Подробно рассмотрим все виды целевого фишинга и подготовим рекомендации по борьбе с ним.
Целевой фишинг (Spear Phishing) — это целенаправленная форма фишинга, при которой злоумышленники используют тактику социальной инженерии, чтобы обманом заставить отдельных лиц или целые организации разгласить конфиденциальную информацию, такую как учётные данные для входа в систему или финансовую информацию.
В отличие от других видов фишинговых мошенничеств, которые обычно используются по отношения сразу к большим группам людей, целевой фишинг направлен на конкретных лиц. Такие сообщения персонализированы, чтобы выглядеть так, как будто они поступили из надёжного источника, например, от коллеги или другой уважаемой организации.
Тактика целевого фишинга электронной почты
Фишинговые электронные письма часто используют убедительный язык и форматирование, чтобы казаться абсолютно законными. Некоторые распространённые тактики, используемые в фишинговых электронных рассылках, включают приведённые ниже особенности.Фишинговые электронные письма часто создают ощущение срочности или угрозы, побуждая получателя предпринять незамедлительные действия, не тратя время на проверку подлинности запроса. Например, в электронном письме может утверждаться, что имело место нарушение безопасности и что получателю необходимо подтвердить свои учётные данные по прикрепленной ссылке, чтобы избежать дальнейшего ущерба.
Фишинговые электронные письма часто приходят с подозрительных или незнакомых адресов электронной почты. Так же они могут копировать почти дословно адрес электронной почты доверенного лица или организации, используя для этого, в том числе, специальные символы, чтобы создать иллюзию, что отправитель полностью легитимный.
Сообщения целевого фишинга могут содержать грамматические или орфографические ошибки, связанные с некомпетентностью или спешкой злоумышленников. Однако со временем мошенники становятся всё более изощренными и могут тщательно создавать электронные письма с отличной грамматикой и правописанием, вызывая куда большее доверие.
Фишинговые электронные письма могут содержать подозрительные вложения или ссылки, которые при запуске способны скачивать и устанавливать вредоносное ПО или направлять получателя на поддельные веб-сайты, где злоумышленники попытаются украсть личную информацию жертвы. Вложения или ссылки могут быть замаскированы под законные документы или веб-страницы, чтобы ввести получателя в заблуждение.
Фишинговые электронные письма часто могут содержать необычные запросы на личную или конфиденциальную информацию, такую как пароли, личную или финансовую информацию. В электронном письме также может содержаться просьба к получателю выполнить определённую задачу или предпринять какое-то действие, которое не характерно для его должностных обязанностей или обычного поведения.
Целевой фишинг использует электронную почту для манипуляции такими эмоциями, как доверие, страх и любопытство, для извлечения ценных и конфиденциальных данных или другой важной информации.
Злоумышленники обычно заранее изучают свои цели через социальные сети или дополнительную общедоступную информацию, чтобы создать максимально персонализированное фишинговое электронное письмо, которое с большой вероятностью действительно обманет жертву. Хакеры могут выдавать себя за представителя уважаемой организации или даже коллегу, менеджера или руководителя целевой организации.
Попытка фишинга будет содержать призыв к действию, подобному одному из следующих: нажатие на ссылку, загрузка вложения, предоставление учётных данных для входа или отправка платежей в режиме реального времени.
Злоумышленники обычно собирают информацию о своих целях из разных источников, в их числе:
Как только злоумышленники соберут достаточно информации о своей цели, они направят электронное письмо, которое будет выглядеть законным и заслуживающим доверия. Для этого может быть использован любой из методов, описанных выше.
Затем адресату отправляется электронное письмо. Предположим, что цель поддается мошенничеству и нажимает на вредоносную ссылку или загружает вложение. В этом случае жертва может непреднамеренно произвести любое из следующих действий:
В зависимости от цели злоумышленников, они могут использовать полученный доступ для кражи конфиденциальной информации (такой как финансовые данные или личная идентификационная информация) или для установки дополнительного вредоносного программного обеспечения, что может предоставить хакерам расширенный доступ, полный контроль над системой и возможность запускать дополнительные сложные атаки.
