vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Migalki Club
Старожил
Меценат💎
Это обзорная статья о фишинге и о новой тенденции — массовом фишинге, использующем элементы целевой атаки. Объясню, как действуют злоумышленники, и на что обратить внимание в противостоянии с ними.
Для начала немного статистики. По Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора (РКН) в 2024 году было заблокировано 30 тыс. фишинговых ресурсов — это в семь раз больше по сравнению с 2023 годом. В целом за 2024 год количество фишинговых атак в России .
Значительная часть атак направлена на малый и средний бизнес — об пользователей предупреждает Центр информационной безопасности и мониторинга инцидентов «1С-Битрикс». В период майских праздников был зафиксирован резкий рост целевых фишинговых атак на малый и средний бизнес — злоумышленники целились на компании, использующие самые популярные у бизнеса CRM-системы. Уже есть по этой схеме компании.
Теперь на фоне — 21% в экономике РФ и 34 трлн руб. в ВВП — целью атак становятся сами малые и средние компании. Такие организации легче компрометировать в виду объективных факторов:
В ответ злоумышленники используют автоматизацию — используют готовые фишинговые инструменты, фиш-киты. В самом простом варианте это html-страница, полностью повторяющую вид страницы авторизации известного общедоступного сервиса, и скрипт, который отправляет злоумышленникам введенные жертвой данные, например, логин и пароль.
В продвинутом варианте фиш-кит представляет собой портал или даже сервис, включающий:
Рассмотрим пример атаки. С одной стороны, она массовая, так как затронула компании разного размера из совершенно разных сфер: строительство, консалтинг, ритейл, даже офлайн-бизнес. География атаки — от Владивостока до Калининграда.
С другой стороны, у этих компаний общий целевой признак — в течение нескольких дней конкретными объектами атаки стали работники отделов продаж. Злоумышленники провели подготовительную работу: самостоятельно собрали или купили на нелегальном ресурсе базу соответствующих e-mail-адресов, сформировали общую легенду о срочном заполнении документа по ссылке, с помощью фиш-кита сделали поддельную страницу. Далее оставалось реализовать массовую рассылку по целевым почтовым ящикам.
Фиксировались аналогичные всплески массовых атак, направленных на руководителей компании — их адреса часто публикуются на сайтах организаций и собрать их для массовой атаки не составляет труда. Легендой может послужить фальшивое письмо от ФНС России или другого государственного органа — это вызывает доверие и мотивирует скачать зловредное вложение, которое крадет логины и пароли от учетной записи руководителя. Далее через нее ожидаемо происходит утечка данных компании.
Еще одним элементом массовой рассылки с признаками целевой является подделка популярных стандартных страниц авторизации именно b2b, а не b2c-сервисов. К таким сервисам можно отнести CRM, корпоративную почту, диск, календарь, мессенджер, доски и инструменты совместной работы с документами. Злоумышленник покупает в даркнете или находит в публичном поле информацию, чтобы составить пару “e-mail + поддельная страница именно той b2b-платформы, которой пользуется владелец e-mail”. Содержание фишингового письма при этом массовое для всех адресатов.
Для повышения скрытности массовой фишинговой рассылки хакеры также прибегают к инструменту целевой атаки — спуфингу, который заключается в подделке адреса отправителя под легитимный или в подделке отображения адреса как легитимного.
Поэтому одним из первоочередных мероприятий по борьбе с фишингом является обучение сотрудников умению распознавания таких атак. Постройте курс ориентированным на практику с короткой теорией и большим количеством тестовых заданий. Задания должны отрабатывать следующие навыки:
Разумеется, важно использовать и технические решения, которые помогут снизить риск фишинговой атаки.
Здесь на первый план выходит умение управлять идентификацией и доступом: внедрять на техническом уровне строгие политики управления доступом на основе ролей, использовать многофакторную аутентификацию для входа в корпоративные сервисы, антивирусное ПО.
