Открывай — не бойся, закрывай — не плачь. Вредоносные письма все чаще приводят к печальным последствиям

Фото: Vostock-Photo

Вредоносные письма все чаще приводят к печальным последствиям для компаний, несмотря на "возраст" угрозы.

На смену банальному фишингу (писем а–ля "вы выиграли приз") приходят таргетированные атаки на крупные компании. Злоумышленники входят в доверие к сотрудникам по переписке, при этом письма могут быть как самостоятельной атакой (так называемая Business Email Compromise), так и первым шагом к заражению компьютеров организации вредоносным ПО.

Потенциальная прибыль от целевых атак на компании выше, но и времени на проникновение в них требуется больше. По оценке Positive Technologies, к концу 2018 года доля подобных целенаправленных атак выросла до 62%, но снизилась в I квартале 2019 года до 47% за счет массовых вредоносных кампаний без привязки к отрасли.

За кем придут

Наиболее лакомой отраслью для таргетированных атак считаются банки. По официальным данным ЦБ, за 8 месяцев 2018 года ущерб финансовых организаций от кибератак составил 76,49 млн рублей (20 успешных кейсов). Однако, по грубым подсчетам аналитиков, реальный показатель за весь 2018 год достигает 3 млрд рублей.

"Российская действительность такова, что об утечках, атаках и прочем мы узнаем, когда утекшие данные всплывают в публичных источниках и об этом пишут СМИ", — говорит руководитель группы инфраструктурных IT–решений "Газинформсервиса" Сергей Полунин.

По словам руководителя направления защиты от направленных атак Центра информационной безопасности "Инфосистемы Джет" Александра Русецкого, помимо банков в группе риска находятся телекоммуникационные, фармацевтические и промышленные компании, а также государственные предприятия (для шпионажа, нарушения работы госресурсов и похищения персональных данных).

"Самыми актуальными направлениями целенаправленных атак являются хищение денежных средств и кража информации с целью последующей продажи на теневых рынках. К такого рода атакам относятся мошенничества с подделкой накладных, с использованием украденных учетных записей, данных кредитных и платежных карт, шантажа о публикации конфиденциальной информации", — рассказывает директор Центра компетенций по информационной безопасности компании "Техносерв" Сергей Терехов.

Крупный улов

Среди наиболее громких преступлений 2019 года — мартовская история литовского мошенника, который зарегистрировал "тезку" компании Quanta Computer (известного производителя компьютерной техники) и от ее имени отправлял письма и подложные счета партнерам настоящей организации. В результате компрометации деловой переписки преступник выманил деньги даже у крупнейших компаний — $99 млн у Facebook и $23 млн у Google.

Ситуация осложняется тем, что теоретически хакеры могут подменить свой e–mail и фактически отправить письма от имени известной компании.

Как вариант — мошенники регистрируют похожие доменные имена и отправляют сообщения практически с идентичных адресов.

Специалисты также рассказывают, что иногда мошенники создают "клоны" страниц реальных предприятий.

"Потенциальный клиент, посетив мошеннический сайт, связывается с фиктивным отделом продаж, и мошенники выставляют покупателю контракт с предоплатой. Понятно, что никакой товар клиенты не получают. Средний ущерб от такой атаки — от 1,5 млн рублей", — подчеркивает заместитель руководителя Лаборатории компьютерной криминалистики Group–IB Сергей Никитин.

Еще одна цель переписки — вынудить человека открыть вирусный файл. В январе 2019 года хакерская группа Silence разослала 80 тыс. получателей искаженное приглашение на форум iFin–2019. К официальному тексту письма злоумышленники добавили зараженный файл якобы с анкетой участника.

"Характерной особенностью этой атаки стала более качественная социальная инженерия. Осознав высокую результативность атак на людей, преступники сместили акцент с инструментальных средств на психологическую составляющую", — объясняет технический директор Trend Micro в России и СНГ Михаил Кондрашин.

Похожим образом в июле 2018 года жертвой мошенничества стал ПИР Банк — с помощью фишинговых писем злоумышленники похитили у кредитной организации $1 млн. Однако опрошенные "ДП" представители банковского сектора не поделились подобными историями — по их словам, такие сообщения или фильтруются антивирусным ПО еще на входе, или перепроверяются сотрудниками банка.

"На практике защититься вполне реально. Дело не только в инструктаже персонала — при поступлении любого платежного документа мы перезваниваем в отправившую его организацию, подтверждаем его подлинность и уже после этого с ним работаем", — рассказал директор по развитию банка "Санкт–Петербург" Михаил Гаврилов.

Однако о числе реальных кейсов подобного мошенничества остается только догадываться.

Чтобы предупредить атаку, в первую очередь следует заняться просвещением сотрудников — цифровую гигиену никто не отменял. Практически все современные кибератаки начинаются с людей. Кроме того, необходим глубокий анализ трафика, ретроспективный анализ событий кибербезопасности, профилирование действий пользователей и возможность исследования оперативной памяти, процессов. Но средства защиты будут неэффективны против целенаправленных атак без поддержки высококвалифицированных специалистов в области расследования инцидентов.

Вадим Соловьев

аналитик Positive Technologies

Задачу мошенникам облегчает то, что уровень цифровой грамотности остается низким и, более того, даже ухудшается. Опасная тенденция: он стал обратно пропорционален уровню информатизации. Вслед за крупными утечками всегда следует волна фишинговой рассылки. Если утечка произошла у банка, вскоре клиентам придет письмо якобы от самой организации. Для достоверности в нем укажут личные данные клиентов (номер счета, обращение по имени–отчеству). Жертва будет заинтересована только содержанием, полагая, что указанная информация известна лишь банку.

Алексей Парфентьев

руководитель отдела аналитики SearchInform