Что такое Spear Phishing и как от него защититься?

Целевой фишинг (Spear Phishing) — это целенаправленная форма фишинга, при которой злоумышленники используют тактику социальной инженерии, чтобы обманом заставить отдельных лиц или целые организации разгласить конфиденциальную информацию, такую как учётные данные для входа в систему или финансовую информацию.

В отличие от других видов фишинговых мошенничеств, которые обычно используются по отношения сразу к большим группам людей, целевой фишинг направлен на конкретных лиц. Такие сообщения персонализированы, чтобы выглядеть так, как будто они поступили из надёжного источника, например, от коллеги или другой уважаемой организации.

Тактика целевого фишинга электронной почты

Фишинговые электронные письма часто используют убедительный язык и форматирование, чтобы казаться абсолютно законными. Некоторые распространённые тактики, используемые в фишинговых электронных рассылках, включают приведённые ниже особенности.

1. Срочные или угрожающие формулировки

Фишинговые электронные письма часто создают ощущение срочности или угрозы, побуждая получателя предпринять незамедлительные действия, не тратя время на проверку подлинности запроса. Например, в электронном письме может утверждаться, что имело место нарушение безопасности и что получателю необходимо подтвердить свои учётные данные по прикрепленной ссылке, чтобы избежать дальнейшего ущерба.

2. Подозрительный отправитель

Фишинговые электронные письма часто приходят с подозрительных или незнакомых адресов электронной почты. Так же они могут копировать почти дословно адрес электронной почты доверенного лица или организации, используя для этого, в том числе, специальные символы, чтобы создать иллюзию, что отправитель полностью легитимный.

3. Неправильная грамматика или правописание

Сообщения целевого фишинга могут содержать грамматические или орфографические ошибки, связанные с некомпетентностью или спешкой злоумышленников. Однако со временем мошенники становятся всё более изощренными и могут тщательно создавать электронные письма с отличной грамматикой и правописанием, вызывая куда большее доверие.

4. Подозрительные вложения или ссылки

Фишинговые электронные письма могут содержать подозрительные вложения или ссылки, которые при запуске способны скачивать и устанавливать вредоносное ПО или направлять получателя на поддельные веб-сайты, где злоумышленники попытаются украсть личную информацию жертвы. Вложения или ссылки могут быть замаскированы под законные документы или веб-страницы, чтобы ввести получателя в заблуждение.

5. Необычные запросы на информацию

Фишинговые электронные письма часто могут содержать необычные запросы на личную или конфиденциальную информацию, такую как пароли, личную или финансовую информацию. В электронном письме также может содержаться просьба к получателю выполнить определённую задачу или предпринять какое-то действие, которое не характерно для его должностных обязанностей или обычного поведения.

Как работает целенаправленный фишинг?

Целевой фишинг использует электронную почту для манипуляции такими эмоциями, как доверие, страх и любопытство, для извлечения ценных и конфиденциальных данных или другой важной информации.

Злоумышленники обычно заранее изучают свои цели через социальные сети или дополнительную общедоступную информацию, чтобы создать максимально персонализированное фишинговое электронное письмо, которое с большой вероятностью действительно обманет жертву. Хакеры могут выдавать себя за представителя уважаемой организации или даже коллегу, менеджера или руководителя целевой организации.

Попытка фишинга будет содержать призыв к действию, подобному одному из следующих: нажатие на ссылку, загрузка вложения, предоставление учётных данных для входа или отправка платежей в режиме реального времени.

Сбор информации

Злоумышленники обычно собирают информацию о своих целях из разных источников, в их числе:

• Социальные сети: злоумышленники могут использовать платформы социальных сетей, такие как VK, Instagram*, Facebook* и Twitter*, чтобы узнать больше о личной и профессиональной жизни своих целей.
• Онлайн-исследования: субъекты угрозы могут проводить онлайн-исследования, чтобы узнать информацию о должностях своих целей, их обязанностях и компаниях, в которых они работают.
• Списки электронной почты: злоумышленники могут получить списки электронной почты из утечки данных, с тёмных веб-площадок или из других источников, чтобы нацелиться на конкретных людей или организации.