Точечные фишинговые атаки обычно осуществляются с помощью электронных писем или текстовых сообщений, также известных как «Смишинг» (СМС-фишинг). Ниже несколько популярных тактик, которые злоумышленники обычно используют для извлечения данных у своих жертв:
CEO-мошенничество
Так называемое «мошенничество руководителя» — это когда злоумышленники выдают себя за высокопоставленного руководителя, например генерального директора внутри компании, или другое лицо, занимающее ответственное положение, чтобы обманом заставить цель совершить определенное действие, такое как банковский перевод или предоставление конфиденциальной информации.
При типичной атаке этим методом киберпреступники отправляют электронное письмо, в котором представляются вышеупомянутым ответственным лицом, используя поддельный адрес электронной почты, на первый взгляд кажущийся вполне законным.
При попытках отправки электронной почты могут использоваться описанные ранее тактики срочности и важности запроса. Мошенники даже могут использовать методы социальной инженерии, чтобы предоставить правдоподобное объяснение запроса и наконец воспользоваться доверием жертвы.
Рядовые сотрудники зачастую могут не подвергать сомнению такие запросы, особенно если они исходят от кого-то, занимающего авторитетное положение. В результате атаки такого типа могут быть высокоэффективными и приводить к значительным финансовым потерям для компаний.
Уэйлинг (охота на китов)
Уэйлинг — это разновидность целевого фишинга, который нацелен на руководителей высокого уровня или отдельных лиц, имеющих доступ к высокочувствительной конфиденциальной информации. Иными словами, рассчитанный на «крупную рыбу» или «китов».
Уэйлинг-атаки часто требуют высокой степени изощрённости и тщательно проработанных методов социальной инженерии для укрепления доверия к цели. Например, злоумышленники могут провести обширное исследование должностных обязанностей цели, истории работы и личной жизни, чтобы создать персонализированное и убедительное электронное письмо.
Успешные уэйлинг-атаки обычно крайне эффективны, поскольку руководители высокого уровня могут иметь доступ к большим суммам средств компании и особо конфиденциальной информации. Они также могут быть более восприимчивы к этим атакам, поскольку на них часто направляется большое количество электронных писем, в связи с чем у них может банально не хватить времени тщательно изучить каждое из них.
BEC-атаки
Компрометация деловой электронной почты (BEC) — это угроза, при которой субъекты используют тактику целевого фишинга для доступа к системе электронной почты организации и осуществления дальнейших мошеннических действий. Обычно они включают в себя компрометацию злоумышленниками электронной почты любого сотрудника компании, будь то рядовой офисный клерк или руководитель, и последующую выдачу себя за него. То есть, с настоящей легитимной учётной записи хакеры преступники начинают общаться с коллегами жертвы внутри компании, также распространяя среди них правдоподобные фишинговые письма.
BEC-атаки также могут быть высокоэффективными. Федеральное бюро расследований США даже назвала BEC «мошенничеством на 43 миллиарда долларов», ссылаясь на статистику инцидентов, о которых сообщалось в Центре рассмотрения жалоб на интернет-преступления в период с 2016 по 2021 год.
Исследователи Unit 42 из Palo Alto Networks в 2021 году также обнаружили, что 89% организаций, подвергшихся BEC-атакам, не настроили многофакторную аутентификацию или не следовали рекомендациям по обеспечению безопасности электронной почты.
Подделка бренда
Подделка бренда — это разновидность целевой фишинг-атаки, при которой злоумышленники выдают себя за хорошо известный бренд или организацию, чтобы обманом вынудить цель предоставить конфиденциальную информацию. Атаки с выдачей себя за бренд часто включают в себя создание поддельного веб-сайта или электронной почты, которые якобы получены из законного источника, с использованием логотипов, фирменного стиля и других деталей, чтобы атака выглядела подлинной.
