Man
Professional
- Messages
- 2,965
- Reaction score
- 488
- Points
- 83
Отличаете ли вы фишинг и вишинг от фишинга с использованием китов и клонов? Мы объясняем, как распознать каждый тип угрозы, поскольку ИИ открывает эру фейковых мошенничеств с имитацией.
Каждая утечка данных и онлайн-атака, похоже, включает в себя какую-то попытку фишинга с целью кражи учетных данных пароля, запуска мошеннических транзакций или обмана с целью загрузки вредоносного ПО. Действительно, отчет Verizon о расследовании утечек данных за 2024 год показывает, что фишинг остается одной из главных угроз, связанных с утечками.
Предприятия регулярно напоминают пользователям о необходимости остерегаться фишинговых атак, но многие пользователи на самом деле не знают, как их распознать. А люди, как правило, плохо распознают мошенничество.
Согласно отчету Proofpoint State of the Phish за 2024 год, более 70% сотрудников признаются в рискованном поведении, которое делает их уязвимыми. Это говорит как об изощренности злоумышленников, так и о необходимости столь же изощренного обучения по вопросам безопасности, которое многие компании не в состоянии обеспечить в достаточной степени. Добавьте к этому тот факт, что не все фишинговые мошенничества работают одинаково — некоторые представляют собой стандартные электронные письма, а другие тщательно продуманы для нацеленности на очень конкретный тип людей — и становится все сложнее научить пользователей распознавать, когда сообщение является подозрительным.
Давайте рассмотрим различные типы фишинговых атак и способы их распознавания.
Но фишинговые атаки не всегда выглядят как уведомление о доставке UPS, предупреждающее сообщение от PayPal об истечении срока действия паролей или электронное письмо Office 365 о квотах на хранение. Некоторые атаки специально разрабатываются для организаций и отдельных лиц, а другие используют методы, отличные от электронной почты. А с ростом генеративного ИИ попытки фишинга становятся все более «убедительными» и могут быть созданы быстрее, что говорит о том, что старые способы мошенничества обретают новую жизнь.
Целевые фишинговые атаки чрезвычайно успешны, поскольку злоумышленники тратят много времени на создание информации, специфичной для получателя, например, ссылаясь на конференцию, которую получатель мог только что посетить, или отправляя вредоносное вложение, в котором имя файла ссылается на тему, интересующую получателя.
В фишинговой кампании 2017 года Group 74 (также известная как Sofact, APT28, Fancy Bear) нацелилась на специалистов по кибербезопасности с помощью электронного письма, якобы связанного с конференцией Cyber Conflict US, мероприятием, организованным Институтом кибербезопасности армии Военной академии США, Военной академией НАТО по кибербезопасности и Центром передового опыта НАТО по киберобороне. Хотя CyCon — это настоящая конференция, вложение на самом деле представляло собой документ, содержащий вредоносный макрос Visual Basic for Applications (VBA), который загружал и запускал разведывательное вредоносное ПО под названием Seduploader.
Китобойный промысел также требует дополнительных исследований, поскольку злоумышленнику необходимо знать, с кем общается предполагаемая жертва и какие обсуждения она ведет. Примерами могут служить ссылки на жалобы клиентов, судебные повестки или даже проблемы в офисе руководителя. Злоумышленники обычно начинают с социальной инженерии, чтобы собрать информацию о жертве и компании, прежде чем составить фишинговое сообщение, которое будет использоваться в китобойной атаке.
Обычно злоумышленники взламывают учетную запись электронной почты старшего руководителя или финансового директора, используя существующую инфекцию или с помощью фишинговой атаки. Злоумышленник скрывается и отслеживает активность электронной почты руководителя в течение определенного периода времени, чтобы узнать о процессах и процедурах внутри компании. Фактическая атака принимает форму ложного электронного письма, которое выглядит так, будто оно пришло со взломанной учетной записи руководителя и отправляется кому-то, кто является постоянным получателем. Электронное письмо кажется важным и срочным, и в нем содержится просьба к получателю отправить банковский перевод на внешний или незнакомый банковский счет. Деньги в конечном итоге попадают на банковский счет злоумышленника.