По мере роста компании полезно внедрять спам-фильтры и защищенные почтовые шлюзы, инструменты фильтрации трафика, корпоративные решения мониторинга и реагирования.
В заключение отмечу, что, ни один инструмент безопасности не может полностью остановить целенаправленный фишинг, и только одновременное использование доступных технических средств и организационных мероприятий, включающих обучение сотрудников мерам информационной безопасности, помогут снизить риски, связанные с такими атаками.
Для начала немного статистики. По Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора (РКН) в 2024 году было заблокировано 30 тыс. фишинговых ресурсов — это в семь раз больше по сравнению с 2023 годом. В целом за 2024 год количество фишинговых атак в России .
Значительная часть атак направлена на малый и средний бизнес — об пользователей предупреждает Центр информационной безопасности и мониторинга инцидентов «1С-Битрикс». В период майских праздников был зафиксирован резкий рост целевых фишинговых атак на малый и средний бизнес — злоумышленники целились на компании, использующие самые популярные у бизнеса CRM-системы. Уже есть по этой схеме компании.
Почему хакеры выбирают малый и средний бизнес?
Злоумышленники обратили внимание на МСП несколько лет назад. Для хакеров это легкий способ скомпрометировать крупный бизнес, для которого небольшие компании оказывают услуги. Сначала «ломается» инфраструктура подрядчика, а затем находятся способы обойти защиту информационных систем большого заказчика через API-инструменты.Теперь на фоне — 21% в экономике РФ и 34 трлн руб. в ВВП — целью атак становятся сами малые и средние компании. Такие организации легче компрометировать в виду объективных факторов:
- они выделяют небольшие бюджеты на обеспечительные корпоративные процессы, не приносящие напрямую доход,
- руководство недостаточно осознает риски ИБ,
- в компаниях нет высококвалифицированных ИТ-специалистов,
- сотрудники недостаточно осведомлены в вопросах ИБ, и соответствующие практики не внедрены в компании.
Массовый фишинг и автоматизация атак
Мошенникам приходится быстро создавать новые поддельные ресурсы вместо тех, которые постоянно блокируются интернет-провайдерами. Существуют антифишинговые боты поисковых систем, которые выявляют характерные признаки на таких страницах и блокируют их.В ответ злоумышленники используют автоматизацию — используют готовые фишинговые инструменты, фиш-киты. В самом простом варианте это html-страница, полностью повторяющую вид страницы авторизации известного общедоступного сервиса, и скрипт, который отправляет злоумышленникам введенные жертвой данные, например, логин и пароль.
В продвинутом варианте фиш-кит представляет собой портал или даже сервис, включающий:
- конструктор фишинговых страниц,
- инструмент генерации и отправки сообщений, содержащих зловредные ссылки,
- инструменты защиты от обнаружения антифишинговыми ботами (легальный антибот сервис, кодирование, обфускация и замусоривание кода, ограничения на открытие страницы, картинки с текстом вместо текста письма).
Когда массовая атака приобретает свойства целевой
Как я уже говорил, теперь МСП сами стали конечной целью фишинговых атак. Но проводить целевые атаки на каждую компанию отдельно нецелесообразно. Прежде всего, их слишком много — данный сегмент экономики включает компаний. С другой стороны, они не настолько велики, чтобы злоумышленники могли тратить недели на подготовку целевой компрометации одного юрлица. Поэтому в ход пошли массовые атаки с элементами целевой, когда в область воздействия мошенников включается не одна компания и ее работники, а группа организаций со схожими признаками.Рассмотрим пример атаки. С одной стороны, она массовая, так как затронула компании разного размера из совершенно разных сфер: строительство, консалтинг, ритейл, даже офлайн-бизнес. География атаки — от Владивостока до Калининграда.
С другой стороны, у этих компаний общий целевой признак — в течение нескольких дней конкретными объектами атаки стали работники отделов продаж. Злоумышленники провели подготовительную работу: самостоятельно собрали или купили на нелегальном ресурсе базу соответствующих e-mail-адресов, сформировали общую легенду о срочном заполнении документа по ссылке, с помощью фиш-кита сделали поддельную страницу. Далее оставалось реализовать массовую рассылку по целевым почтовым ящикам.
