Госорганы и оборонная промышленность — любимые цели фишинга

Чаще всего в фишинговых сообщениях злоумышленники выдают себя за подрядчиков, отмечают эксперты участники Уральского форума «Кибербезопасность в финансах», открывшегося сегодня в Екатеринбурге 

Бизнес-модель phishing as a service («фишинг как услуга») стала обычной практикой. Эксперты прогнозируют увеличение роли искусственного интеллекта в фишинговых атаках и противодействии им.

По данным исследования компании Positive Technologies, основными целями фишинговых атак являются получение данных (85%) и финансовой выгоды (26%). Одним из каналов сбыта украденной конфиденциальной информации является дарквеб, где спрос на персональные и учетные данные сотрудников компаний и их клиентов традиционно высок. Кража информации может производиться также с целью шпионажа за организацией или страной.

Больше половины инцидентов, рассмотренных в исследовании, были направлены на конкретную организацию, отрасль или страну. Чаще других в фокусе злоумышленников оказывались госучреждения (44% инцидентов, в которых прослеживается отраслевая направленность) и оборонные предприятия (19%). Замыкают топ-3 основных жертв фишинговых атак организации в сфере науки и образования (14%).

Среди злоумышленников эксперты отдельно отмечают хактивистов, деятельность которых продолжает набирать обороты из-за обостренной геополитической обстановки в мире. Их основная задача — навредить— навредить жертве любыми способами, как в случае с атакой на автозаправочные станции Ирана в декабре прошлого года силами предположительно израильской APT-группировки.

В исследовании говорится, что «фишинг как услуга» стал обычной практикой, эксперты прогнозировали такое распространение киберуслуг несколько лет назад. Сегодня эту бизнес-модель используют как профессиональные АРТ-группировки и опытные злоумышленники-одиночки, так и новички, не обладающие специальными знаниями и навыками. Как показал анализ мессенджеров и форумов в дарквебе, на которых встречалось упоминание социальной инженерии, наиболее популярными категориями среди запросов и предложений стали готовые фишинговые проекты, инструменты для проведения фишинговых атак и услуги по разработке фишинговых страниц.

Большинство фишинговых атак осуществляется через электронную почту (92%), однако преступники умеют подстраиваться под особенности бизнеса, используя для доставки вредоносных сообщений мессенджеры (8%) и СМС-сообщения (3%). Популярным сценарием атак является выдача себя за руководителя или сотрудника организации в различных каналах связи. Для создания поддельного профиля с целью рассылки вредоносных сообщений злоумышленнику достаточно знать имя руководителя или сотрудника организации-жертвы и иметь их фотографии.

«Основным вектором развития фишинга мы видим автоматизацию процессов атаки с помощью ИИ-инструментов, — говорит бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. — Они набирают все большую популярность и используются как злоумышленниками (для подготовки и реализации фишинговых атак), так и специалистами по информационной безопасности (для противодействия киберугрозам). С помощью ИИ киберпреступники поддерживают осмысленный диалог с жертвой, генерируют убедительные фишинговые сообщения, создают дипфейки голосов, изображений и видео».

По данным исследования, чаще всего (26% атак) злоумышленники выдают себя за контрагентов. Фишеры присылают поддельные акты сверки, счета фактур, документы для продления договоров и другие данные, связанные со взаимодействием с подрядчиками. Популярность этой уловки объясняется тем, что она применима практически для всех организаций и предполагает наличие в сообщении ссылок или вложений. В 58% атак такие приманки не содержали привязки к конкретной отрасли. При этом в целевых атаках на медицинские, финансовые, промышленные и телекоммуникационные организации эта тема используется чаще других».

Для предотвращения, обнаружения и реагирования на угрозы фишинговой атаки эксперты предлагают внедрять в организациях обучение сотрудников и проведение фишинговых симуляций, использование репутационных механизмов на основе средств защиты классов SWG (secure web gateway), NGFW (next-generation firewall), SASE (secure access service edge), решений класса EDR (endpoint detection and response), а также песочниц для почтового трафика и защиты от фишинга, встроенных в популярные браузеры или реализуемых при помощи дополнительных плагинов к ним. Нельзя пренебрегать и классическими принципами цифровой гигиены на персональных компьютерах и мобильных устройствах (например, регулярно выполнять обновление, выдавать приложениям минимальный набор привилегий).

Фото: предоставлено пресс-службой Positive Technologies