Данные ФБР за 2022 год показали, что, несмотря на рост числа программ-вымогателей, предприятия в совокупности теряют в 51 раз больше денег из-за атак BEC . Мошенничество BEC в последнее время также приобрело новые масштабы с многоэтапными атаками. Таким образом, компании должны обеспечить наличие у себя полной документации по политике BEC, чтобы помочь сотрудникам и заставить их чувствовать себя в большей безопасности, следуя заранее определенным правилам.
Эта атака основана на ранее просмотренном, легитимном сообщении, что повышает вероятность того, что пользователи попадутся на атаку. Злоумышленник, который уже заразил одного пользователя, может использовать эту технику против другого человека, который также получил клонируемое сообщение. В другом варианте злоумышленник может создать клонированный веб-сайт с поддельным доменом, чтобы обмануть жертву.
В ходе изощренной аферы с использованием вишинга в 2019 году преступники звонили жертвам, выдавая себя за сотрудников службы технической поддержки Apple, и предоставляли пользователям номер, по которому можно было позвонить для решения «проблемы безопасности». Как и в случае со старой аферой с техподдержкой Windows, эта афера использовала страх пользователей перед взломом их устройств.
Развитие искусственного интеллекта готово сделать вишинг более коварным вектором атак, учитывая все более точную способность искусственного интеллекта воспроизводить известные голоса с помощью аудиоподделок (см. ниже).
Smishing набирает обороты, поскольку люди чаще читают и отвечают на текстовые сообщения, чем на электронную почту: 98% текстовых сообщений читаются и на 45% отвечают, в то время как эквивалентные цифры для электронной почты составляют 20% и 6% соответственно. И пользователи часто менее бдительны к подозрительным сообщениям на своих телефонах, чем на своих компьютерах, и их личные устройства, как правило, не имеют того типа безопасности, который доступен на корпоративных ПК.
Ужасное нападение на Университет Дикина в Австралии в 2022 году показало, какие последствия могут иметь подобные атаки.
Кампании Hailstorm работают так же, как snowshoe, за исключением того, что сообщения отправляются в течение чрезвычайно короткого промежутка времени. Некоторые атаки hailstorm заканчиваются как раз тогда, когда антиспамовые инструменты обнаруживают и обновляют фильтры, чтобы блокировать будущие сообщения, но злоумышленники уже перешли к следующей кампании.
В одной из самых громких атак deepfake на сегодняшний день, работник проектно-конструкторской фирмы Arup стал жертвой сложной аферы на основе deepfake, которая привела к потере 200 миллионов гонконгских долларов (25,6 миллиона долларов). Поначалу работник заподозрил неладное, когда получил запрос на проведение секретной транзакции. Однако работник развеял свои сомнения после посещения видеозвонка, на котором присутствовали deepfake-«финансовый директор» и «другие сотрудники» компании, согласно новостным сообщениям.
По данным поставщика услуг безопасности WithSecure, злоумышленники могут использовать ряд других законных инструментов генеративного ИИ для создания deepfake-видео из записанных фрагментов речи или фотографий предполагаемых целей. Например, FaceSwap можно использовать для наложения лица цели на видео, созданное злоумышленником. Аналогичным образом, фреймворк VASA-1 от Microsoft можно использовать для создания deepfake-видео из одной портретной фотографии и образца аудиозаписи речи, по словам Тома Тейлора-Маклина, консультанта по безопасности в WithSecure.
Организациям необходимо рассмотреть существующие внутренние кампании по повышению осведомленности и убедиться, что сотрудники имеют инструменты для распознавания различных типов атак. Организациям также необходимо усилить защиту безопасности, поскольку некоторые традиционные инструменты безопасности электронной почты — например, спам-фильтры — не обеспечивают достаточной защиты от некоторых типов фишинга.
Источник
Каждая утечка данных и онлайн-атака, похоже, включает в себя какую-то попытку фишинга с целью кражи учетных данных пароля, запуска мошеннических транзакций или обмана с целью загрузки вредоносного ПО. Действительно, отчет Verizon о расследовании утечек данных за 2024 год показывает, что фишинг остается одной из главных угроз, связанных с утечками.
Предприятия регулярно напоминают пользователям о необходимости остерегаться фишинговых атак, но многие пользователи на самом деле не знают, как их распознать. А люди, как правило, плохо распознают мошенничество.
