщательнее скрывать вредоносную нагрузку в рассылках. Для этого жертва многократно перенаправляется с одного ресурса на другой и в итоге приводится к вредоносному файлу или на страницу для ввода данных. Подобные многоуровневые цепочки заражения значительно снижают вероятность обнаружения атаки средствами защиты на ранних этапах проникновения.

Еще одним способом сокрытия вредоносной нагрузки является техника MalDoc — встраивание опасных Word-файлов в PDF-файлы. Такие вложения имеют расширение .pdf, однако открываются в текстовом редакторе Word, вызывая срабатывание вредоносных макросов.

Компания INKY изучила, как злоумышленники используют технику под названием «фишинг на основе изображений». Ее целью является предотвращение анализа текста электронного письма антиспамовыми сканерами и средствами безопасности электронной почты. Это фишинговое электронное письмо содержит вложение в виде изображения, в которое встроено текстовое сообщение. Большинство почтовых клиентов не доставляют пустое электронное письмо с прикрепленным изображением, а показывают получателю непосредственно файл изображения. Получатель не знает, что смотрит на снимок экрана, а не на HTML-код с текстом (то есть фишинговое электронное письмо). Поскольку в нем нет ссылок или вложений для открытия письма, у жертвы возникает ложное чувство безопасности.

В октябре 2022 года злоумышленники, выдававшие себя за сервис Geek Squad, использовали этот метод сокрытия вредоносной нагрузки. В фишинговом письме говорилось, что подписка получателя на Geek Squad продлена на год и в течение 24 часов будет списана значительная сумма денег.

Рисунок 16. Фишинговое письмо

Сообщения без вредоносной нагрузки

Сообщения без вредоносной нагрузки встречаются всего в 9% инцидентов, однако они позволяют злоумышленникам проводить узконаправленные атаки, которые труднее обнаружить и остановить из-за усиленного компонента социальной инженерии. Например, тактика фишинга BazarCall (фишинг с обратным вызовом) начинается с электронного письма, в котором пользователю под различными предлогами предлагается позвонить в кол-центр. В ходе телефонного разговора злоумышленники предоставляют жертве пошаговые инструкции по установке вредоносных программ на устройство. Такую тактику используют АРT-группировки Royal, Silent Ransom Group, Quantum и многие другие. А группе вымогателей Yanluowang в 2022 году удалось с помощью комбинации техник «усталость от MFA» Тактика атаки, которая заключается в том, что злоумышленники отправляют постоянный поток запросов многофакторной аутентификации, чтобы вызвать у жертвы раздражение, под влиянием которого она примет один из них и BazarCall Тактика атаки, при использовании которой жертву вынуждают позвонить по номеру телефона для связи с мошенниками взломать корпоративную сеть Cisco Американская компания Cisco Systems занимается производством сетевого и телекоммуникационного оборудования и разработкой программного обеспечения для управления компьютерными сетями, а также информационной безопасностью и, по заявлению самих злоумышленников, украсть 2,75 ГБ данных.

Иногда фишинговые сообщения настолько убедительны, что сотрудники совершают компрометирующие действия, просто поверив тексту сообщения. Так, в феврале 2023 года преступник притворился поставщиком и убедил финансового работника госучреждения США сменить банковские реквизиты реального контрагента на мошеннические. В результате на счет злоумышленника было зачислено 218 992 долларов США.

Популярные темы фишинговых сообщений

Задача фишинговых атак — побудить жертву выполнить определенные действия, например ввести учетные данные или скачать вредоносное вложение. Вероятность успеха атаки в большей степени зависит от того, поверит ли получатель в достоверность фишингового письма. Для этого злоумышленники используют темы, наиболее интересные жертве, побуждение к быстрому реагированию или запугивание дальнейшими санкциями в случае невыполнения действий, а также стараются вызвать у человека сильные эмоции, чтобы снизить бдительность. Кроме того, для повышения эффективности вредоносной кампании атакующие используют фишинговые сообщения с различной тематикой, которая выбирается в зависимости от множества факторов, в том числе от отрасли, в которой работает жертва, и от поставленных целей.

