Открывай — не бойся, закрывай — не плачь. Вредоносные письма все чаще приводят к печальным последствиям

Автор фото: Vostock-Photo

Вредоносные письма все чаще приводят к печальным последствиям для компаний, несмотря на "возраст" угрозы.

На смену банальному фишингу (писем а–ля "вы выиграли приз") приходят таргетированные атаки на крупные компании. Злоумышленники входят в доверие к сотрудникам по переписке, при этом письма могут быть как самостоятельной атакой (так называемая Business Email Compromise), так и первым шагом к заражению компьютеров организации вредоносным ПО.
Потенциальная прибыль от целевых атак на компании выше, но и времени на проникновение в них требуется больше. По оценке Positive Technologies, к концу 2018 года доля подобных целенаправленных атак выросла до 62%, но снизилась в I квартале 2019 года до 47% за счет массовых вредоносных кампаний без привязки к отрасли.
Наиболее лакомой отраслью для таргетированных атак считаются банки. По официальным данным ЦБ, за 8 месяцев 2018 года ущерб финансовых организаций от кибератак составил 76,49 млн рублей (20 успешных кейсов). Однако, по грубым подсчетам аналитиков, реальный показатель за весь 2018 год достигает 3 млрд рублей.
"Российская действительность такова, что об утечках, атаках и прочем мы узнаем, когда утекшие данные всплывают в публичных источниках и об этом пишут СМИ", — говорит руководитель группы инфраструктурных IT–решений "Газинформсервиса" Сергей Полунин.
По словам руководителя направления защиты от направленных атак Центра информационной безопасности "Инфосистемы Джет" Александра Русецкого, помимо банков в группе риска находятся телекоммуникационные, фармацевтические и промышленные компании, а также государственные предприятия (для шпионажа, нарушения работы госресурсов и похищения персональных данных).
"Самыми актуальными направлениями целенаправленных атак являются хищение денежных средств и кража информации с целью последующей продажи на теневых рынках. К такого рода атакам относятся мошенничества с подделкой накладных, с использованием украденных учетных записей, данных кредитных и платежных карт, шантажа о публикации конфиденциальной информации", — рассказывает директор Центра компетенций по информационной безопасности компании "Техносерв" Сергей Терехов.

Крупный улов

Среди наиболее громких преступлений 2019 года — мартовская история литовского мошенника, который зарегистрировал "тезку" компании Quanta Computer (известного производителя компьютерной техники) и от ее имени отправлял письма и подложные счета партнерам настоящей организации. В результате компрометации деловой переписки преступник выманил деньги даже у крупнейших компаний — $99 млн у Facebook и $23 млн у Google.
Ситуация осложняется тем, что теоретически хакеры могут подменить свой e–mail и фактически отправить письма от имени известной компании.
Как вариант — мошенники регистрируют похожие доменные имена и отправляют сообщения практически с идентичных адресов.
Специалисты также рассказывают, что иногда мошенники создают "клоны" страниц реальных предприятий.
"Потенциальный клиент, посетив мошеннический сайт, связывается с фиктивным отделом продаж, и мошенники выставляют покупателю контракт с предоплатой. Понятно, что никакой товар клиенты не получают. Средний ущерб от такой атаки — от 1,5 млн рублей", — подчеркивает заместитель руководителя Лаборатории компьютерной криминалистики Group–IB Сергей Никитин.
Еще одна цель переписки — вынудить человека открыть вирусный файл. В январе 2019 года хакерская группа Silence разослала 80 тыс. получателей искаженное приглашение на форум iFin–2019. К официальному тексту письма злоумышленники добавили зараженный файл якобы с анкетой участника.
"Характерной особенностью этой атаки стала более качественная социальная инженерия. Осознав высокую результативность атак на людей, преступники сместили акцент с инструментальных средств на психологическую составляющую", — объясняет технический директор Trend Micro в России и СНГ Михаил Кондрашин.
Похожим образом в июле 2018 года жертвой мошенничества стал ПИР Банк — с помощью фишинговых писем злоумышленники похитили у кредитной организации $1 млн. Однако опрошенные "ДП" представители банковского сектора не поделились подобными историями — по их словам, такие сообщения или фильтруются антивирусным ПО еще на входе, или перепроверяются сотрудниками банка.
"На практике защититься вполне реально. Дело не только в инструктаже персонала — при поступлении любого платежного документа мы перезваниваем в отправившую его организацию, подтверждаем его подлинность и уже после этого с ним работаем", — рассказал директор по развитию банка "Санкт–Петербург" Михаил Гаврилов.
Однако о числе реальных кейсов подобного мошенничества остается только догадываться.
Чтобы предупредить атаку, в первую очередь следует заняться просвещением сотрудников — цифровую гигиену никто не отменял. Практически все современные кибератаки начинаются с людей. Кроме того, необходим глубокий анализ трафика, ретроспективный анализ событий кибербезопасности, профилирование действий пользователей и возможность исследования оперативной памяти, процессов. Но средства защиты будут неэффективны против целенаправленных атак без поддержки высококвалифицированных специалистов в области расследования инцидентов.
Вадим Соловьев
аналитик Positive Technologies
Задачу мошенникам облегчает то, что уровень цифровой грамотности остается низким и, более того, даже ухудшается. Опасная тенденция: он стал обратно пропорционален уровню информатизации. Вслед за крупными утечками всегда следует волна фишинговой рассылки. Если утечка произошла у банка, вскоре клиентам придет письмо якобы от самой организации. Для достоверности в нем укажут личные данные клиентов (номер счета, обращение по имени–отчеству). Жертва будет заинтересована только содержанием, полагая, что указанная информация известна лишь банку.
Алексей Парфентьев
руководитель отдела аналитики SearchInform
На нашем сайте используются cookie-файлы. Продолжая пользоваться данным сайтом, вы подтверждаете свое согласие на использование файлов cookie в соответствии с настоящим уведомлением и Политикой о конфиденциальности.