Согласно отчету Proofpoint State of the Phish за 2024 год, более 70% сотрудников признаются в рискованном поведении, которое делает их уязвимыми. Это говорит как об изощренности злоумышленников, так и о необходимости столь же изощренного обучения по вопросам безопасности, которое многие компании не в состоянии обеспечить в достаточной степени. Добавьте к этому тот факт, что не все фишинговые мошенничества работают одинаково — некоторые представляют собой стандартные электронные письма, а другие тщательно продуманы для нацеленности на очень конкретный тип людей — и становится все сложнее научить пользователей распознавать, когда сообщение является подозрительным.
Давайте рассмотрим различные типы фишинговых атак и способы их распознавания.
Фишинг: массовые электронные письма
Наиболее распространенной формой фишинга является общий тип массовой рассылки, когда кто-то отправляет электронное письмо, выдавая себя за другого человека, и пытается обманом заставить получателя что-то сделать, обычно зайти на веб-сайт или загрузить вредоносное ПО. Атаки часто основаны на подмене электронной почты, когда заголовок электронной почты — поле «от» — подделывается, чтобы сообщение выглядело так, будто оно было отправлено доверенным отправителем.Но фишинговые атаки не всегда выглядят как уведомление о доставке UPS, предупреждающее сообщение от PayPal об истечении срока действия паролей или электронное письмо Office 365 о квотах на хранение. Некоторые атаки специально разрабатываются для организаций и отдельных лиц, а другие используют методы, отличные от электронной почты. А с ростом генеративного ИИ попытки фишинга становятся все более «убедительными» и могут быть созданы быстрее, что говорит о том, что старые способы мошенничества обретают новую жизнь.
Целевой фишинг: преследование конкретных целей
Фишинговые атаки получили свое название от идеи, что мошенники ловят случайных жертв, используя поддельные или мошеннические электронные письма в качестве приманки. Атаки целевого фишинга расширяют аналогию с ловлей рыбы, поскольку злоумышленники специально нацелены на высокодоходных жертв и организации. Вместо того, чтобы пытаться получить банковские учетные данные 1000 потребителей, злоумышленник может посчитать более выгодным атаковать несколько предприятий. Злоумышленник из национального государства может нацелиться на сотрудника, работающего в другом государственном учреждении, или на государственного чиновника, чтобы украсть государственные секреты. Например, иранская группа кибершпионажа APT42 известна тем, что использует сложные методы целевого фишинга, которые включают в себя выдачу себя за несколько организаций и лиц, которые известны или представляют интерес для их жертв.Целевые фишинговые атаки чрезвычайно успешны, поскольку злоумышленники тратят много времени на создание информации, специфичной для получателя, например, ссылаясь на конференцию, которую получатель мог только что посетить, или отправляя вредоносное вложение, в котором имя файла ссылается на тему, интересующую получателя.
В фишинговой кампании 2017 года Group 74 (также известная как Sofact, APT28, Fancy Bear) нацелилась на специалистов по кибербезопасности с помощью электронного письма, якобы связанного с конференцией Cyber Conflict US, мероприятием, организованным Институтом кибербезопасности армии Военной академии США, Военной академией НАТО по кибербезопасности и Центром передового опыта НАТО по киберобороне. Хотя CyCon — это настоящая конференция, вложение на самом деле представляло собой документ, содержащий вредоносный макрос Visual Basic for Applications (VBA), который загружал и запускал разведывательное вредоносное ПО под названием Seduploader.
Китобойный промысел: в погоне за крупным хищником
Разные жертвы, разные выплаты. Фишинговая атака, нацеленная специально на руководителей высшего звена предприятия, называется «китобойным промыслом», поскольку жертва считается высокоценной, а украденная информация будет более ценной, чем то, что может предложить обычный сотрудник. Учетные данные, принадлежащие генеральному директору, откроют больше дверей, чем данные рядового сотрудника. Цель — украсть данные, информацию о сотрудниках и наличные.Китобойный промысел также требует дополнительных исследований, поскольку злоумышленнику необходимо знать, с кем общается предполагаемая жертва и какие обсуждения она ведет. Примерами могут служить ссылки на жалобы клиентов, судебные повестки или даже проблемы в офисе руководителя. Злоумышленники обычно начинают с социальной инженерии, чтобы собрать информацию о жертве и компании, прежде чем составить фишинговое сообщение, которое будет использоваться в китобойной атаке.