Рисунок 17. Тематика фишинговых писем-приманок во всех странах, в Европе, в Азии (доля инцидентов)

Сообщения от контрагентов

В 26% атак злоумышленники выдают себя за контрагентов, присылая поддельные акты сверки, счета-фактуры, документы для продления договоров и другие данные, связанные с взаимодействием между контрагентами. Популярность этой уловки объясняется тем, что она применима практически для всех организаций и предполагает наличие в сообщении ссылок или вложений. В 58% атак такие приманки не содержали привязки к конкретной отрасли. При этом в целевых атаках на медицинские, финансовые, промышленные и телекоммуникационные организации эта тема используется чаще других.

Например, в июне 2023 года итальянским компаниям были разосланы сообщения с запросом на выполнение задерживаемого платежа.

Рисунок 18. Документ-приманка

По ссылке в фишинговом письме загружался ZIP-файл, который содержал шпионское ПО. Кампания была направлена на несколько организаций из разных отраслей, что свидетельствует об универсальности такого приема, как маскировка под контрагентов. При этом для ее применения практически не требуется дополнительная информация о жертве, что облегчает процесс подготовки атаки и при этом не снижает ее эффективность.

Сообщения от техподдержки или IT-отдела

Среди всех рассмотренных нами инцидентов 15% атак были проведены с использованием сообщений якобы от технической поддержки или IT-подразделения. Секрет успеха таких кампаний в основном состоял в том, что подобные электронные письма выглядят привычно. Кроме того, эта тактика популярна, поскольку она позволяет давать сотруднику конкретные указания, побуждая его выполнить необходимые злоумышленнику действия, не вызвав подозрений. Чаще всего в таких письмах встречаются следующие темы: подтверждение учетной записи, обновление ПО, руководства по безопасности, нарушения в работе почтовых служб и уведомления об истечении срока действия пароля. В связи с техническим характером письма адресат с базовым уровнем цифровой грамотности не всегда может самостоятельно определить его подлинность, а риск блокировки или удаления доступов или данных создает ощущение срочности и подталкивает к необдуманным действиям.

Для успеха таких кампаний не требуется подробная информация о жертве — достаточно учесть, какими информационными продуктами пользуются большинство организаций в стране жертвы.

В компаниях, специализирующихся на IT-технологиях, сотрудники получают сообщения такой тематики в 35% фишинговых атак. В подобных организациях, как правило, высокий уровень цифровизации и большая часть рабочих процессов протекает в информационных системах, с которыми взаимодействуют практически все. Поэтому сообщения такого рода сложнее выделить из общего потока.

Эта тематика часто используется в сценариях с телефонными звонками, когда злоумышленники нацелены на специалистов службы поддержки либо выдают себя за них. Например, в декабре 2022 года группировка Muddled Libra отправляла сообщения-приманки на мобильные телефоны целевых сотрудников, утверждая, что им необходимо обновить информацию об учетной записи или повторно войти в корпоративное приложение. Сообщения содержали ссылку на поддельный корпоративный домен, имитирующий знакомую страницу входа. После того как злоумышленники перехватывали учетные данные, необходимые для первоначального доступа, они выбирали один из двух путей: продолжить процесс аутентификации с контролируемого ими компьютера и немедленно запросить код многофакторной аутентификации (MFA) либо подождать и начать генерировать бесконечный поток запросов MFA, пока пользователь не примет один из них под влиянием так называемой «усталости от MFA». Если техника не срабатывала, злоумышленник связывался со службой поддержки организации, выдавая себя за жертву, заявлял, что его телефон не работает или потерялся, и запрашивал регистрацию нового устройства с помощью аутентификации MFA.