Выполнение атаки

Как только злоумышленники соберут достаточно информации о своей цели, они направят электронное письмо, которое будет выглядеть законным и заслуживающим доверия. Для этого может быть использован любой из методов, описанных выше.

Затем адресату отправляется электронное письмо. Предположим, что цель поддается мошенничеству и нажимает на вредоносную ссылку или загружает вложение. В этом случае жертва может непреднамеренно произвести любое из следующих действий:

• установить вредоносное ПО на своё устройство;
• предоставить мошенникам конфиденциальную информацию;
• предоставить мошенникам доступ к защищенным системам.

В зависимости от цели злоумышленников, они могут использовать полученный доступ для кражи конфиденциальной информации (такой как финансовые данные или личная идентификационная информация) или для установки дополнительного вредоносного программного обеспечения, что может предоставить хакерам расширенный доступ, полный контроль над системой и возможность запускать дополнительные сложные атаки.

Типы целевых фишинговых атак

Точечные фишинговые атаки обычно осуществляются с помощью электронных писем или текстовых сообщений, также известных как «Смишинг» (СМС-фишинг). Ниже несколько популярных тактик, которые злоумышленники обычно используют для извлечения данных у своих жертв:

CEO-мошенничество

Так называемое «мошенничество руководителя» — это когда злоумышленники выдают себя за высокопоставленного руководителя, например генерального директора внутри компании, или другое лицо, занимающее ответственное положение, чтобы обманом заставить цель совершить определенное действие, такое как банковский перевод или предоставление конфиденциальной информации.

При типичной атаке этим методом киберпреступники отправляют электронное письмо, в котором представляются вышеупомянутым ответственным лицом, используя поддельный адрес электронной почты, на первый взгляд кажущийся вполне законным.

При попытках отправки электронной почты могут использоваться описанные ранее тактики срочности и важности запроса. Мошенники даже могут использовать методы социальной инженерии, чтобы предоставить правдоподобное объяснение запроса и наконец воспользоваться доверием жертвы.

Рядовые сотрудники зачастую могут не подвергать сомнению такие запросы, особенно если они исходят от кого-то, занимающего авторитетное положение. В результате атаки такого типа могут быть высокоэффективными и приводить к значительным финансовым потерям для компаний.

Уэйлинг (охота на китов)

Уэйлинг — это разновидность целевого фишинга, который нацелен на руководителей высокого уровня или отдельных лиц, имеющих доступ к высокочувствительной конфиденциальной информации. Иными словами, рассчитанный на «крупную рыбу» или «китов».

Уэйлинг-атаки часто требуют высокой степени изощрённости и тщательно проработанных методов социальной инженерии для укрепления доверия к цели. Например, злоумышленники могут провести обширное исследование должностных обязанностей цели, истории работы и личной жизни, чтобы создать персонализированное и убедительное электронное письмо.

Успешные уэйлинг-атаки обычно крайне эффективны, поскольку руководители высокого уровня могут иметь доступ к большим суммам средств компании и особо конфиденциальной информации. Они также могут быть более восприимчивы к этим атакам, поскольку на них часто направляется большое количество электронных писем, в связи с чем у них может банально не хватить времени тщательно изучить каждое из них.

BEC-атаки

Компрометация деловой электронной почты (BEC) — это угроза, при которой субъекты используют тактику целевого фишинга для доступа к системе электронной почты организации и осуществления дальнейших мошеннических действий. Обычно они включают в себя компрометацию злоумышленниками электронной почты любого сотрудника компании, будь то рядовой офисный клерк или руководитель, и последующую выдачу себя за него. То есть, с настоящей легитимной учётной записи хакеры преступники начинают общаться с коллегами жертвы внутри компании, также распространяя среди них правдоподобные фишинговые письма.