Взлом деловой электронной почты (BEC): выдача себя за генерального директора
Помимо массовых фишинговых кампаний общего характера, преступники нацеливаются на ключевых лиц в финансовых и бухгалтерских отделах с помощью мошенничества с компрометацией деловой электронной почты (BEC) и мошенничества с электронной почтой генеральных директоров. Выдавая себя за финансовых должностных лиц и генеральных директоров, эти преступники пытаются обмануть жертв, заставив их инициировать денежные переводы на несанкционированные счета.Обычно злоумышленники взламывают учетную запись электронной почты старшего руководителя или финансового директора, используя существующую инфекцию или с помощью фишинговой атаки. Злоумышленник скрывается и отслеживает активность электронной почты руководителя в течение определенного периода времени, чтобы узнать о процессах и процедурах внутри компании. Фактическая атака принимает форму ложного электронного письма, которое выглядит так, будто оно пришло со взломанной учетной записи руководителя и отправляется кому-то, кто является постоянным получателем. Электронное письмо кажется важным и срочным, и в нем содержится просьба к получателю отправить банковский перевод на внешний или незнакомый банковский счет. Деньги в конечном итоге попадают на банковский счет злоумышленника.
Данные ФБР за 2022 год показали, что, несмотря на рост числа программ-вымогателей, предприятия в совокупности теряют в 51 раз больше денег из-за атак BEC . Мошенничество BEC в последнее время также приобрело новые масштабы с многоэтапными атаками. Таким образом, компании должны обеспечить наличие у себя полной документации по политике BEC, чтобы помочь сотрудникам и заставить их чувствовать себя в большей безопасности, следуя заранее определенным правилам.
Клонированный фишинг: когда копии столь же эффективны
Клонированный фишинг требует от злоумышленника создания почти идентичной копии легитимного сообщения, чтобы обмануть жертву, заставив ее думать, что оно настоящее. Электронное письмо отправляется с адреса, похожего на адрес легитимного отправителя, а текст сообщения выглядит так же, как и предыдущее сообщение. Единственное отличие заключается в том, что вложение или ссылка в сообщении были заменены вредоносными. Злоумышленник может сказать что-то вроде того, что ему нужно повторно отправить оригинал или обновленную версию, чтобы объяснить, почему жертва снова получила «то же самое» сообщение.Эта атака основана на ранее просмотренном, легитимном сообщении, что повышает вероятность того, что пользователи попадутся на атаку. Злоумышленник, который уже заразил одного пользователя, может использовать эту технику против другого человека, который также получил клонируемое сообщение. В другом варианте злоумышленник может создать клонированный веб-сайт с поддельным доменом, чтобы обмануть жертву.
Вишинг: Фишинг по телефону
Vishing означает «голосовой фишинг» и подразумевает использование телефона. Обычно жертва получает звонок с голосовым сообщением, замаскированным под сообщение от финансового учреждения. Например, в сообщении может быть предложено позвонить по номеру и ввести данные своего счета или PIN-код для безопасности или других официальных целей. Однако телефонный номер звонит напрямую злоумышленнику через службу Voice-over-IP.В ходе изощренной аферы с использованием вишинга в 2019 году преступники звонили жертвам, выдавая себя за сотрудников службы технической поддержки Apple, и предоставляли пользователям номер, по которому можно было позвонить для решения «проблемы безопасности». Как и в случае со старой аферой с техподдержкой Windows, эта афера использовала страх пользователей перед взломом их устройств.
Развитие искусственного интеллекта готово сделать вишинг более коварным вектором атак, учитывая все более точную способность искусственного интеллекта воспроизводить известные голоса с помощью аудиоподделок (см. ниже).
