Для боевой готовности сотрудникам ИБ нужно максимально быстро узнавать о таргетированном фишинге в почте коллег.
Почти каждый сотрудник крупной компании иногда получает письма, в которых у него пытаются вытащить корпоративные учетные данные. Как правило, это массовый фишинг — атака при которой письма рассылаются наобум, в надежде, что некий процент получателей попадется на удочку. Изредка среди этого потока попадаются более опасные, целевые письма, содержимое которых адаптировано под сотрудников конкретных фирм.
Наличие в почте таргетированного фишингового письма — признак того, что злоумышленники интересуются вашей компанией. И фишинг может быть далеко не единственным инструментом, которым они пустили в ход. Сотрудникам, отвечающим за ИБ, нужно знать о факте получения такого письма, чтобы вовремя подготовить контрмеры и предупредить персонал.
Поэтому мы считаем, что корпоративным безопасникам время от времени стоит просматривать отфильтрованный фишинг в поисках целевых писем, да и прочим сотрудникам полезно знать признаки целевого фишинга (на случай, если они все же столкнутся с таким письмом). Обсудим несколько самых распространенных уловок с примерами из свежепойманных атак.
Искаженное название компании
Человеческий мозг не всегда воспринимает написанное слово целиком — он видит знакомое начало и достраивает остальное сам. Злоумышленники часто используют эту особенность и регистрируют домен, отличающийся от настоящего сайта вашей фирмы всего на одну-две буквы.
Так как домен принадлежит атакующим, они могут корректно настроить даже DKIM-подпись, так что письмо будет успешно проходить проверку.
Добавление слов к названию компании
Другой способ сделать вид, что вам пишет коллега, — зарегистрировать домен из двух слов. Скажем, для имитации отправителя из регионального отделения или конкретного отдела. В последнем случае преступники чаще всего выдают себя за сотрудников техподдержки/ службы безопасности.
На деле, никто не заводит отдельный домен для безопасников, работники всех отделов должны иметь стандартный корпоративный адрес. Бывают варианты с локальными офисами, так что если вы не уверены, проверьте существование локального домена в корпоративной адресной книге.
Конкретика в теле письма
Если в письме упоминается ваша компания, а к вам обращаются по имени, то это однозначно признак целевого фишинга и повод бить тревогу.
Письмо на узкую тематику
Строго говоря, это не всегда признак целевого фишинга — это может быть и вариация массового. Иногда преступники добывают тематическую базу адресов (например, участников конференции) и пытаются играть на теме этой конференции. Но иногда подобным образом они пытаются атаковать именно сотрудников конкретной компании, так что довести этот случай до сотрудников ИБ будет нелишне.
А чтобы спокойно изучать входящие, не опасаясь за безопасность вашей компании, рекомендуем установить антифишинговые защитные решения как на уровне почтового сервера, так и на рабочих станциях сотрудников.