Как целевой фишинг становится массовым

Введение

Массовые фишинговые рассылки ориентированы на большую аудиторию. Обычно в них используются универсальные формулировки и примитивное форматирование, встречаются ошибки и т. д. Для точечной атаки злоумышленники прилагают больше усилий: отправляют персонализированные письма с личными данными, похожие на настоящие письма от работодателя или клиента жертвы. Масштабирование такого подхода на массовую аудиторию — затратная для злоумышленников мера. Но с недавнего времени некоторые элементы целевых атак начали применяться и в обычном массовом фишинге. В статье мы рассмотрим эту тенденцию на реальных примерах.

Целевой и массовый фишинг: различия

Спирфишинг (от англ. spear phishing), или целевой фишинг, представляет собой атаку, нацеленную на конкретного пользователя или узкую группу пользователей. Письма злоумышленников такого типа содержат информацию о жертве, а также обычно стилистически и визуально полностью повторяют стиль компании, от имени которой отправляются. Их сложно опознать как мошеннические: злоумышленники избегают ошибок в технических заголовках и не используют инструменты отправки, применение которых позволяло бы их заблокировать, например открытые почтовые релеи, Bulletproof-хостинги, находящиеся в списках спам-ресурсов, и т. д.

Массовый фишинг, напротив, рассчитан на большое число получателей: письма носят общий характер, не содержат обращения к конкретному пользователю, названия компании получателя или любой другой персонализированной информации. Для таких рассылок характерны опечатки, ошибки, плохая верстка. Современные инструменты редактирования на базе ИИ позволяют злоумышленникам составлять более грамотные письма, тем не менее в массовых рассылках по-прежнему встречается сниженное качество текста и форматирования. Рассылка отправляется бессистемно, по всем адресам электронной почты в базе злоумышленников. Обычно содержание таких писем универсально: выгодные корпоративные предложения, уведомления системы безопасности популярных сервисов, проблемы с доступом к учетной записи и т. д.

Эволюция атаки: реальные примеры

В отличие от других типов почтового фишинга, спирфишинг ранее не использовался для массовых почтовых атак. Однако в конце 2023 года в рамках исследования пользовательских запросов мы заметили аномалии в распределении результатов детекта во время анализа статистических данных. Мы обнаружили большое количество писем, которые невозможно было однозначно определить ни как целевую, ни как массовую рассылку. Они были качественно сверстаны, содержали в себе персонализированную информацию об атакуемой компании и были стилизованы под уведомления от HR-отдела. Но рассылка этих писем была слишком активной и массовой, что для целевой кампании не характерно.

Фишинговое письмо от HR: в тексте содержится название компании, к получателю обращаются по имени, а содержание письма носит довольно узкий характер, что может усыпить бдительность пользователей

К тому же фишинговая ссылка, которая содержалась в письме, вела на шаблонную фальшивую форму авторизации в Outlook. Форма не была визуально кастомизирована под стиль атакуемой компании, что является признаком массовой рассылки.

Фишинговая форма авторизации, открывающаяся по ссылке из письма

В другом примере похожей тематики злоумышленники используют Ghost Spoofing — одну из разновидностей спуфинга, когда в имя отправителя добавляется реальный адрес электронной почты организации, при этом фактический домен отправителя не скрывается и не изменяется. Эта технология чаще применяется в целевых атаках — для массовых рассылок она избыточна ввиду своей громоздкости.

Фишинговое письмо от HR с использованием Ghost Spoofing: в имени отправителя содержится адрес электронной почты HR-отдела, благодаря чему письмо кажется достоверным

Как и в предыдущем примере, фишинговая ссылка из письма не обладает какими-либо уникальными особенностями, характерными для спирфишинга. Форма авторизации, открывающаяся по ссылке, не содержит персонализированной информации, а ее дизайн повторяет шаблонный стиль подобных форм. Она размещена на IPFS-ресурсе, которые чаще используются в массовых атаках.

Фишинговая форма авторизации в системе IPFS

Статистика

Количество атак с элементами целевого и массового фишинга с марта по май 2024 г. (скачать)

В период с марта по май 2024 года мы отметили существенный рост подобных атак смешанного типа. В первую очередь это свидетельствует об усложнении и развитии механизмов, которые применяют злоумышленники. Современные технологии позволяют масштабировать персонализированные атаки с меньшими затратами. Например, средства искусственного интеллекта способны адаптировать текст письма под официальный запрос от HR-отдела и исправить ошибки, а также сверстать аккуратный шаблон. К тому же мы отмечаем рост числа сторонних служб, предоставляющих функциональность спирфишинга. Это требует от пользователей повышенной бдительности, а от компаний — усиления инфраструктуры безопасности.

Выводы

Злоумышленники все чаще начинают прибегать в массовых рассылках к методам и технологиям целевых атак: письма становятся более персонализированными, применяется широкий набор спуфинг-технологий и тактик. При этом такие рассылки сохраняют массовость и представляют потенциальную угрозу, методы защиты от которой должны соответствовать темпам технологического прогресса и объединять в себе наборы методик и сервисов по борьбе с каждым видом фишинга.

Для защиты от почтовых атак, сочетающих элементы целевого и массового фишинга:

• Обращайте внимание на адрес отправителя и фактический почтовый домен. В официальном корпоративном письме они должны совпадать.
• При возникновении подозрений самостоятельно обратитесь к отправителю и задайте уточняющие вопросы — лучше связаться по альтернативным каналам связи.
• Регулярно проводите обучающие тренинги, направленные на повышение осведомленности сотрудников в сфере почтового фишинга.
• Используйте современные решения безопасности с механизмами фильтрации и защиты от спама.