В финансовой сфере фишинг всегда был и остается одной из основных угроз, но в последнее время злоумышленники всё чаще атакуют страховые компании.
«Повышенный интерес кибермошенников в сторону страхования обусловлен «горячим сезоном». Кроме этого, мы видим – летом компании проводят акции и специальные предложения, что провоцирует значительный рост фишинговых атак, направленных как на клиентов, так и на партнеров страховых организаций», – отметил Максим Грязев, ведущий специалист отдела анализа и оценки цифровых угроз ETHIC.DRP
В этой статье мы расскажем о новых уловках кибермошенников и разберем какие меры защиты эффективнее всего.
Два вида фишинга, которые сейчас в тренде
1. Клиенты наше всё
Первый вид фишинга «Использование схожих доменов» направлен на клиентов страховых организаций.
Схемы старые – но есть нюансы
Мошенники знают, что у компании начинается «горячий сезон», время специальных предложений и акции, поэтому заранее создают фишинговые сайты. Закупают разом много различных доменов и публикуют web-ресурсы за несколько дней до массовой рассылки, чтобы избежать блокировки ресурсов. Поддельные сайты в начале атаки выглядят как обычные информационные ресурсы, но затем превращаются в инструменты фишинга.
В некоторых случаях такие сайты используют для сбора персональных данных: номеров телефонов или e-mail адресов, чтобы потом отправить клиенту письмо с фишингом. И здесь уже подключается социальная инженерия, мошенники вступают в переписку, подражая официальному стилю общения компании, включая логотипы, контактную информацию и поддельные подписи сотрудников. Таким образом, логины, пароли или иные сведения клиентов попадают к злоумышленникам.
Что изменилось
Поддельные сайты стали максимально похожими на официальные web-ресурсы компаний, к их созданию мошенники привлекают квалифицированных дизайнеров. С первого взгляда обычному пользователю их сложно отличить от реальных. Единственное, можно понять по доменному имени, на которое редко обращают внимание, особенно если видят какое-то супер-предложение от компании.
Следующий момент, злоумышленники интегрируют TLS-сертификаты для придания фишинговым сайтам иллюзии безопасности, об этом говорит зеленый замок в браузере. Такая фальсификация может ввести в заблуждение даже опытных пользователей, которые проверяют домены ресурсов, на которые заходят.
Третий нюанс, киберпреступники закупают так много ссылок, чтобы при блокировке одного фишингового ресурса оперативно запустить другой. Целые команды задействованы в рамках целевых атак.
Таргетированные атаки на крупные компании могут исчисляться не только днями, неделями, но и месяцами. Все зависит от того, насколько мошенники достигнут поставленной цели. «Если профит будет – то и фишинг киберпреступники будут создавать до последнего. Пострадавшая компания может о нем знать и даже писать об этом во всех официальных каналах, но простые пользователи все равно будут попадаться», – предупреждает Максим Грязев, ведущий специалист отдела анализа и оценки цифровых угроз ETHIC.DRP.
Свежий кейс: «Срочно обновите свои учетные данные – не войдете в личный кабинет!»
Летом 2024 года злоумышленники нацелились на клиентов одной крупной страховой компании, они хотели украсть их учетные данные. Для этого мошенники зарегистрировали домен максимально похожий на официальный сайт компании. Сложность заключалась в том, что такие домены создавались каждый день десятками и отличались лишь одним символом. Это усложняло распознавание обмана для клиентов. Дополнительно атака сопровождалась серией убедительных фишинговых писем, призывающих пользователей срочно обновить свои учетные данные на поддельном сайте компании.
Специалисты информационной безопасности компании вовремя обнаружили атаку. Они немедленно сообщили клиентам о фишинге и направили инструкцию по проверке подлинности сообщений и сайта. Так как атака была тщательно спланирована, поток фишинга был большой, страховая компания обратилась к команде Infosecurity. Наши эксперты оперативно организовали блокировку вредоносных доменов и обеспечили непрерывный мониторинг и удаление поддельных ресурсов.
Благодаря быстрому реагированию и скоординированным действиям страховой компании удалось предотвратить массовую утечку данных, минимизировать ущерб и сохранить доверие клиентов.
2. Партнеры в фокусе внимания
Второй вид фишинга – «Рассылка писем», не стареющая тема, которая направлена на крупных корпоративных клиентов и партнеров.