Фиксировались аналогичные всплески массовых атак, направленных на руководителей компании — их адреса часто публикуются на сайтах организаций и собрать их для массовой атаки не составляет труда. Легендой может послужить фальшивое письмо от ФНС России или другого государственного органа — это вызывает доверие и мотивирует скачать зловредное вложение, которое крадет логины и пароли от учетной записи руководителя. Далее через нее ожидаемо происходит утечка данных компании.
Еще одним элементом массовой рассылки с признаками целевой является подделка популярных стандартных страниц авторизации именно b2b, а не b2c-сервисов. К таким сервисам можно отнести CRM, корпоративную почту, диск, календарь, мессенджер, доски и инструменты совместной работы с документами. Злоумышленник покупает в даркнете или находит в публичном поле информацию, чтобы составить пару “e-mail + поддельная страница именно той b2b-платформы, которой пользуется владелец e-mail”. Содержание фишингового письма при этом массовое для всех адресатов.
Для повышения скрытности массовой фишинговой рассылки хакеры также прибегают к инструменту целевой атаки — спуфингу, который заключается в подделке адреса отправителя под легитимный или в подделке отображения адреса как легитимного.
Как небольшим компаниям защититься от фишинговых атак
Фишинг зачастую сложно предотвратить, особенно когда он носит персонализированный характер и направлен на слабости психологии человека.Поэтому одним из первоочередных мероприятий по борьбе с фишингом является обучение сотрудников умению распознавания таких атак. Постройте курс ориентированным на практику с короткой теорией и большим количеством тестовых заданий. Задания должны отрабатывать следующие навыки:
- выявлять подозрительную ссылку по тексту сообщения, которое требует срочных действий и содержит ссылку или вложение;
- никогда не переходить по подозрительным ссылкам;
- валидировать подозрительную задачу у коллег (отличным от канала сообщения способом - позвонить, спросить лично, написать в корпоративный мессенджер);
- сообщать о подозрительных ссылках коллегам, отвечающим за ИТ и/или ИБ, руководству;
- не проходить по QR-кодам из вложений;
- проверять адрес отправителя, его домен, например @company (@companny);
- распознавать в ссылках и именах замену похожих символов в URL, в первую очередь, I(i) и l(L), o(0), пропуск символа, сдвоенная буква вместо одной;
- проверять персонифицированность отправителя (вместо [email protected], [email protected]);
- проверять персонифицированность обращения в начале сообщения (вместо Уважаемый менеджер! Добрый день, Иван!);
- проверять персонифицированность подписи в сообщении (вместо С уважением, ИТ-служба, С уважением, Иванов Иван, отдел технической поддержки пользователей) и наличие сотрудника с таким именем в штате компании.
Для проверки знаний полезно проводить кампании с рассылкой тестовых фишинговых писем сотрудникам, ссылка в которых ведет на ваш специально подготовленный сервер. Сотрудникам, которые не распознали фишинг, ввели свой логин и пароль на тестовой авторизационной странице назначается дополнительный инструктаж.
Разумеется, важно использовать и технические решения, которые помогут снизить риск фишинговой атаки.
Здесь на первый план выходит умение управлять идентификацией и доступом: внедрять на техническом уровне строгие политики управления доступом на основе ролей, использовать многофакторную аутентификацию для входа в корпоративные сервисы, антивирусное ПО.
По мере роста компании полезно внедрять спам-фильтры и защищенные почтовые шлюзы, инструменты фильтрации трафика, корпоративные решения мониторинга и реагирования.
В заключение отмечу, что, ни один инструмент безопасности не может полностью остановить целенаправленный фишинг, и только одновременное использование доступных технических средств и организационных мероприятий, включающих обучение сотрудников мерам информационной безопасности, помогут снизить риски, связанные с такими атаками.
