Поделиться
Positive Technologies: количество фишинговых атак выросло на треть за год
Эксперты Positive Technologies и «СДМ-Банка» разобрали тему фишинга: какие инструменты и темы используют злоумышленники и какие средства защиты на их пути ставят специалисты по ИБ. Positive Technologies также анонсировала разработку собственного почтового шлюза (PT Email Gateway) — продукта, который является ключевым для защиты почты от нежелательных сообщений, в том числе фишинга. Первые пилотные проекты запланированы на конец 2025 г. Об этом CNews сообщили представители Positive Technologies.
Согласно исследованию Positive Technologies, количество фишинговых атак продолжает расти: в 2024 г., по сравнению с 2023 г., их количество выросло на 33%, а с 2022 г. — на 72%. Атаки направлены на все отрасли, но самыми популярными у злоумышленников в 2024 г. были государственные учреждения (15%), промышленные предприятия (10%) и ИТ-компании (9%).
Фишинговые атаки на организации могут привести к разным последствиям: краже конфиденциальной информации (63%), нарушению деятельности организаций (28%), ущербу интересам государства (6%) и прямым финансовым потерям (5%).
Фишинговые атаки можно разделить на целевые и массовые. Целевые направлены на конкретные группы лиц. Такой фишинг более проработан, требует от атакующих больше времени и вложений, но и вероятность успеха гораздо выше. Зачастую этим методом пользуются APT-группировки. Основная часть атак — это массовый фишинг, когда атакующие рассылают письма большому количеству людей, надеясь, что хотя бы небольшой процент совершит требуемое действие. В таких атаках злоумышленники часто мимикрируют под известные бренды, такие как Microsoft, Apple, Google. При этом грань между массовым и целевым фишингом будет все больше стираться, как прогнозируют эксперты. Фишинговых сообщений станет больше, а их содержание будет становиться все более качественным и правдоподобным.
Тренды в фишинговых атаках
Эксперты выделили несколько трендов, которые прослеживаются в фишинговых атаках на российские компании.
Искусственный интеллект (ИИ) будет все прочнее внедряться в инструментарий злоумышленников. C помощью ИИ хакеры уже сейчас не только генерируют фишинговый контент, но и делают атаки более персонализированными. Чат-боты, например, повышают адаптивность фишинга, когда язык и тактика письма меняются в зависимости от ответа пользователя. Среди прочего чат-боты помогают мошенникам проводить популярные атаки типа «фейк босс». В целом, по данным Positive Technologies, количество сообщений от «работодателя» составило 10% от числа всех инцидентов в 2022–2023 гг. В 2024 г. прослеживалась аналогичная динамика.
В 2024 г. наметился и бум использования дипвойсов и дипфейков. По данным KPMG, с I квартала 2023 г. по I квартал 2024 г. на 245% выросло использование этих технологий в киберинцидентах по всему миру. Ирина Телехина, руководитель направления развития и контроля информационной безопасности в Positive Technologies, рассказала про фишинговую атаку на Positive Technologies с использованием дипфейка. В 2024 г. злоумышленники совершили видеозвонок топ-менеджеру компании от имени генерального директора. Нескольких секунд им было достаточно для того, чтобы собрать необходимый набор персональных данных: мимику, цвет волос, глаз — чтобы на основе звонка создать дипфейк. Впоследствии дипфейк использовался для фишинговой атаки на Positive Technologies, но существующий процесс по противодействию киберугрозам и повышению осведомленности сотрудников позволил избежать успешной атаки.
«Почтовый трафик Positive Technologies является примером того, что все тренды кибератак едины во всем мире, — сказала Ирина Телехина, руководитель направления развития и контроля информационной безопасности Positive Technologies. — Как только мы отслеживаем, что набирают популярность дипфейки, дипвойсы, инструменты для обхода MFA, через некоторое время мы видим использование новых инструментов для проведения фишинга и у нас. При этом количество фишинга, которое доходит до сотрудников Positive Technologies, является незначительным, так как большую его часть блокирует песочница PT Sandbox. Фишинговые атаки осуществляются разнообразными способами, цель каждого из которых — уязвимость человека. Независимо от уровня подготовки сотрудников, будь то специалисты по ИТ, ИБ или другие работники, именно человеческий фактор остается слабым звеном, игнорировать который чревато».
Эксперты Positive Technologies и «СДМ-Банка» рассказали, что ведут работу по повышению качества базовой защиты почты как первоочередной технической меры, а также обучают сотрудников своевременному выявлению фишинга. Согласно исследованию Hoxhunt, обучение персонала формирует устойчивые навыки распознавания фишинга: уже через полгода тренировок 50% сотрудников способны распознать реальную атаку, тогда как без подготовки этот показатель составляет лишь 13%.
Владимир Солонин, директор по информационной безопасности «СДМ-Банка», рассказал, что благодаря проводимой в банке программе обучения удалось снизить количество сотрудников, попавшихся на учебную фишинговую рассылку, с десятков до единиц.
