Компании из России, стран СНГ и Евразийского экономического союза (ЕАЭС) все чаще подвергаются фишинговым атакам — в 2024 году на них пришлось 85% от всех таких попыток взлома. Письма присылают под видом важной и грамотно составленной документации. Простые россияне тоже страдают от обмана мошенников. Что такое фишинг, чем опасны его новые тренды и как с ними борются, разбирался ОТР.
Хакеры охотятся за компаниями и россиянами
В 2023 году 68% всех хакерских атак на компании в России и СНГ начинались с фишинговых рассылок — писем, содержащих ссылки на мошеннические ресурсы. За первые шесть месяцев 2024-го показатель подскочил до 76%, сообщили «Известия» со ссылкой на компанию по управлению цифровыми рисками Bi.Zone.
В 79% случаев хакеры маскируют отправления под финансовые документы: счета, платежки и прочее. Еще 8% приходится на фальшивые договоры и соглашения, 5% — на резюме. Остальные 4% присылают как якобы сообщения от контролирующих органов.
Недавно громкая история произошла с казахстанскими компаниями. Группировка Bloody Wolf рассылала жертвам письма якобы от имени регуляторов, размещая там вредоносные программы. Ссылки вели на страницу с адресом, имитирующим домен одной из госструктур Казахстана. Вместо официального документа сотрудники компаний скачивали вредоносный JAR-файл. Мошенники редко используют подобные файлы, поэтому им удалось обойти некоторые технологии защиты, рассказал руководитель Bi.Zone Threat Intelligence Олег Скулкин.
Программа мошенников представляла собой троянский вирус, позволявший удаленно управлять компьютером, на который ее скачали. В частности, у злоумышленников появилась возможность перехватывать нажатие клавиш. Подобные схемы проворачивали и другие группировки: Scaly Wolf, Mysterious Werewolf и Sticky Werewolf. Сейчас хакеры все чаще пытаются атаковать ФСБ и спровоцировать службу на какие-то действия, отметил руководитель отдела аналитических систем и отчетности компании «Первый Бит» Петр Иванов.
«Цель первичного фишинга — заставить человека хотя бы чуть-чуть нарушить закон или правила компании. Дальше ими начинают манипулировать в целях мошенников. Шаг за шагом человека втягивают во все более мутные действия, и он в панике уже не знает, что делать», — добавил он.
За чем охотятся хакеры
Фишинг — достаточно старый вид атаки, но он до сих пор остается актуальным среди мошенников. Дело в том, что он нацелен на массовый сегмент и работает по принципу «кто-нибудь да откроет», объяснил ОТР директор по информационной безопасности ГК «Элемент», эксперт по кибербезопасности Александр Дворянский.
«Чем больше писем разошлешь, тем больше шанс, что кто-то откроет и перейдет по ссылке», — сказал он.
За последние два года подобным атакам подверглись многие российские компании. Злоумышленники активно развиваются, используя новые технологии и свежие инфоповоды для обмана. Именно поэтому фишинговые атаки до сих пор приносят им свои плоды, несмотря на меры защиты. Мошенники при этом преследуют самые разные цели.
«Это и персональные данные сотрудников, и возможность получить доступ во внутреннюю инфраструктуру [фирмы], и возможность заразить компанию шифровальщиком (вирус, шифрующий документы, базы данных и прочее для требования выкупа — прим. ред.). Там много может быть целей, вплоть до остановки бизнеса», — перечислил собеседник ОТР.
Как работает схема с фишингом
Чаще всего сотрудникам присылают письмо со ссылкой на сторонний ресурс, где их поджидают вирусы. Бывает, что под видом официального сообщения человека перенаправляют на портал, где нужно ввести свой логин и пароль. Злоумышленникам это нужно, чтобы получить доступ к учетной записи пользователя.
Для воровства чужих данных хакеры используют программы-стиллеры: слово происходит от английского глагола steel — красть. Этим ПО торгуют в даркнете, с помощью него крали данные для входа на 443 тысячи сайтов. Только среди российских пользователей скомпрометировали 2,5 миллиона пар логинов и паролей.
По такой же схеме атакуют и обычных людей, но в этом случае письма или сообщения составляют не так искусно. Как правило, злоумышленники рассчитывают на невнимательность потенциальной жертвы и ждут, что окупится массовость рассылки.
Защита от фишинговых рассылок
У компаний есть несколько степеней защиты от подобных атак. Первая из них работает на уровне почтового сервиса: он просто не даст распространиться рассылке от стороннего отправителя. Система анализирует всю входящую корреспонденцию и «понимает», что какая-то рассылка слишком большая.
«[Система] понимает, что не может с одного адреса прийти больше 100 писем одновременно. Ну и, конечно, работа с пользователями», — подчеркнул Дворянский.
Отчасти фишинг работает на методах социальной инженерии, поэтому очень важно объяснять людям правила цифровой гигиены. Сотрудникам компаний стараются донести, по каким маркерам можно определить подозрительное письмо, добавил собеседник ОТР.
Бороться же с продажей стиллеров не так просто — для этого нужно наладить сотрудничество между правоохранителями разных стран. С другой стороны, популярность этих программ как раз и вызвана тем, что мало кто соблюдает цифровую гигиену, отметил ведущий специалист отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline) Владислав Иванов.