Защитникам необходимо применять передовые технологии и правила комплексной гигиены безопасности, а также проводить тщательный мониторинг внешних угроз и внутренних событий. Высокий риск потери собственных и клиентских данных является серьезным стимулом для модернизации программ информационной безопасности.

Сообщения от госорганов

В приманках такого рода механизмами воздействия служат уважение к авторитету и страх перед последствиями, которые могут наступить, если оставить письмо без ответа. Для подготовки правдоподобных фишинговых сообщений такой тематики злоумышленникам нужна общая информация об атакуемой организации, например местонахождение, сфера деятельности. Текст рассылки может представлять собой приглашение на встречу или предложение совместно поработать над документами , срочное требование или запрос информации от госоргана, сообщение со сведениями государственной важности, рекомендацию министерства .

Такие письма в основном отправляются в рамках фишинговых кампаний, направленных на госсектор и оборонно-промышленные предприятия (29% и 21% инцидентов соответственно), поскольку они привычны для рядовых сотрудников, которые часто получают настоящие письма с похожим содержанием.

В феврале 2023 года экспертный центр безопасности Positive Technologies зафиксировал фишинговую рассылку, адресованную госучреждениям Таджикистана, в которой использовался документ-приманка «Повестка дня для технического консультативного совещания высокого уровня по сектору здравоохранения в Таджикистане».

Рисунок 19. Фишинговый документ

Вероятность того, что жертва среагирует на подобное сообщение очень высока, так как оно сливается с общим потоком писем, а единый формальный стиль и продуманное содержание не вызывают сомнений.

Сообщения с актуальной новостной повесткой

Актуальная новостная повестка — эффективный контекст для обмана сотрудников при помощи фишинга. В каждой десятой атаке за рассматриваемый период злоумышленники обращались к самым злободневным темам, среди которых ядерная энергетика и оружие (из-за новостей о Турции, морских портах США и об отношениях Ирана с представителями движения «Талибан» Признано в России террористической организацией и запрещено), а также протесты в Латинской Америке, обезьянья оспа (в атаках на поставщиков медицинских услуг в США) и многое другое.

В июне 2023 года экспертный центр безопасности Positive Technologies зафиксировал кибератаку на российские госучреждения и компании из других сфер, в том числе торговли и услуг. APT-группировка, обозначенная нами как Cloud Atlas, использовала резонансную тему — частичную мобилизацию.

Рисунок 20. Фишинговое письмо из кампании Cloud Atlas

Жертва полагает, что получила список с множеством данных, который потребовалось поместить в архив для отправки, но при его открытии происходит заражение устройства. В связи со значительным интересом жертв к вопросу мобилизации подобные письма вызывают любопытство и вряд ли будут проигнорированы.

Фишинговые сообщения с актуальной новостной повесткой чаще других встречаются в атаках на оборонно-промышленные предприятия, научно-образовательные учреждения и СМИ. Например, в ходе вредоносной кампании против азербайджанских СМИ документом-приманкой служил самораспаковывающийся архив, замаскированный под PDF-файл и содержащий статью об Александре Лапшине Российско-израильский тревел-блогер, журналист и правозащитник. В 2021 году Европейский суд по правам человека постановил, что право Лапшина на жизнь было нарушено властями Азербайджана, и обязал Азербайджан выплатить ему компенсацию в размере 30 000 евро. Вероятно, этот инцидент был использован как приманка, поскольку дело Лапшина широко известно в Азербайджане.

Уже сейчас можно предположить, что в 2024 году в качестве тем для фишинговых сообщений могут быть использованы мартовские выборы президента России, летние Олимпийские игры во Франции, а также ноябрьские выборы президента США.

