Открывай — не бойся, закрывай — не плачь. Вредоносные письма все чаще приводят к печальным последствиям

Автор фото: Vostock-Photo

Вредоносные письма все чаще приводят к печальным последствиям для компаний, несмотря на "возраст" угрозы.

На смену банальному фишингу (писем а–ля "вы выиграли приз") приходят таргетированные атаки на крупные компании. Злоумышленники входят в доверие к сотрудникам по переписке, при этом письма могут быть как самостоятельной атакой (так называемая Business Email Compromise), так и первым шагом к заражению компьютеров организации вредоносным ПО.
Потенциальная прибыль от целевых атак на компании выше, но и времени на проникновение в них требуется больше. По оценке Positive Technologies, к концу 2018 года доля подобных целенаправленных атак выросла до 62%, но снизилась в I квартале 2019 года до 47% за счет массовых вредоносных кампаний без привязки к отрасли.
Наиболее лакомой отраслью для таргетированных атак считаются банки. По официальным данным ЦБ, за 8 месяцев 2018 года ущерб финансовых организаций от кибератак составил 76,49 млн рублей (20 успешных кейсов). Однако, по грубым подсчетам аналитиков, реальный показатель за весь 2018 год достигает 3 млрд рублей.
"Российская действительность такова, что об утечках, атаках и прочем мы узнаем, когда утекшие данные всплывают в публичных источниках и об этом пишут СМИ", — говорит руководитель группы инфраструктурных IT–решений "Газинформсервиса" Сергей Полунин.
По словам руководителя направления защиты от направленных атак Центра информационной безопасности "Инфосистемы Джет" Александра Русецкого, помимо банков в группе риска находятся телекоммуникационные, фармацевтические и промышленные компании, а также государственные предприятия (для шпионажа, нарушения работы госресурсов и похищения персональных данных).
"Самыми актуальными направлениями целенаправленных атак являются хищение денежных средств и кража информации с целью последующей продажи на теневых рынках. К такого рода атакам относятся мошенничества с подделкой накладных, с использованием украденных учетных записей, данных кредитных и платежных карт, шантажа о публикации конфиденциальной информации", — рассказывает директор Центра компетенций по информационной безопасности компании "Техносерв" Сергей Терехов.

Крупный улов

Среди наиболее громких преступлений 2019 года — мартовская история литовского мошенника, который зарегистрировал "тезку" компании Quanta Computer (известного производителя компьютерной техники) и от ее имени отправлял письма и подложные счета партнерам настоящей организации. В результате компрометации деловой переписки преступник выманил деньги даже у крупнейших компаний — $99 млн у Facebook и $23 млн у Google.
Ситуация осложняется тем, что теоретически хакеры могут подменить свой e–mail и фактически отправить письма от имени известной компании.
Как вариант — мошенники регистрируют похожие доменные имена и отправляют сообщения практически с идентичных адресов.
Специалисты также рассказывают, что иногда мошенники создают "клоны" страниц реальных предприятий.
"Потенциальный клиент, посетив мошеннический сайт, связывается с фиктивным отделом продаж, и мошенники выставляют покупателю контракт с предоплатой. Понятно, что никакой товар клиенты не получают. Средний ущерб от такой атаки — от 1,5 млн рублей", — подчеркивает заместитель руководителя Лаборатории компьютерной криминалистики Group–IB Сергей Никитин.
Еще одна цель переписки — вынудить человека открыть вирусный файл. В январе 2019 года хакерская группа Silence разослала 80 тыс. получателей искаженное приглашение на форум iFin–2019. К официальному тексту письма злоумышленники добавили зараженный файл якобы с анкетой участника.
"Характерной особенностью этой атаки стала более качественная социальная инженерия. Осознав высокую результативность атак на людей, преступники сместили акцент с инструментальных средств на психологическую составляющую", — объясняет технический директор Trend Micro в России и СНГ Михаил Кондрашин.
Похожим образом в июле 2018 года жертвой мошенничества стал ПИР Банк — с помощью фишинговых писем злоумышленники похитили у кредитной организации $1 млн. Однако опрошенные "ДП" представители банковского сектора не поделились подобными историями — по их словам, такие сообщения или фильтруются антивирусным ПО еще на входе, или перепроверяются сотрудниками банка.
"На практике защититься вполне реально. Дело не только в инструктаже персонала — при поступлении любого платежного документа мы перезваниваем в отправившую его организацию, подтверждаем его подлинность и уже после этого с ним работаем", — рассказал директор по развитию банка "Санкт–Петербург" Михаил Гаврилов.
Однако о числе реальных кейсов подобного мошенничества остается только догадываться.
Чтобы предупредить атаку, в первую очередь следует заняться просвещением сотрудников — цифровую гигиену никто не отменял. Практически все современные кибератаки начинаются с людей. Кроме того, необходим глубокий анализ трафика, ретроспективный анализ событий кибербезопасности, профилирование действий пользователей и возможность исследования оперативной памяти, процессов. Но средства защиты будут неэффективны против целенаправленных атак без поддержки высококвалифицированных специалистов в области расследования инцидентов.
Вадим Соловьев
аналитик Positive Technologies
Задачу мошенникам облегчает то, что уровень цифровой грамотности остается низким и, более того, даже ухудшается. Опасная тенденция: он стал обратно пропорционален уровню информатизации. Вслед за крупными утечками всегда следует волна фишинговой рассылки. Если утечка произошла у банка, вскоре клиентам придет письмо якобы от самой организации. Для достоверности в нем укажут личные данные клиентов (номер счета, обращение по имени–отчеству). Жертва будет заинтересована только содержанием, полагая, что указанная информация известна лишь банку.
Алексей Парфентьев
руководитель отдела аналитики SearchInform