Более 70% россиян открывают мошеннические письма, написанные от имени руководителя или делового партнера, выяснили специалисты компании «Антифишинг». Персонализация сообщений и использование авторитета оказались самыми мощными усилителями фишинговых атак. Хакеры это знают и всё чаще обращаются к настроенным, а не обезличенным рассылкам, говорят эксперты. Способом противодействия фишингу могут быть учебные атаки, предполагают специалисты.
Фишинг с «усилителем»
В 71% случаев россияне открывают фишинговые письма, написанные от имени руководителя или делового партнера. Это показало исследование компании «Антифишинг». Специалисты компании провели контролируемую рассылку «мошеннических» сообщений среди сотрудников своих клиентов.
Использование авторитета оказалось самым эффективным способом для фишинга. Но исследователи протестировали и другие инструменты социальной инженерии. В группе сотрудников, которым направили сообщения с требованием срочно выполнить то или иное действие, письма открыли 36,4% получателей. Самым слабым «усилителем» оказалось акцентирование внимания на уникальности предложения — такие письма открыли только 32% сотрудников.
Также специалисты проанализировали влияние на людей персонифицированных фишинговых сообщений. Оказалось, что письма, содержащие личную информацию сотрудников, в разы эффективнее анонимных: 83% получателей открыли такие сообщения. Для сравнения: на анонимные мейлы купились только 22% сотрудников.
Исследование провели в 2020 году, специалисты имитировали около 100 тыс. фишинговых атак. Их воздействие испытывали на 20 тыс. работников 48 компаний. В сумме 37% участников всех тестов открыли фишинговые письма. Из них 74% перешли по ссылкам в сообщениях и скачали прикрепленные файлы. Еще 5% участников добровольно передали мошенникам персональные данные. Суммарно 79% сотрудников, открывших письма, совершили небезопасные действия.
Даже 5% переходов в мире киберпреступности считаются хорошим показателем для фишинга, отметил директор блока экспертных сервисов BI.ZONE (занимается управлением цифровыми рисками) Евгений Волошин.
Удобная мишень
Хотя фишинг сработал только на 37% сотрудников, подавляющее большинство не просто открыли сообщения, а продолжили выполнять необходимые преступникам действия, отметил директор компании «Антифишинг» Сергей Волдохин.
— Если сотрудник перейдет по ссылке, введет логин и пароль от корпоративной сети, то злоумышленники получат реквизиты для доступа в сеть компании и другую конфиденциальную информацию. А в случае запуска вложения — возможность внедрить в сеть вредоносные программы, например, шифровальщика-вымогателя, — отметил Сергей Волдохин.
Фишинг в России продолжает пользоваться популярностью среди интернет-мошенников, поскольку это дешево и просто, добавил эксперт. Чтобы составить убедительное письмо, на которое купится жертва, не нужны технические знания и дорогостоящий хакерский инструментарий, уточнил он.
По итогам 2020-м Россия оказалась на третьем месте (после Испании и Германии) в рейтинге стран, которые стали основной мишенью фишинговый рассылок, рассказала ведущий контент-аналитик «Лаборатории Касперского» Татьяна Сидорина. В прошлом году популярность этого вида интернет-мошенничества подстегнула пандемия, указала эксперт. В том числе мошенники паразитировали на связанных с ситуацией государственных инициативах: например, предлагали жертвам получить якобы положенные им социальные выплаты.
— Только за первую половину 2020 года мы обнаружили почти в пять раз больше подобных мошеннических сайтов, чем за аналогичный период 2019 года. Злоумышленники часто имитируют оповещения от вымышленных фондов по поводу финансовой помощи, доплат, пособий, страховых взносов и других видов выплат, — рассказала Татьяна Сидорина.
Застать врасплох
С каждым годом доля открытий стандартных, обезличенных мошеннических писем падает, отметил руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев. Но это не значит, что киберпреступники спешат отказаться от рассылок: они их совершенствуют.
— Фишинговые мошенники в последнее время всё чаще пишут персонифицированные обращения. Для этого, в частности, используются данные, украденные из компаний. То есть те записи, где адрес электронной почты дан в связке с настоящим именем сотрудника. Грамотно оформленные персонифицированные письма адресаты могут открывать в пять-десять раз чаще, чем обезличенные, — сообщил Андрей Арсентьев.
Еще несколько лет назад среди злоумышленников начал набирать популярность другой вид интернет-мошенничества, схожий с фишингом — вишинг, а в 2020 году случился настоящий бум — было зафиксировано 15 млн звонков, рассказали в Group-IB.
Также в 2020 году компания провела серию имитированных атак с использованием социальной инженерии на сотрудников своих клиентов. По их итогу вишинг тоже показал высокую эффективность.
— При фишинговой рассылке письма с исполняемым вложением приносили атакующим результат в 15% случаев, а ссылки на поддельный ресурс в письмах — в 8%. А на уловки во время телефонных звонков сотрудники попадались в 37% случаев, — рассказали «Известиям» в пресс-службе Group-IB.
Знания потенциального киберпреступника о внутренних процессах организации, именах и должностях коллег, а также отсылки к фейковым распоряжениям от руководителей структурных подразделений позволяют быстро втереться в доверие к жертве и выудить из нее нужную информацию, пояснили в компании.
— Звонок застает жертву врасплох, а атакующий демонстрирует эмоциональную заинтересованность и старается помочь собеседнику, чтобы притупить его бдительность, — объяснили в Group-IB.
Учебный фишинг
Бизнес все больше осознает важность охраны данных в цифровой среде, компании чаще покупают новые технические средства защиты, отметили в «Антифишинге». Но это не гарантирует безопасность, отметил Сергей Волдохин.
— Киберпреступники постоянно совершенствуют методы проникновения и чаще всего целью первого удара становятся легкомысленные и доверчивые сотрудники, которые открывают вредоносные вложения или вводят свои пароли на фишинговых сайтах, — отметил он.
Поэтому компаниям необходимо не только закупаться оборудованием и софтом, но и проводить для сотрудников тривиальные курсы цифровой грамотности и учебные атаки, считает эксперт.
В некоторых случаях корпоративное обучение снижает эффективность фишинга почти в десять раз, добавил Евгений Волошин. В компаниях, которые впервые проводили учебный фишинг, каждый третий сотрудник переходил по мошеннической ссылке, а каждый шестой вводил учетные данные на поддельном сайте. В фирмах, где проводят контролируемые атаки больше двух лет, по ссылке переходит уже каждый 28-й, вводит учетные данные — каждый 70-й сотрудник, рассказал эксперт.