Сообщения от работодателя или от известного бренда

Такие сообщения воздействуют на получателя за счет авторитета отправителя, будь то работодатель или известный бренд. В подобных атаках использовались такие темы, как летний отпуск сотрудников, различные руководства, инструкции, рекомендации по работе, сметы расходов или заявления, предложения с корпоративными скидками, расчетные ведомости, уведомления о непрочитанных сообщениях в Zoom и т. п. Однако для создания максимально достоверного текста злоумышленник должен обладать дополнительными сведениями о жертве, включая внутренний распорядок компании, почтовые адреса, названия должностей и имена сотрудников.

Стоит отметить, что эффективность атак с сообщениями якобы от работодателя снижается за счет того, что жертва может легко проверить легитимность полученного сообщения, например спросив у коллег, получали ли они такое письмо, или проверив адрес отправителя по справочнику сотрудников.

При разработке атак от имени известных брендов мастера фишинга следуют лучшим практикам маркетинговых подразделений известнейших компаний. Уходят в прошлое банальные массовые рассылки, успех которых связан с желанием получателей приобрести ходовые товары со скидкой или с невозможностью приобрести их легально (например, из-за санкций на многие категории товаров, ранее поставлявшихся в Россию). Современные злоумышленники учитывают охват аудитории, конверсию, интерес к тем или иным продуктам, таргетирование и персонализацию. В некоторых кампаниях жертвы получали рекламные сообщения от имени популярных брендов и затем многократно перенаправлялись через цепочку сайтов, на которых попутно собирались подробные данные о пользователе, его браузере, устройстве, User Agent, IP-адресе. В зависимости от этих сведений жертва попадала на уникальную страницу с персонализированным предложением, от которого сложно было отказаться. На основе всех собранных параметров пользователя формировался токен для входа на фишинговый ресурс, что делало его практически неотслеживаемым, так как ссылка, пересланная из фишингового сообщения, у других пользователей уже не открывалась.

Сообщения от соискателей, клиентов или с развлекательной тематикой

Злоумышленники не часто выдают себя за соискателей (6% инцидентов) и клиентов (2% инцидентов), так как подобные сообщения обычно адресуются специалистам, занимающим соответствующие должности. Преградами для достижения целей также являются неуместность использования ссылок и более тщательное изучение содержимого письма получателем. В обнаруженном нами инциденте письмо-приманка, приведенное на рисунке, было оформлено как заявка на трудоустройство.

Рисунок 21. Фишинговое письмо

Сообщения якобы от кандидатов на трудоустройство будут с высокой вероятностью проигнорированы, так как большинство компаний нанимает сотрудников через специализированные агентства или сервисы. При этом в странах Азии данная тематика составляет 20% инцидентов от числа всех фишинговых атак в этом регионе. Например, в феврале 2023 года судоходные компании и медицинские лаборатории в Азии подверглись фишинговой атаке по сбору разведданных. В этом регионе исторически высокая конкуренция на рынке труда, поэтому специалисты нередко связываются с компаниями напрямую для получения вакантного места. Именно поэтому злоумышленники успешно использовали резюме соискателя в качестве приманки.

Рассылки с развлекательным контентом включают в себя сообщения на различные темы, не связанные с рабочими процессами, например фото девушек, приглашения на мероприятия. По нашему мнению, они также с высокой вероятностью будут оставлены работниками без внимания по причине их явной неуместности. Кроме того, деятельность злоумышленников широко освещается в СМИ, и это дополнительно повышает бдительность пользователей.

Перечисленные тематики используются злоумышленниками значительно реже, так как для создания правдоподобной приманки требуется конкретная информация о жертве, например открытые вакансии, перечень продуктов или услуг и их каналы сбыта. Это увеличивает трудозатраты злоумышленников, учитывая также тот факт, что готовые фишинговые сообщения не всегда можно использовать для атак на другие организации.

Подготовка фишингового сообщения — один из важнейших этапов атаки: если приманка будет неубедительной, затраты ресурсов окажутся бесполезными. Выбор темы сообщения-приманки определяется целью, которой хотят достичь злоумышленники. При этом оно не должно выбиваться из общего потока писем, чтобы не возникло подозрений в его легитимности.

