Стандартный сценарий

Человек получает письмо от компании Microsoft с предупреждением о входе в его аккаунт с другого устройства. Естественно, компанией Microsoft представляется злоумышленник. Данное уведомление является стандартным способом предупреждения в случае посещения своего аккаунта с различных гаджетов - будь то ноутбук, смартфон, рабочий или домашний компьютер и т. д. Жертва считает эту информацию правдивой, ведь в письме указано, что вход произошёл, например, ночью, когда владелец спал, или с IP адреса из другой страны. У него возникает паника, ведь это точно не он совершал вход в учётную запись. В этот момент глаза находят в письме строчку с инструкцией о том, что делать, чтобы защитить свой аккаунт. И здесь предлагается решение в виде замены пароля при переходе по ссылке. Перейдя по ссылке, даже если пароль не будет вводиться, веб-страница может загрузить вредоносную программу автоматически.

Слепо доверяя таким письмам, человек может, сам того не подозревая, поделиться личными данными, включая различную регистрационную информацию, пароли для доступа к электронным банковским счетам, криптокошелькам, корпоративной информации и т. п.

Как говорит Торстен Урбански, эксперт в области кибербезопасности компании ESET, фишинговые письма стали более правдоподобными и теперь их трудно отличить от настоящих. 

Россия в последнее время сделалась более востребованной и популярной среди киберпреступников.

https://aussiedlerbote.de/2022/10/kiberprestuniki-i-fishing-v-2022-godu/

Согласно данным The Register, спам сегодня может быть разослан с такой, казалось бы, надёжной службы, как Microsoft Exchange. Заинтересованные в личных данных лица могут взламывать рабочие сервера и с их помощью отправлять зашифрованные файлы, обычно в zip-формате, которые несут в себе вредоносное программное обеспечение. И чаще всего это IcedID. Такой файл может быть представлен как способ повысить уровень безопасности личных данных жертвы. Однако ввод пароля вместо этого устанавливает ту самую программу, позволяющую в дальнейшем скачивать на устройство пользователя вредоносное ПО, которое посчитают нужным для достижения своих целей киберпреступники.

От Intezer поступило ещё одно объяснение, почему фишинговые письма настолько доверительно воспринимаются пользователями. Дело в том, что происходит перехват ранее имеющей место переписки и мошенническое письмо отправляется как ответ пользователю на его запрос в той самой переписке. Таким образом, распознать обман становится ещё труднее.

Согласно проведённому исследованию компании Verizon в среднем сотруднику необходимо 15 минут для того, чтобы открыть вредоносную программу, присланную в фишинговой рассылке. Чтобы сообщить о данной проблеме в отдел безопасности, уходит 33 минуты. Соответственно, разница во времени, составляющая 17 минут, может стать роковой и привести к невосполнимой утрате конфиденциальной информации.

Важно учесть, что 91% фишингового мошенничества составляет именно обман с помощью рассылки по email. Поэтому необходимо, чтобы все сотрудники организации понимали, как распознать фишинг и whailing. При получение подобных писем не стоит переходить по ссылкам либо загружать приложенные файлы. Если приходит неожиданное письмо якобы от коллеги, то для подтверждения достоверности следует связаться с ним напрямую

Обращение от имени известных компаний

Поскольку у крупнейших компаний, представляющих соцсети, маркетинговое и IT направления, наибольшее число пользователей, то именно их имена используются мошенниками. Примеры компаний, от имени которых осуществляется фишинговая рассылка:

• Amazon;
• YouTube;
• Walmart и т.д.

Поделка сайтов, на которые ссылаются мошенники в письмах, отличается максимальной схожестью с оригинальной веб-страницей именем домена и визуальным оформлением.

Тайно загруженное вредоносное ПО может абсолютно незаметно сидеть в компьютере пользователя и работать в фоновом режиме, постепенно добывая информацию о логинах и паролях на банковских серверах, счетах страхования, учётных данных рабочей почты и т. д.

Сегодня используется не только максимально широкая рассылка, но и такие виды фишинга, как адресный, эллинг, клон-фишинг.

Как выглядит анатомия фишинговых писем

• Тема часто подаётся как срочная, требующая незамедлительных действий - используется метод запугивания. В ряде случаев письма отправляются вовсе без темы.
• Отправитель имеет такое имя, которое указывает на официальное лицо или компанию, например, технический отдел или службу поддержки. Если имя отправителя не указывается подробно и четко, можно понять, что письмо поддельное и не имеет отношения к указанной компании.
• Получатель часто обезличен, к нему обращаются как к пользователю, клиенту.
• В тексте письма применяются чаще всего такие выражения, которые говорят о срочности и невозможности затягивать действия, потому как это может привести к необратимым последствиям. Очень важным признаком фишинга является нарушение грамотности в письме, неграмотная структурированность текста.
• Ссылка, которая должна перенаправить пользователя на вредоносный сайт, часто имеет сокращения через bit.ly. Иногда она может иметь и вполне нормальный короткий вид, дабы увеличить степень соответствия тексту письма и не вызывать лишних подозрений.
• Подпись, завершающая письмо, также может быть обезличенной и выглядеть как «С уважением, служба поддержки» или другая обезличенная фраза.
• Нижний колонтитул может являться еще одним свидетельством мошенничества в силу указания неправдоподобного адреса компании, от чьего лица поступило обращение, либо неправильную дату регистрации авторского права.

Письмо часто не имеет имени человека или номера телефона службы поддержки для выяснения обстоятельств. Как уже говорилось, основной показатель – это запугивание. Текст формируется таким образом, чтобы вызывать чувство замешательства, беспомощности и т.д.