Что нового
Киберпреступники четко знают кого атаковать и заранее готовятся к нападению. Они проводят тщательный анализ корпоративных процессов и взаимодействий между страховыми компаниями и их партнёрами. Цель – максимально грамотно встроиться в переписку, чтобы ни у кого не было подозрений. К примеру, на этапе выставления счета в переписку вступает мошенник и присылает свои реквизиты для оплаты. Социальная инженерия играет ключевую роль в таких схемах, так как помогает обойти системы фильтрации, основанные на работе ИИ.
Помимо социальной инженерии, мошенники используют похожие домены, которые визуально почти идентичны официальным адресам страховых компаний. Они разрабатывают сложные схемы, которые способны обойти технологии проверки подлинности доменов, такие как DMARC, DKIM и SPF. Киберпреступники закупают доменные имена с мелкими вариациями, которые трудно отличить от оригинальных, что усложняет процесс выявления фальшивых сообщений.
К сожалению, современные фреймворки защиты электронной почты, которые адаптируются к новым угрозам и автоматически обновляют свои алгоритмы, не способны распознавать сложные и хорошо замаскированные фишинговые атаки.
Кейс: «Вам письмо, получите и обновите реквизиты» – схема 2024 года
В середине года одна из страховых компаний столкнулась с таргетированной атакой на своих ключевых партнеров. Мошенники зарегистрировали доменное имя, максимально похожее на официальный адрес компании, и активно начали рассылать письма с просьбой обновить информацию о платёжных реквизитах. Текст письма выглядел как внутренний запрос от команды бухгалтерии страховой компании и содержал актуальные данные, что делало его крайне правдоподобными. Хорошо замаскированные домены обошли автоматические фильтры и системы проверки доменов DMARC, DKIM и SPF.
Компании повезло, один из партнеров усомнился в запросе и связался с менеджером страховой организации. После чего страховая обратилась к команде Infosecurity, которая оперативно начала идентификацию и блокировку всех подозрительных доменов, задействованных в атаке.
Благодаря оперативному вмешательству удалось закрыть каналы распространения фальшивых сообщений, а также была усилена защита входящих сообщений на уровне DNS и анализа содержания писем. После этого инцидента служба безопасности страховой компании разработала и внедрила систему автоматических уведомлений для партнеров о подозрительных активностях.
Эти меры позволили предотвратить утечку конфиденциальной информации и минимизировать финансовые потери.
Что в итоге
В результате таких продуманных и проработанных атак компании могут понести не только огромные финансовые, но и репутационные потери. Обычные пользователи не всегда понимают, что перед ними фишинг, и доверчиво вводят свои данные на поддельных сайтах, участвуя в фальшивых акциях и не только. В итоге с претензиями клиенты обращаются к организации, хотя она не причастна к инциденту. Репутацию придется восстанавливать долго, особенно финансовым организациям.
Эксперты Infosecurity рекомендуют два эффективных инструмента для защиты от фишинга
1. Обучайте персонал
Осведомленные сотрудники – один из ключевых элементов в защите от фишинга. Проводите регулярные тренинги, заставляйте сотрудников проходить электронные курсы, делайте эмуляцию фишинговых атак. Только постоянное обновление знаний персонала о новых методах атак снизит риск успешных атак.
2. Используйте DRP-сервис
Самое эффективное решение – сервис Digital Risk Protection. Он комплексно защищает компанию от внешних информационных угроз.
Команда Infosecurity разработала собственное решение ETHIC.DRP, которое включает мониторинг доменов, анализ поведения пользователей и не только. Специальный модуль «Домены» позволяет своевременно обнаруживать и блокировать фишинговые ресурсы, используемые для противоправной деятельности. Эксперты ETHIC.DRP имеют большой опыт работы в разных отраслях, поэтому оперативно находят сотни фишинговых ресурсов в день. А благодаря прямому взаимодействию с ГосСОПКА, РКН, ФинЦЕРТ, Центробанком, ТЦИ, НКЦКИ регистраторами, хостерами на территории РФ и за ее пределами, команда ETHIC.DRP оперативно блокирует такие ресурсы.
Только за счет постоянного мониторинга и оперативного реагирования грамотных экспертов возможно своевременно предупредить риски таргетированных атак и обеспечить надежную защиту своей компании.