Стоит отметить, что в этой главе приведены наиболее распространенные темы, но в фишинговых сообщениях используются не только они. Есть ряд признаков, которые должны вызывать сомнения в легитимности сообщения. Например, незнакомый адресат, орфографические, синтаксические, стилистические неточности в тексте письма или названии бренда, общий характер срочности, а также прямой или косвенный призыв выполнить подозрительные действия. Злоумышленники используют актуальные, хорошо продуманные приманки, поэтому следует оценивать сообщение по совокупности признаков и быть внимательными при работе с различными каналами коммуникаций.

Шесть эмоций, которые злоумышленники часто эксплуатируют в фишинговых сообщениях:
  1. Страх — например, «Срочно погасите налоговую задолженность».
  2. Раздражение — например, при использовании техники «усталость от MFA», когда злоумышленники отправляют постоянный поток запросов многофакторной аутентификации, чтобы вызвать раздражение и спровоцировать пользователя принять один из них.
  3. Невнимательность — например, в случае использования схожих по написанию символов в ссылках.
  4. Любопытство — например, «Красивые девушки на OnlyFans».
  5. Жадность — например, «Скидки для маркетплейсов ».
  6. Желание помочь — например, « Гуманитарная помощь жертвам землетрясения в Турции».

Cрочность и авторитет отправителя повышают эффективность фишинговых атак!

Фишинг как услуга

В исследовании трендов и прогнозов по результатам 2019 года мы уже предсказывали распространение «киберуслуг на продажу». Сегодня это обычная практика, которой пользуются и профессиональные АРТ-группировки, и злоумышленники-одиночки. Более того, популярность этой бизнес-модели снижает порог входа в преступный бизнес для новичков, не обладающих специальными знаниями и навыками. Мы проанализировали 260 Telegram-каналов и форумов в дарквебе, на которых встречалось упоминание социальной инженерии.

Все предложения и запросы, связанные с фишингом, мы распределили по следующим категориям:

  1. Проекты — готовые фишинговые проекты и схемы, предоставление услуги PhaaS Phishing as a service, продажа шаблонов фишинговых писем, продажа или аренда фишинговых панелей.
  2. Разработка — покупка или предоставление услуг по разработке фишинговых страниц, проектов, ботов.
  3. Инструменты — средства, используемые злоумышленниками для проведения фишинговых атак.
  4. Партнер — поиск партнеров, инвесторов и сотрудников в фишинговые проекты.
  5. Перенаправление трафика — продажа маршрутов, ведущих на фишинговые сайты и на узлы для скачивания вредоносных файлов.
  6. Данные — банковские аккаунты, сведения о банковских картах и криптокошельках, учетные данные пользователей, полученные в результате фишинговых атак.

Наиболее популярные категории: проекты, разработка и инструменты.

Рисунок 22. Категории предложений и запросов, связанных с фишингом
Каждое третье объявление связано с продажей, покупкой или раздачей готовых фишинговых проектов, сервисов, ссылок и схем

Стоимость услуг по проведению фишинговых атак

Цена готовых фишинговых проектов начинается от 15 $ и может достигать 5000 $. Бюджет до 100 $ позволяет приобрести услуги СМС-фишинга или заказать изготовление шаблонов фишинговых писем. За 100–1000 $ можно купить готовые фишинговые страницы, фишинговые проекты, имитирующие деятельность банков, или услуги phishing as a service. Уникальные фишинговые проекты, а также изготовление систем реверс-прокси Обратный прокси-сервер — тип прокси-сервера, который ретранслирует запросы клиентов из внешней сети на один или несколько серверов в логической структуре внутренней сети оцениваются от 1000 $ и выше.