Владимир Солонин также поделился, как «СДМ-Банку» удалось выстроить защиту от фишинга и значительно изменить статистику по задержанным фишинговым сообщениям.
«Ранее мы вручную с помощью скрипта разбирали потенциально опасные сообщения, но с ростом объема таких писем потребовалась автоматизация, — сказал Владимир Солонин, директор по информационной безопасности «СДМ-Банка». — Так мы пришли к необходимости внедрения песочницы, стоящей «в разрыв». После ухода зарубежных вендоров из России, после сравнительного тестирования отечественных решений выбор сделали в пользу PT Sandbox от Positive Technologies. Мы постоянно оцениваем уровень и эффективность отражения киберугроз, в том числе со стороны почты. Так, в апреле 2025 г. продукт задержал 342 вредоносных письма, а мы получили лишь 0,36% потенциально вредоносных сообщений, которые обошли классические антивирусные средства. Пик по задержанным вредоносным письмам наблюдался в июне 2023-го — 880 писем и 0,39% полученных. Эта статистика показательна, так как буквально транслирует нам, как качественный продукт для информационной безопасности справляется с защитой организации от фишинга. Однако любая защита должна быть эшелонированной и комплексной: помимо песочницы, необходимо выстроить и базовую защиту почтового сервера с помощью почтового шлюза с антивирусными движками, защитить конечные рабочие станции и не забывать про повышение киберграмотности сотрудников».
Для того, чтобы повышать эффективность фишинга, усилия злоумышленников все больше будут направлены на обход защитных механизмов. Например, мошенники активно внедряют тест CAPTCHA, чтобы затруднить автоматическую блокировку сайта, а также создать иллюзию доверия у жертвы, поскольку обычно его используют легитимные порталы. Атакующие применяют вложения, ссылки и реже — QR-коды для распространения вредоносных программ и поддельных форм ввода данных. Но, хотя QR-коды встречаются лишь в одном из 500 электронных писем, 60% из них содержат спам или вредоносное ПО, согласно исследованию Cisco Talos. Продвинутые средства защиты уже учатся анализировать вредоносные QR. Например, песочница PT Sandbox умеет находить QR-коды на изображениях в теле или во вложениях письма, извлекает содержащиеся в них ссылки и проверяет их на вредоносность.
Развитие рынка даркнета повлияло и на фишинг: преступная деятельность превратилась в товар, открыв возможность даже неквалифицированным злоумышленникам получать доступ к инфраструктуре организаций, не прилагая значительных усилий. Если раньше фишинговые атаки требовали от атакующего затрат времени и сил, то сейчас эту проблему решили платформы PhaaS (Phishing-as-a-Service). Цена на готовые фишинговые проекты начинается всего от $10.
«Платформы Phishing-as-a-Service действительно изменили ход игры, — сказала Ирина Зиновкина, руководитель направления аналитических исследований в Positive Technologies. — Как на маркетплейсе, злоумышленники могут выбрать необходимый набор инструментов: шаблоны для фишинга вместе с дашбордами метрик эффективности сообщений, использование CAPTCHA, инструменты для генерации или клонирования веб-сайтов. Поэтому компаниям остается выстроить максимальную защиту от фишинга, чтобы минимизировать его распространение в почте сотрудников».
Защита от фишинговых атак
По данным Positive Technologies, 84% всех фишинговых атак совершается через электронную почту, оставляя позади с большим отрывом сайты (23%), социальные сети и мессенджеры (4%). При этом эффективно обеспечить защиту почтового сервера можно с помощью использования связки продуктов для информационной безопасности: почтового шлюза (secure email gateway) и песочницы (sandbox). В 2025 г. рынок продуктов по защите электронной почты в России Positive Technologies оценивает на уровне 6–7 млрд руб. При этом наблюдается тенденция к ежегодному устойчивому росту.
«Ранее мы обеспечивали защиту почтовых серверов клиентов с помощью интеграции нашей песочницы PT Sandbox с другими средствами защиты почты. Однако в рамках опроса3 клиентов выяснили, что большинство хотели бы использовать в своей инфраструктуре моновендорную связку SEG и Sandbox, — сказала Елена Полякова, менеджер продуктового маркетинга Positive Technologies. — В ответ на потребности клиентов Positive Technologies с конца прошлого года разрабатывает продукт класса SEG — PT Email Gateway. Вместе с песочницей PT Sandbox он составит комплексное решение, доступное из единого интерфейса, которое покроет все векторы атак через почту, обеспечивая эшелонированную защиту от угроз разной сложности. MVP продукта и первые пилотные проекты запланированы на конец 2025 г».
Разработка почтового шлюза позволит Positive Technologies обеспечить комплексную защиту почты (в связке с PT Sandbox) для текущих и новых клиентов из крупного бизнеса, а также выйти на новые рынки, например в сегмент среднего бизнеса, где компаниям важно обеспечивать базовую защиту почты от массовых угроз.
Короткая ссылка