BEC-атаки также могут быть высокоэффективными. Федеральное бюро расследований США даже назвала BEC «мошенничеством на 43 миллиарда долларов», ссылаясь на статистику инцидентов, о которых сообщалось в Центре рассмотрения жалоб на интернет-преступления в период с 2016 по 2021 год.

Исследователи Unit 42 из Palo Alto Networks в 2021 году также обнаружили, что 89% организаций, подвергшихся BEC-атакам, не настроили многофакторную аутентификацию или не следовали рекомендациям по обеспечению безопасности электронной почты.

Подделка бренда

Подделка бренда — это разновидность целевой фишинг-атаки, при которой злоумышленники выдают себя за хорошо известный бренд или организацию, чтобы обманом вынудить цель предоставить конфиденциальную информацию. Атаки с выдачей себя за бренд часто включают в себя создание поддельного веб-сайта или электронной почты, которые якобы получены из законного источника, с использованием логотипов, фирменного стиля и других деталей, чтобы атака выглядела подлинной.

Атаки на выдачу себя за бренд могут принимать несколько форм, в том числе:

• Поддельные страницы входа: злоумышленники создают поддельную страницу входа, которая выглядит как веб-сайт законного бренда, часто используя похожие цвета, шрифты и логотипы, чтобы придать ей аутентичный вид. Таким образом, цель обманом вводит свои учётные данные для входа, которые преступники затем успешно перехватывают.
• Фишинговые электронные письма: жертве отправляется фишинговое электронное письмо якобы от законного бренда, также с использованием логотипа и прочих элементов фирменного брендинга. В электронном письме может содержаться запрос на переход целевого пользователя по ссылке или предоставление конфиденциальной информации, такой как учётные данные для входа или финансовые данные. Разумеется, хакеры каким-то образом оправдывают эти манипуляции, поэтому и не вызывают больших подозрений со стороны жертвы.
• Вредоносные приложения: злоумышленники создают вредоносное приложение или мобильный веб-сайт, которые якобы принадлежат законному бренду. Приложение или веб-сайт могут запрашивать доступ к конфиденциальной информации или содержать вредоносное ПО, крадущее данные с устройства цели.

Сбор учётных данных

Злоумышленники обманом заставляют пользователей разглашать учётные информацию для входа, чтобы получить доступ к онлайн-аккаунтам или конфиденциальным данным, выдавая себя за уважаемую организацию или сервис.

При атаке с целью сбора учётных данных мошенники обычно отправляют поддельное электронное письмо или создают поддельный веб-сайт, который якобы принадлежит законной организации (например, банку или платформе социальных сетей). Затем хакеры просят пользователя предоставить свои учётные данные для входа.

Атаки с целью сбора учётных данных могут принимать несколько форм, включая фишинговые электронные письма, поддельные веб-сайты или вредоносное ПО.

Фишинг-клонирование

При атаке данным методом злоумышленники обычно заполучают законное электронное письмо, отправленное цели в прошлом. Затем создают почти полную копию этого электронного письма и отправляют его повторно со своего адреса, часто используя тот же брендинг и макет, но с несколькими ключевыми отличиями. Например, хакеры могут изменить адрес электронной почты отправителя, ссылки в электронном письме или вложения на вредоносные.

Доставка вредоносных программ

В некоторых фишинговых атаках может использоваться вредоносное ПО для получения несанкционированного доступа к конфиденциальной информации или для нанесения дополнительного ущерба компьютерным системам. Вредоносное ПО может принимать несколько форм, включая программы-вымогатели, шпионы и ботнеты. Вредоносное ПО часто передаётся через вложения электронной почты или вредоносные ссылки на поддельных веб-сайтах.

Как защитить себя от целенаправленного фишинга?