Рисунок 23. Стоимость сообщений в категории «проекты»
Рисунок 24. Объявление об изготовлении шаблонов для фишинговых писем
Рисунок 25. Объявление о продаже уникального фишингового проекта

В категории «разработка» каждое третье сообщение связано с запросом на разработку фишинговых страниц и проектов, что говорит о высоком спросе на эти услуги. Их стоимость варьируется от 50 до 1000 $. Стоимость конкретных проектов рассчитывается индивидуально. Например, разработка фишинговой страницы — от 50 до 200 $, фишинг-проект с использованием атаки man-in-the-middle Атака «человек посередине — до 1000 $.

Рисунок 26. Типы объявлений в категории «разработка» (доля сообщений)
Рисунок 27. Сообщение о предоставлении услуг по разработке фишинговых проектов

Данные банковских аккаунтов, криптокошельков, банковских карт, учетные данные пользователей и другая информация, полученная в результате фишинговой атаки, в дальнейшем продаются на площадках дарквеба. Их стоимость начинается от 5 $.

Рисунок 28. Сообщение о покупке украденных данных

Спрос и предложение на рынке киберуслуг

Доля бесплатно распространяемых инструментов для фишинговых атак составляет 42%. Среди них могут быть фишинговые наборы, например Trape, AIOPhish, Cardesc, PyPhisher, а также готовые скрипты, которые злоумышленники используют для подготовки к фишинговым атакам.

Рисунок 29. Типы объявлений в категории «инструменты» (доля сообщений)
Рисунок 30. Сообщение о свободно распространяемом фишинговом инструменте
Рисунок 31. Сообщение о раздаче скрипта для фишинга
Рисунок 32. Сообщение о предоставлении хостинга для фишинговых ресурсов

Существует запрос на инвесторов, сотрудников и партнеров для фишинговых проектов.

Рисунок 33. Сообщение о поиске специалистов в фишинговый проект

В дарквебе предлагается услуга по настройке и поддержке инструмента Evilginx2 3.0, используемого для перехвата учетных данных пользователей с помощью фишинга. Стоимость такой услуги варьируется от 500 до 1500 $ в зависимости от сложности проекта.

Рисунок 34. Сообщение о предоставлении услуги по настройке и администрированию продукта для фишинга

Встречаются объявления о предоставлении услуг целевого фишинга командой «специалистов».

Рисунок 35. Сообщение о предоставлении услуг целевого фишинга

Таким образом, для проведения успешной фишинговой атаки злоумышленникам теперь не требуются специализированные навыки: можно приобрести практически любой инструмент или услугу. Все это значительно упрощает процесс подготовки к атаке и влечет за собой серьезные риски для организаций по всему миру.

Современный фишинг

Технологии и угрозы находятся в непрерывном взаимосвязанном развитии. Мы прогнозируем рост числа атак с использованием нейросетей. Набирающие все большую популярность инструменты искусственного интеллекта используются и специалистами по информационной безопасности — для противодействия киберугрозам, — и злоумышленниками — для подготовки и реализации фишинговых атак. С помощью ИИ киберпреступники поддерживают осмысленный диалог с жертвой, генерируют убедительные фишинговые сообщения, создают дипфейки голосов, изображений и видео. Например, в июне 2023 года система защиты ThreatCloud AI с помощью встроенной подсистемы ИИ заблокировала масштабную фишинговую атаку. В мае 2023 года неизвестный злоумышленник провел атаку с целью извлечения прибыли, используя комбинацию синтетических аудио-, видео- и текстовых сообщений. Подделав голос руководителя компании, преступник связался с сотрудницей организации через WhatsApp с помощью аудиовызова с низким качеством звука. Затем злоумышленник предложил провести собрание в Microsoft Teams, и на экране появился руководитель в своем офисе, но связь была очень плохой, поэтому сотруднице предложили переключиться в текстовый режим, после чего атакующий начал убеждать жертву перевести ему деньги. У сотрудницы возникли подозрения, и она прекратила общение.

