Привет! Меня зовут Леонид Плетнев, я бизнес-партнер по информационной безопасности в Битрикс24. Это обзорная статья о фишинге и о новой тенденции — массовом фишинге, использующем элементы целевой атаки. Объясню, как действуют злоумышленники, и на что обратить внимание в противостоянии с ними.
Для начала немного статистики. По данным Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора (РКН) в 2024 году было заблокировано 30 тыс. фишинговых ресурсов — это в семь раз больше по сравнению с 2023 годом. В целом за 2024 год количество фишинговых атак в России выросло на 425%.
Значительная часть атак направлена на малый и средний бизнес — об этом тренде пользователей предупреждает Центр информационной безопасности и мониторинга инцидентов «1С-Битрикс». В период майских праздников был зафиксирован резкий рост целевых фишинговых атак на малый и средний бизнес — злоумышленники целились на компании, использующие самые популярные у бизнеса CRM-системы. Уже есть скомпрометированные по этой схеме компании.
Почему хакеры выбирают малый и средний бизнес?
Злоумышленники обратили внимание на МСП несколько лет назад. Для хакеров это легкий способ скомпрометировать крупный бизнес, для которого небольшие компании оказывают услуги. Сначала «ломается» инфраструктура подрядчика, а затем находятся способы обойти защиту информационных систем большого заказчика через API-инструменты.
Теперь на фоне роста рынка МСП — 21% в экономике РФ и 34 трлн руб. в ВВП — целью атак становятся сами малые и средние компании. Такие организации легче компрометировать в виду объективных факторов:
они выделяют небольшие бюджеты на обеспечительные корпоративные процессы, не приносящие напрямую доход,
руководство недостаточно осознает риски ИБ,
в компаниях нет высококвалифицированных ИТ-специалистов,
сотрудники недостаточно осведомлены в вопросах ИБ, и соответствующие практики не внедрены в компании.
Статистика подтверждает, что одним из самых популярных методов несанкционированного проникновения в инфраструктуру компаний, особенно небольших, остается фишинг. Этот вид интернет-мошенничества позволяет получать идентификационные данные пользователей: логины, пароли и другую конфиденциальную информацию. Как известно, фишинговая атака может быть массовой, то есть проводимой широковещательно и без предварительной подготовки, и целевой – направленной на конкретного сотрудника или относительно небольшую группу людей.
Массовый фишинг и автоматизация атак
Мошенникам приходится быстро создавать новые поддельные ресурсы вместо тех, которые постоянно блокируются интернет-провайдерами. Существуют антифишинговые боты поисковых систем, которые выявляют характерные признаки на таких страницах и блокируют их.
В ответ злоумышленники используют автоматизацию — используют готовые фишинговые инструменты, фиш-киты. В самом простом варианте это html-страница, полностью повторяющую вид страницы авторизации известного общедоступного сервиса, и скрипт, который отправляет злоумышленникам введенные жертвой данные, например, логин и пароль.
В продвинутом варианте фиш-кит представляет собой портал или даже сервис, включающий:
конструктор фишинговых страниц,
инструмент генерации и отправки сообщений, содержащих зловредные ссылки,
инструменты защиты от обнаружения антифишинговыми ботами (легальный антибот сервис, кодирование, обфускация и замусоривание кода, ограничения на открытие страницы, картинки с текстом вместо текста письма).
Злоумышленники все чаще используют при подготовке массовых атак ИИ — он помогает им быстро формулировать убедительные тексты фишинговых сообщений, подделывать голоса и изображения, организовывать онлайн-сервисы для проведения фишинговых кампаний.
Когда массовая атака приобретает свойства целевой
Как я уже говорил, теперь МСП сами стали конечной целью фишинговых атак. Но проводить целевые атаки на каждую компанию отдельно нецелесообразно. Прежде всего, их слишком много — данный сегмент экономики включает 6,7 млн компаний. С другой стороны, они не настолько велики, чтобы злоумышленники могли тратить недели на подготовку целевой компрометации одного юрлица. Поэтому в ход пошли массовые атаки с элементами целевой, когда в область воздействия мошенников включается не одна компания и ее работники, а группа организаций со схожими признаками.
Рассмотрим пример атаки. С одной стороны, она массовая, так как затронула компании разного размера из совершенно разных сфер: строительство, консалтинг, ритейл, даже офлайн-бизнес. География атаки — от Владивостока до Калининграда.
