Гид по фишингу: самые популярные атаки на бизнес в 2023 году

Причиной 90% утечек информации является фишинг (согласно Исследованию Cisco о трендах в кибербезопасности, проведенном в 2021 году), сильно превосходя по популярности червей и программ-вымогателей. Фишинг каждый год наносит вред миллионам пользователей, что связано с ключевой проблемой - плохой осведомленностью организаций и людей о том, как распознавать фишинговые атаки. Даже передовые протоколы защиты и программное обеспечение не могут полностью защитить от киберугроз без специального обучения персонала.

Несмотря на то, что технологии совершенствуются, хакеры и кибермошенники находят все новые фишинговые техники, чтобы украсть чувствительные данные. Чтобы защитить Вас от неизбежной попытки фишинга, команда Cloud Networks подготовила гид по самым частым фишинговым атакам на сегодняшний день. Сегодня мы публикуем первую его часть: самые популярные атаки на бизнес в 2023 году.

Что такое фишинговая атака?

Фишинговая атака – это такой тип киберпреступления, при котором путем социальной инженерии происходит кража чувствительных данных жертвы. Самыми успешными считаются случаи, когда пользователь сам кликнул на вредоносную ссылку или файл, которые якобы пришли от надежного отправителя. Фишинговые атаки зачастую сопровождаются атаками вредоносных программ, чтобы нанести еще больший вред.

За каждой удачной фишинговой атакой стоит злоумышленник, который хорошо изучил поведение пользователя и определил самый легкий путь кражи данных. Почти каждый тип фишинга предусматривает то, что пользователь кликнет на ссылку или откроет файл, чтобы система автоматически установила вредоносное ПО. Киберпреступники стали экспертами в создании безопасных на вид таргетированных атак.

Изучение основных ИБ-практик – лучший способ защиты от фишинга. Безопасный поиск в Интернете, безопасность данных и распознавание фишинговых «уловок» – все это может значительно снизить риски стать жертвой.

Общие признаки попыток фишинга

• Запрос персональных данных, логинов и паролей или информации платежной карты
• Необоснованная угроза
• Ощущение срочности
• Грамматические ошибки или ошибки в правописании
• Подозрительные URL
• Уникальное предложение

Фишинг через электронную почту (Email phishing)

Фишинг через электронную почту стоит во главе списка как самый старый и самый распространенный способ атак. Мошенники используют адрес электронной почты жертвы, притворяясь источником, которому можно доверять. Особо старательные хакеры в точности копируют формат электронных рассылок легальных компаний и включают в письмо вредоносную ссылку, документ или изображение, которые могут обмануть пользователя и заставить его подтвердить персональную информацию или автоматически скачать вредоносный код.

Как распознать атаку через электронную почту?

• Запрос персональной информации. Легальные компании НИКОГДА не запрашивают персональные данные по почте.
• Срочная проблема. Многие мошенники маскируют свою попытку фишинга срочным сообщением, например, взлом аккаунта, ошибка оплаты, подтверждение логина или нарушение авторских прав. НИКОГДА не нажимайте на ссылки или проверьте прямо на сайте
• Сокращенные ссылки. Сокращение ссылки тоже является одним из способов скрыть вредоносные URL. Сторонние общедоступные сервисы могут скрыть настоящий адрес ссылки.
• Почтовый адрес без домена. Опасные адреса почты обычно имеют либо домен сторонних провайдеров, либо варианты емейлов легальных компаний: вместо @cloudnetworks.ru могут использовать @cloudnetworksofficial.ru. Всегда следует проверять адрес отправителя, чтобы убедиться, что он полностью совпадает с названием компании.
• Ошибки в грамматике или правописании. Любая ошибка в письме должна стать триггером. Зачастую атаки производят хакеры не с территории России, то есть оттуда, где русский язык – не родной.
• Прикрепленные файлы. Если источник не подтвержден, то не следует открывать единственное или пустое изображение. Если электронное письмо представляет собой скриншот письма или пустое сообщение без текста, не нажимайте на изображение. Вредоносный код может быть привязан к нему, а после клика – автоматически загрузиться.

Целевой фишинг (Spear phishing)

Целевой фишинг – более таргетированный подход к фишингу электронной почты, который нацелен на определенных людей или организации. Проводя разведку из открытых источников (OSINT), преступники могут собрать публично доступную информацию и атаковать как всю организацию, так и определенные департаменты. Они могут обманным путем заставить пользователей думать, что это – внутренняя рассылка, либо письмо от источника, которому можно доверять.

Как распознать целевой фишинг?

• Нетипичные запросы. Если вы получили запрос, который исходит из Вашей компании, содержащий просьбу предоставить данные, не входящие в уровень доступа человека, напишите ему в другой канал коммуникации для подтверждения. Сообщение напрямую в мессенджерах может предотвратить взлом почты.
• Ссылки на общие диски. Если мошенник прикидывается внутренним или достоверным «ресурсом», то он может направить вам ссылки на диск, к которому уже есть доступ. Скорее всего, ссылка будет «испорчена» и приведет вас на фейковый вебсайт.
• Нежелательная почта. Если почта содержит «важный документ», который нужно скачать и увидеть, но вы его не запрашивали, скорее всего это – ложное письмо. Всегда проверяйте отправителя перед открытием.
• Специальное упоминание личных деталей. Мошенники могут пытаться выставить себя источником, которому можно доверять, путем предоставления ненужной информации о вас. Необходимо с подозрением относиться к очевидным попыткам завоевать ваше доверие.