Преступники не только стремятся обойти ограничения на создание вредоносного контента в ChatGPT, но и создают собственные наборы инструментов. Алексей Лукацкий, бизнес-консультант Positive Technologies, составил обзор существующих вредоносных инструментов ИИ. Например, DarkGPT — это скрипт, который обходит ограничения ChatGPT, а пожизненная подписка на него стоит 200 $. Кроме того, существует FraudGPT — инструмент, который позволяет создавать фишинговые СМС-сообщения, веб-страницы, письма и вредоносный код. FraudGPT умеет искать полезную для злоумышленников информацию — утечки, уязвимости и т. п. Этот инструмент предлагается по подписке. Первоначально она стоила 200 $ в месяц, а сейчас цена снизилась до 90 $.

Рисунок 36. FraudGPT

Подписка на DarkBERT — инструмент ИИ, созданный в Южной Корее и обученный на форумах дарквеба и утечках, — стоит 110 $ в месяц. С помощью подобных средств даже злоумышленник, не обладающий высокой квалификацией, сможет автоматически создавать убедительные фальшивые письма и проводить долговременные атаки с поддержкой осмысленной переписки на любых языках.

Сделать выводы об эффективности использования ИИ-инструментов для создания фишинговых сообщений позволяет эксперимент компании IBM, в котором ИИ соперничал с людьми в создании фишинговых писем. В итоге ИИ проиграл команде IBM, однако перевес был небольшим. Фишинговым письмам от нейросети не хватило человечности и лаконичности, но на их создание ушло около 5 минут, в то время как команде специалистов потребовалось на ту же самую задачу около 16 часов. Таким образом, злоумышленники могут сэкономить почти два дня работы, используя генеративные модели искусственного интеллекта. Фишинг от ИИ был настолько убедительным, что едва не превзошел приманки, созданные опытными социальными инженерами. Сам факт, что ИИ соревновался с людьми на равных, является очень важным событием.

По данным Sumsub, в первой половине 2023 года (по сравнению с показателями второй половины 2022 года) во всем мире наблюдался значительный рост числа атак с использованием дипфейков, спровоцированный доступностью и вариативностью вредоносных ИИ-инструментов на рынке киберуслуг. Количество дипфейков выросло на 84% в Великобритании, на 250% в США, более чем на 300% в Германии и Италии, а во Франции — на 500%.

С голосовым мошенничеством Тип мошенничества, который предполагает использование искусственного интеллекта для создания убедительных фальшивых голосовых записей непосредственно столкнулись 37% предприятий по всему миру, 48% организаций в ОАЭ и 46% организаций в США.

Дипфейковые атаки нацелены на удаленную биометрическую идентификацию и аутентификацию, которые используются во многих европейских странах. Авторы доклада ETSI GR SAI 011 предупреждают, что эти процедуры крайне уязвимы для дипфейковых атак. Комбинация социальной инженерии и дипфейков активно применяется и в BEC-кампаниях Компрометация деловой электронной почты, в ходе которых злоумышленник выдает себя за официальное лицо или начальника и запрашивает денежный перевод. Стремительный рост числа подобных атак стимулирует компании к модернизации систем защиты и требует выработки новых стратегий реагирования на инциденты. Так, Агентство национальной безопасности США при участии Федерального бюро расследований и Агентства по кибербезопасности и защите инфраструктуры (CISA) выпустило совместный информационный бюллетень по кибербезопасности «Контекстуализация дипфейковых угроз для организаций», чтобы помочь организациям выявлять дипфейковые угрозы, защищаться от них и реагировать на их появление.

Злоумышленники постоянно адаптируются и внедряют инновации в свои атаки. Поэтому крайне важно серьезно относиться к сетевой деятельности и учитывать возможные риски еще до их реализации, так как последствия могут быть необратимы. Для противодействия угрозам необходимо обучение и повышение осведомленности сотрудников. Кроме того, следует применять системы искусственного интеллекта, способные обнаруживать контент, модифицированный злоумышленниками.