Атаки на выдачу себя за бренд могут принимать несколько форм, в том числе:
Сбор учётных данных
Злоумышленники обманом заставляют пользователей разглашать учётные информацию для входа, чтобы получить доступ к онлайн-аккаунтам или конфиденциальным данным, выдавая себя за уважаемую организацию или сервис.
При атаке с целью сбора учётных данных мошенники обычно отправляют поддельное электронное письмо или создают поддельный веб-сайт, который якобы принадлежит законной организации (например, банку или платформе социальных сетей). Затем хакеры просят пользователя предоставить свои учётные данные для входа.
Атаки с целью сбора учётных данных могут принимать несколько форм, включая фишинговые электронные письма, поддельные веб-сайты или вредоносное ПО.
Фишинг-клонирование
При атаке данным методом злоумышленники обычно заполучают законное электронное письмо, отправленное цели в прошлом. Затем создают почти полную копию этого электронного письма и отправляют его повторно со своего адреса, часто используя тот же брендинг и макет, но с несколькими ключевыми отличиями. Например, хакеры могут изменить адрес электронной почты отправителя, ссылки в электронном письме или вложения на вредоносные.
Доставка вредоносных программ
В некоторых фишинговых атаках может использоваться вредоносное ПО для получения несанкционированного доступа к конфиденциальной информации или для нанесения дополнительного ущерба компьютерным системам. Вредоносное ПО может принимать несколько форм, включая программы-вымогатели, шпионы и ботнеты. Вредоносное ПО часто передаётся через вложения электронной почты или вредоносные ссылки на поддельных веб-сайтах.
Существует несколько способов, которыми отдельные лица и организации могут защитить себя от атак целевого фишинга.
Крайне важно обеспечить сотрудников обучением по вопросам безопасности о рисках фишинговых атак. А также о том, как распознавать подозрительные электронные письма и правильно реагировать на них. Обучение должно охватывать:
Надежные меры безопасности, такие как многофакторная аутентификация, сегментация сети, брандмауэры и системы обнаружения вторжений — могут помочь предотвратить несанкционированный доступ к конфиденциальной информации и системам.
Антифишинговое программное обеспечение может помочь обнаруживать и блокировать подозрительные электронные письма, ссылки и вложения до того, как они попадут в почтовые ящики пользователей.
Регулярное резервное копирование критически важных данных может помочь смягчить последствия успешной целевой фишинговой атаки. При взломе или атаке программ-вымогателей наличие резервных копий может помочь быстро восстановить важные данные и работоспособность сотрудников.
Быть в курсе последних новостей и тенденций в области безопасности может помочь отдельным лицам внутри организации оставаться в курсе возникающих угроз и уязвимостей. Эта информация может быть использована для упреждающего внедрения мер безопасности и защиты от целевого фишинга.
Если вы внезапно для себя стали жертвой целенаправленной фишинговой атаки, важно действовать быстро, чтобы минимизировать любой ущерб. Вот несколько шагов, которые необходимо предпринять:
Целевой фишинг предназначен для обмана жертв с целью раскрытия конфиденциальной информации или заражения их компьютерных систем вредоносным ПО. Важно проявлять бдительность и тщательно проверять все входящие электронные письма, особенно те, которые запрашивают конфиденциальную информацию или просто кажутся подозрительными.
Помните, что атаки целевого фишинга часто бывают очень изощрёнными, и их бывает довольно трудно обнаружить. Чтобы защитить себя, важно с осторожностью относиться к любым электронным письмам, запрашивающим конфиденциальную информацию, даже если вам кажется, что они поступили из надёжных источников.
Дважды проверьте адрес электронной почты, будьте осторожны с нежелательными вложениями или ссылками, а при возникновении сомнений свяжитесь с предполагаемым отправителем по другому каналу связи, чтобы подтвердить запрос.
Кроме того, обновление программного обеспечения безопасности на компьютерах организации может помочь защититься от многих вредоносных действий, которые могут быть предприняты в этих электронных письмах.
*Социальная сеть Twitter запрещена на территории Российской Федерации. Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.
И мы тоже не спим, чтобы держать вас в курсе всех угроз