Смишинг: фишинг через текстовые сообщения
Smishing, словосочетание слов «фишинг» и «SMS», последний из которых является протоколом, используемым большинством служб текстовых сообщений по телефону, представляет собой кибератаку, которая использует вводящие в заблуждение текстовые сообщения для обмана жертв. Цель состоит в том, чтобы заставить вас поверить, что сообщение пришло от доверенного лица или организации, а затем убедить вас предпринять действия, которые предоставят злоумышленнику эксплуатационную информацию (например, учетные данные для входа в банковский счет) или доступ к вашему мобильному устройству.Smishing набирает обороты, поскольку люди чаще читают и отвечают на текстовые сообщения, чем на электронную почту: 98% текстовых сообщений читаются и на 45% отвечают, в то время как эквивалентные цифры для электронной почты составляют 20% и 6% соответственно. И пользователи часто менее бдительны к подозрительным сообщениям на своих телефонах, чем на своих компьютерах, и их личные устройства, как правило, не имеют того типа безопасности, который доступен на корпоративных ПК.
Ужасное нападение на Университет Дикина в Австралии в 2022 году показало, какие последствия могут иметь подобные атаки.
Прогулки на снегоступах: распространение ядовитых сообщений
Snowshoeing или спам «hit-and-run» требует от злоумышленников отправлять сообщения через несколько доменов и IP-адресов. Каждый IP-адрес отправляет небольшой объем сообщений, поэтому технологии фильтрации спама на основе репутации или объема не могут распознать и заблокировать вредоносные сообщения сразу. Некоторые сообщения попадают в почтовые ящики до того, как фильтры научатся их блокировать.Кампании Hailstorm работают так же, как snowshoe, за исключением того, что сообщения отправляются в течение чрезвычайно короткого промежутка времени. Некоторые атаки hailstorm заканчиваются как раз тогда, когда антиспамовые инструменты обнаруживают и обновляют фильтры, чтобы блокировать будущие сообщения, но злоумышленники уже перешли к следующей кампании.
Deepfakes: имитация на основе искусственного интеллекта
Преступники начали прибегать к дипфейкам для создания более убедительных фишинговых атак. Для этого мошенники используют искусственный интеллект для подмены лиц в видео или для имитации голосов, чтобы обмануть потенциальных клиентов и заставить их совершать корпоративные мошеннические переводы в рамках мошенничества с компрометацией электронной почты предприятий.В одной из самых громких атак deepfake на сегодняшний день, работник проектно-конструкторской фирмы Arup стал жертвой сложной аферы на основе deepfake, которая привела к потере 200 миллионов гонконгских долларов (25,6 миллиона долларов). Поначалу работник заподозрил неладное, когда получил запрос на проведение секретной транзакции. Однако работник развеял свои сомнения после посещения видеозвонка, на котором присутствовали deepfake-«финансовый директор» и «другие сотрудники» компании, согласно новостным сообщениям.
По данным поставщика услуг безопасности WithSecure, злоумышленники могут использовать ряд других законных инструментов генеративного ИИ для создания deepfake-видео из записанных фрагментов речи или фотографий предполагаемых целей. Например, FaceSwap можно использовать для наложения лица цели на видео, созданное злоумышленником. Аналогичным образом, фреймворк VASA-1 от Microsoft можно использовать для создания deepfake-видео из одной портретной фотографии и образца аудиозаписи речи, по словам Тома Тейлора-Маклина, консультанта по безопасности в WithSecure.
Научитесь распознавать различные типы фишинга
Пользователи не очень хорошо понимают последствия фишинговой атаки. Достаточно подкованный пользователь может оценить риск нажатия на ссылку в электронном письме, поскольку это может привести к загрузке вредоносного ПО или последующим мошенническим сообщениям с просьбой о деньгах. Однако наивный пользователь может подумать, что ничего не произойдет, или получить спам-рекламу и всплывающие окна. Только самые подкованные пользователи могут оценить потенциальный ущерб от кражи учетных данных и компрометации аккаунта. Этот пробел в оценке риска затрудняет для пользователей понимание серьезности распознавания вредоносных сообщений.Организациям необходимо рассмотреть существующие внутренние кампании по повышению осведомленности и убедиться, что сотрудники имеют инструменты для распознавания различных типов атак. Организациям также необходимо усилить защиту безопасности, поскольку некоторые традиционные инструменты безопасности электронной почты — например, спам-фильтры — не обеспечивают достаточной защиты от некоторых типов фишинга.
Источник