Выводы

Фишинг — это универсальный способ проникнуть в инфраструктуру жертвы. С развитием теневого рынка по продаже фишинговых наборов провести успешную атаку стало намного проще, ведь атакующим теперь не требуются специальные технические навыки. При этом основные атрибуты фишингового сообщения не подверглись кардинальным изменениям: например, каналом распространения по-прежнему остается электронная почта. Поэтому основной фактор, от которого зависит успех современного фишинга, — это тематика сообщения. Она должна привлекать внимание сотрудников и в то же время не выделяться на фоне других писем. В этом исследовании мы выяснили, какие темы наиболее популярны у злоумышленников, что чаще встречается в таких письмах: вложения или ссылки, — а также определили отраслевую специфику атак.

Злоумышленники активно используют современные подходы к реализации атак: автоматизируют задачи, создают и продают наборы инструментов для подготовки и реализации атак, оказывают аутсорсинговые услуги фишинга, применяют ИИ и языковые генеративные модели в создании сообщений, переходят на дипфейки и дипвойсы Подделка голоса нейросетью. Все это способствует снижению затрат на реализацию кибератаки и повышению скорости подготовки и распространения фишинговых сообщений. Таким образом, современные фишинговые атаки достигли критического уровня эффективности и становятся новым вызовом защищающейся стороне.

Это исследование посвящено прежде всего тенденциям фишинговых атак, но мы посчитали необходимым перечислить возможные методы защиты от этой угрозы, которая остается одним из основных способов проникновения в организации. Если посмотреть на цепочку действий, которую совершают злоумышленники (kill chain) в рамках фишинговой атаки, то она состоит из следующих пяти этапов, для каждого из которых можно предложить свои методы предотвращения, обнаружения и реагирования:

  1. Сбор данных о будущих жертвах.
    1. Разработка и внедрение политики использования электронной почты, мессенджеров и иных средств коммуникации, предусматривающая ограничения на публикацию корпоративной контактной информации в соцсетях и на других интернет-ресурсах.
    2. Обучение пользователей и проведение фишинговых симуляций.
    3. Мониторинг сервисов утечек учетных записей и паролей, а также дарквеба для обнаружения предложений об атаке на компанию-жертву.
  2. Подготовка инфраструктуры для организации фишинговой атаки.
    1. Использование репутационных механизмов на основе средств защиты классов SWG (secure web gateway), NGFW (next-generation firewall), SASE (secure access service edge) и т. п.
    2. Поиск и блокирование доменов-клонов, а также автономных систем, из которых фиксируется большое число атак.
  3. Введение пользователя в заблуждение.
    1. Обнаружение подмены адреса отправителя и внедрение механизмов защиты электронной почты DKIM, SPF, DMARC.
    2. Использование фидов с постоянно обновляемыми списками фишинговых доменов.
  4. Переход по ссылке или открытие вредоносного вложения.
    1. Инспекция электронной почты.
    2. Контроль типов вложений.
    3. Использование песочницы для почтового трафика.
    4. Инспекция URL при переходе по ссылкам с помощью стоящих на периметре средств защиты классов SWG (secure web gateway), NGFW (next-generation firewall), SASE (secure access service edge) и т. п.
    5. Включение защиты от фишинга, встроенной в популярные браузеры или реализуемой при помощи дополнительных плагинов к ним.
  5. Действие (конечная цель фишинга).
    1. Использование решений класса EDR (endpoint detection and response).
    2. Реализация принципов цифровой гигиены на персональных компьютерах и мобильных устройствах (обновление, минимум привилегий и т. п.).

Методология

Отчет основан на общемировых сведениях об инцидентах информационной безопасности, на собственной экспертизе Positive Technologies, результатах расследований и данных из авторитетных источников.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число инцидентов не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий преступных группировок. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы фишинговых атак.

В рамках исследования каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как отдельная, а не как множество. Термины, используемые в исследовании, приведены в глоссарии на сайте Positive Technologies.