С другой стороны, у этих компаний общий целевой признак — в течение нескольких дней конкретными объектами атаки стали работники отделов продаж. Злоумышленники провели подготовительную работу: самостоятельно собрали или купили на нелегальном ресурсе базу соответствующих e-mail-адресов, сформировали общую легенду о срочном заполнении документа по ссылке, с помощью фиш-кита сделали поддельную страницу. Далее оставалось реализовать массовую рассылку по целевым почтовым ящикам.
Фиксировались аналогичные всплески массовых атак, направленных на руководителей компании — их адреса часто публикуются на сайтах организаций и собрать их для массовой атаки не составляет труда. Легендой может послужить фальшивое письмо от ФНС России или другого государственного органа — это вызывает доверие и мотивирует скачать зловредное вложение, которое крадет логины и пароли от учетной записи руководителя. Далее через нее ожидаемо происходит утечка данных компании.
Еще одним элементом массовой рассылки с признаками целевой является подделка популярных стандартных страниц авторизации именно b2b, а не b2c-сервисов. К таким сервисам можно отнести CRM, корпоративную почту, диск, календарь, мессенджер, доски и инструменты совместной работы с документами. Злоумышленник покупает в даркнете или находит в публичном поле информацию, чтобы составить пару “e-mail + поддельная страница именно той b2b-платформы, которой пользуется владелец e-mail”. Содержание фишингового письма при этом массовое для всех адресатов.
Для повышения скрытности массовой фишинговой рассылки хакеры также прибегают к инструменту целевой атаки — спуфингу, который заключается в подделке адреса отправителя под легитимный или в подделке отображения адреса как легитимного.
Как небольшим компаниям защититься от фишинговых атак
Фишинг зачастую сложно предотвратить, особенно когда он носит персонализированный характер и направлен на слабости психологии человека.
Поэтому одним из первоочередных мероприятий по борьбе с фишингом является обучение сотрудников умению распознавания таких атак. Постройте курс ориентированным на практику с короткой теорией и большим количеством тестовых заданий. Задания должны отрабатывать следующие навыки:
выявлять подозрительную ссылку по тексту сообщения, которое требует срочных действий и содержит ссылку или вложение;
никогда не переходить по подозрительным ссылкам;
валидировать подозрительную задачу у коллег (отличным от канала сообщения способом - позвонить, спросить лично, написать в корпоративный мессенджер);
сообщать о подозрительных ссылках коллегам, отвечающим за ИТ и/или ИБ, руководству;
не проходить по QR-кодам из вложений;
проверять адрес отправителя, его домен, например @company (@companny);
распознавать в ссылках и именах замену похожих символов в URL, в первую очередь, I(i) и l(L), o(0), пропуск символа, сдвоенная буква вместо одной;
проверять персонифицированность отправителя (вместо CEO@company.ru, ivanov@company.ru);
проверять персонифицированность обращения в начале сообщения (вместо Уважаемый менеджер! Добрый день, Иван!);
проверять персонифицированность подписи в сообщении (вместо С уважением, ИТ-служба, С уважением, Иванов Иван, отдел технической поддержки пользователей) и наличие сотрудника с таким именем в штате компании.
Пример, тестового вопроса:
Вы работаете в ООО «Моя компания», ее почтовый домен — @mycompany.ru. Вам пришло входящее письмо, фишинговое ли оно?
От: CEO@MYC0MPANNY.RU
Кому: всем
Тема: ВАЖНО. СРОЧНО. О премииДобрый день, коллеги!
В связи с планами введения в нашей компании новой системы мотивации и премирования, всем сотрудником необходимо пройти опрос по ссылке: HTTPS://OPROS.MYC0MPANNY.RU Срок — сегодня до 16-00.
С уважением,
Генеральный директор
ООО Моя Компания.
Для проверки знаний полезно проводить кампании с рассылкой тестовых фишинговых писем сотрудникам, ссылка в которых ведет на ваш специально подготовленный сервер. Сотрудникам, которые не распознали фишинг, ввели свой логин и пароль на тестовой авторизационной странице назначается дополнительный инструктаж.
Разумеется, важно использовать и технические решения, которые помогут снизить риск фишинговой атаки.
Здесь на первый план выходит умение управлять идентификацией и доступом: внедрять на техническом уровне строгие политики управления доступом на основе ролей, использовать многофакторную аутентификацию для входа в корпоративные сервисы, антивирусное ПО.
По мере роста компании полезно внедрять спам-фильтры и защищенные почтовые шлюзы, инструменты фильтрации трафика, корпоративные решения мониторинга и реагирования.
В заключение отмечу, что, ни один инструмент безопасности не может полностью остановить целенаправленный фишинг, и только одновременное использование доступных технических средств и организационных мероприятий, включающих обучение сотрудников мерам информационной безопасности, помогут снизить риски, связанные с такими атаками.