Уэйлинг (whaling)

В то время как фишинговые электронные письма направлены на определенную группу людей, уэйлинг нацелен на управленцев первого звена. Также известные как «обман руководителей» (CEO fraud), уэйлинговые атаки более сложные, полагаются на OSINT, огромные исследования жизни компании и даже социальные сети. Так как цель – обмануть руководителя, такие электронные письма обычно очень похожи на бизнес-общение на практически идеальном языке (русском или английском).

Как распознать уэйлинг?

• Неправильный адрес почты. Пока почта не взломана, злоумышленники будут пытаться использовать похожие, но неправильные адреса почты. Главное – держать ухо востро и смотреть на адрес отправителя.
• Использование личного Email. Любая коммуникация с руководителями или бизнес-партнерами должна происходить через рабочую почту и никогда через личные адреса. Даже если кто-то просит помощи не на рабочем месте, пообщайтесь с ним через любой доступный оффлайн-канал.
• Новый запрос. Если вы получили письмо от партнера или поставщика, который не писал вам ранее, это может быть фишинг.

Компрометация деловой почты (BEC)

Компрометация деловой электронной почты похожа на охоту на китов (именно так «whaling» переводится с английского), но вместо попытки обмануть ТОП-менеджера, мошенник прикидывается им. Преступники выдают себя за или получают доступ к почте ЛПР и отправляют внутренние запросы сотрудникам уровня ниже.

Как распознать атаки через скомпрометированную почту?

• Чувство срочности. Большие транзакции и важные деловые сделки длятся продолжительное время и проходят через серию подтверждений перед завершением. Красный флаг – если коммуникация выглядит очень срочной, и в получателях письма не более 2-3 адресатов.
• Странное поведение. Сложные атаки через скомпрометированную почту будут выглядеть максимально профессиональными, но можно заметить различие в тоне общения или фразах. Если ЛПР говорит или пишет не так, как обычно, смотрите в оба глаза – возможно, это фишинг.
• Нет юридической переписки. Все сделки должны включать работу команды юристов или одного юриста, чтобы избежать рисков и проверить соответствие действующему законодательству. Если ни один юрист не упомянут в электронной почте, найдите соответствующего человека в вашей компании и проверьте подлинность электронного письма.

Атака водопоя (Watering hole phishing)

Атака водопоя – это тактика, нацеленная на определенную компанию или группу людей, которая заражает сайт третьих лиц, который они часто посещают. Злоумышленники находят и эксплуатируют уязвимость на сайте, заражают этот сайт вирусом и потом заманивают туда людей, отправляя им электронные письма со ссылкой на этот сайт.

Хотя этот тип атак наименее популярен, чем другие, если хакеры заразили одного пользователя, есть риск, что они получат доступ к целой сети или системам. Посторонние пользователи сайта также могут стать жертвами, даже если они не имеют отношения ни к организации, ни к группе людей.

Как распознать атаку водопоя?

• Предупреждения безопасности. Один из самых первых признаков фишинговой атаки – когда антивирус распознает атаку. Именно поэтому необходимо всегда обновлять средства защиты компьютера, что программное обеспечение могло попытаться автоматически вас защитить.
• Тестирование безопасности. Из-за того, что риск со стороны третьих лиц трудно контролировать, лучший способ выявить потенциальные киберугрозы – постоянно проверять вашу защиту и устанавливать патчи безопасности. Если сайт сторонних организаций посещают довольно часто, нужно установить защиту конечных точек.

Атака «человек посередине» (Man-in-the-Middle (MITM) Phishing)

Атака «человек посередине» происходит, когда злоумышленник перехватывает и изменяет коммуникационную цепочку», становясь в буквальном смысле человеком посередине. Атакующий начинает контролировать коммуникацию и становится ответственным за отправку и получение сообщений. Пока преступник перехватывает данные, он может манипулировать ей для получения личной информации от обеих сторон.

Как распознать MITM-атаку?

В основном MITM сложно распознать, так как ошибки в URL больше похожи на другой способ фишинга. Администраторы сети должны постоянно мониторить трафик для распознавания измененной коммуникации. Среди красных флагов:

• Небезопасные вебсайты. Если вы просматриваете вебстраницы, найдите замок рядом с URL в строке поиска браузера. Обычно закрытый замок означает, что у вебсайта есть действующий сертификат SSL и HTTPS протокол (не HTTP).
• Ошибки в URL. Если URL неправильно написан, либо имеет случайные числа среди адреса, дважды проверьте сайт на разных устройствах.
• Значительно замедленная переписка. Чаты и другие платформы быстрого обмена сообщениями часто не имеют задержек в отправке сообщений. Тем не менее, платформы, которые не используют конечное шифрование, могут стать жертвой данной атаки. Сообщения, которые отправляются с задержкой, могут быть знаком атаки.