Интересные факты о фишинге

Факт в том, что 67% процентов киберпреступников решают оставить строку темы незаполненной. Согласно статистике, полученной в ходе исследования компании Атлас VPN в 2022 году, почти 70% фишинговых писем приходят с пустым полем темы письма. Если же тема заполнена, то наблюдается следующее процентное соотношение:

• Отчет, который говорит, что факс доставлен – 9%.
• Предложение коммерческого плана – 6%.
• Какие-либо запросы – 4%.
• Предложение встречи – 4%.
• Уведомление о новом голосовом сообщении – 3,5%.
• Ответ на запрос пользователя – 2%.
• Срочные запросы – 2%.
• Просьба подтвердить заказ – 2%.

Так, за первые 3 месяца 2022 года участники LinkedIn столкнулись с фишинговым мошенничеством в особо крупном соотношении. На их долю пришлось 52% всех совершённых в мире атак. Как уже было сказано, мошенники любят использовать имена известных брендов, и LinkedIn был выбран не случайно. Для сравнения, в последние 3 месяца 2021 года название данной компании было использовано только в 8% случаев от общего мирового числа вредоносных рассылок. То есть разница составила 44%. LinkedIn впервые занял первое место по числу совершённых афер по разосланным от его имени письмам. Он опередил даже таких гигантов, как Microsoft, Apple и Google.

Криптомир также регулярно подвергается нападениям со стороны кибермошенников. Чаще всего страдают пользователи, владеющие Cardano, Luno, и клиенты blockchain.com. Несмотря на то что этот год стал крайне неудачным для криптовалютного рынка, преступники всё же продолжают успешно обманывать наивных пользователей.

Наиболее часто обман происходит с помощью создания дублей оригинальных сайтов. Так, компания Blokchain стала лидером по количеству подделок, копирующих её оригинальную веб-страницу. С конца марта по конец июня текущего года было создано более 660 копий. Luno было скопировано 277 раз, а Cardano – 191 раз.

Одной из последних новостей от Securitylab стал факт кражи фиширами из Франции 2,5 миллиона долларов США с кошельков NFT за несколько месяцев конца 2021-го – начала 2022 года. 

https://www.itsec.ru/news/franzuzskiye-fisheri-ukrali-25-mlb-dollarov-v-nft

Среди торговых площадок чаще всего подвергаются мошенничеству со стороны фишинговых специалистов клиенты Amazon. Насчитывается более 900 фишинг-сайтов, которые так или иначе связаны в Amazon.

Из числа всех успешно проведённых фишинговых атак 54% обходятся утратой конфиденциальной информации.

https://www.it-world.ru/cionews/security/186557.html

Причина увеличения числа атак с помощью фишинга

С каждым годом процент нападений со стороны кибермошенников увеличивается. В фишинге он растёт в среднем на 25% за год. Сегодня таким атакам подвержены уже миллионы пользователей по всему миру. Так почему же фишинг стал любимым методом обмана?

Поскольку инфобизнес всё более ширится, потребители становятся не так внимательны в плане обнаружения возможных атак.

Киберпреступники же действуют всё изощрённее. Они научились делать убедительные и правдоподобные обращения. А пользователи, напротив, теряют бдительность при проверке электронной почты, поскольку знают о возможности отправки различных писем со стороны компаний, службы поддержки того или иного сервиса, маркетингового отдела различных интернет-площадок. Потому фишинг сегодня стал очень успешным и требует более тщательного рассмотрения не только каждым отдельным человеком, но и в пределах компаний и их сотрудников.

Возможные решения для борьбы с фишингом со стороны представителей малого и среднего бизнеса, а также корпораций

Отсутствие у компании каких-либо реакций на состоявшиеся атаки или желания предотвратить их является признаком того, что руководство проявляет недостаточное стремление к достижению информационной безопасности (ИБ). Каждый бизнес нуждается в работающих схемах ИБ в отношении корпоративной информации, а также данных клиентов и сотрудников.

С целью предотвращения доступа преступников к вышеуказанным данным следует заранее предпринять ряд действий по предотвращению фишинга. Так, использование некоторых протоколов (SPF, DKIM) может обеспечить защиту необходимого уровня. Это всемирно признанные протоколы, которые используют стандарт защиты на основе подтверждения отправки определенного письма уполномоченным сервером. Если письмо было отправлено с домена, который не имеет соответствующих полномочий на отправку от имени определенной компании, то данное письмо будет расценено потенциально опасным.

Работа протокола возможна благодаря наличию в записи DNS допустимых зарегистрированных почтовых серверов. В зависимости от политики компании письма от сомнительного отправителя могут быть помещены в карантин, запрещены либо же разрешены для просмотра.

Обновление антивирусных программ – необходимая мера для защиты от фишинга

Еще один базовый способ защиты от фишинга – актуальные обновления антивирусного ПО. Многие коммерческие антивирусы способны поддерживать защиту на должном уровне. При регулярном обновлении ПО и поддержке им используемого браузера пользователь сможет быть уверен в безопасности посещаемых сайтов; либо же он получит уведомление со стороны антивируса о потенциально вредоносной ссылке или веб-странице. Также уровень безопасности девайса следует поддерживать методом сканирования на наличие вирусных программ.

Двухфакторная аутентификация

Обязательное применение двухфакторной аутентификации позволит гарантировать надежность входа в личные финансовые аккаунты.

Обучая сотрудников кибербезопасности, следует уделить отдельное внимание вопросу фишинг-рассылки. Будучи осведомленными, они смогут обнаружить попытки атаки со стороны мошенников и вовремя предпринять защитные меры.