Существует несколько способов, которыми отдельные лица и организации могут защитить себя от атак целевого фишинга.

1. Обучение и осведомлённость сотрудников

Крайне важно обеспечить сотрудников обучением по вопросам безопасности о рисках фишинговых атак. А также о том, как распознавать подозрительные электронные письма и правильно реагировать на них. Обучение должно охватывать:

• Рекомендации по проверке отправителей электронной почты.
• Выявление подозрительных ссылок и вложений.
• Сообщение о подозрительных электронных письмах IT-специалистам или сотрудникам службы безопасности.
2. Внедрение передовых методов обеспечения безопасности

Надежные меры безопасности, такие как многофакторная аутентификация, сегментация сети, брандмауэры и системы обнаружения вторжений — могут помочь предотвратить несанкционированный доступ к конфиденциальной информации и системам.

3. Использование специализированного ПО для защиты от фишинга

Антифишинговое программное обеспечение может помочь обнаруживать и блокировать подозрительные электронные письма, ссылки и вложения до того, как они попадут в почтовые ящики пользователей.

4. Регулярное резервное копирование данных

Регулярное резервное копирование критически важных данных может помочь смягчить последствия успешной целевой фишинговой атаки. При взломе или атаке программ-вымогателей наличие резервных копий может помочь быстро восстановить важные данные и работоспособность сотрудников.

5. Следить за новостями кибербезопасности

Быть в курсе последних новостей и тенденций в области безопасности может помочь отдельным лицам внутри организации оставаться в курсе возникающих угроз и уязвимостей. Эта информация может быть использована для упреждающего внедрения мер безопасности и защиты от целевого фишинга.

Что делать, если вы стали жертвой целевого фишинга

Если вы внезапно для себя стали жертвой целенаправленной фишинговой атаки, важно действовать быстро, чтобы минимизировать любой ущерб. Вот несколько шагов, которые необходимо предпринять:

• Сообщите об инциденте. Немедленно уведомите свои IT-службы и службы безопасности. Они могут помочь оценить масштабы ущерба и предпринять соответствующие шаги для предотвращения дальнейших атак.
• Измените свои пароли. Если вы поделились своими учётными данными для входа со злоумышленниками, немедленно измените свои пароли от любых учётных записей, которые могли быть скомпрометированы.
• Уведомите руководство и прочих затронутых лиц. Проинформируйте любых других сотрудников, кто также может пострадать от атаки и утечки данных. Для связи с ними лучше использовать отличные методы от затронутой учётной записи электронной почты.
• Отслеживайте свои учётные записи. Проверьте и продолжайте отслеживать свои учётные записи на предмет любой подозрительной активности или несанкционированного доступа. Если вы что-либо обнаружите, сообщите об этом в службу безопасности и примите меры для защиты своих учётных записей.

Заключение

Целевой фишинг предназначен для обмана жертв с целью раскрытия конфиденциальной информации или заражения их компьютерных систем вредоносным ПО. Важно проявлять бдительность и тщательно проверять все входящие электронные письма, особенно те, которые запрашивают конфиденциальную информацию или просто кажутся подозрительными.

Помните, что атаки целевого фишинга часто бывают очень изощрёнными, и их бывает довольно трудно обнаружить. Чтобы защитить себя, важно с осторожностью относиться к любым электронным письмам, запрашивающим конфиденциальную информацию, даже если вам кажется, что они поступили из надёжных источников.

Дважды проверьте адрес электронной почты, будьте осторожны с нежелательными вложениями или ссылками, а при возникновении сомнений свяжитесь с предполагаемым отправителем по другому каналу связи, чтобы подтвердить запрос.

Кроме того, обновление программного обеспечения безопасности на компьютерах организации может помочь защититься от многих вредоносных действий, которые могут быть предприняты в этих электронных письмах.

*Социальная сеть Twitter запрещена на территории Российской Федерации. Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.