28.09.2023
1 хв
1928
Spear Phishing – це вид кібератаки, який спрямований на конкретну особу чи організацію і включає в себе відправку зловмисних електронних листів, які маскуються під легітимні повідомлення від надійних джерел. Цей вид атаки є більш цілеспрямованим порівняно зі звичайними спам-листами та фішингом, оскільки зловмисники зазвичай мають попередню інформацію про потенційну жертву та намагаються отримати конфіденційну інформацію чи доступ до системи через маніпуляцію особистими даними. Головною метою атак Spear Phishing є здобуття доступу до облікових записів, конфіденційних даних, фінансових ресурсів або іншої важливої інформації.
Зловмисники, які використовують цей вид атаки, зазвичай вкладають багато зусиль у створення переконливих та вигідних сценаріїв, які спонукають потенційну жертву відповісти на листа або виконати вказівки, надані в електронному повідомленні. Захист від атак Spear Phishing включає в себе освіту та навчання користувачів розпізнавати підозрілі повідомлення, перевірку джерел повідомлень, використання антивірусного програмного забезпечення, двофакторну аутентифікацію та постійне оновлення програм та операційних систем. Дотримання цих заходів допомагає зменшити ризик стати жертвою атаки Spear Phishing і зберегти конфіденційність своєї інформації. На відміну від інших видів фішингових шахрайств, які зазвичай використовуються по відношенню відразу до великих груп людей, цільовий фішинг спрямований на конкретних осіб. Такі повідомлення персоналізовані, щоб виглядати так, ніби вони надійшли з надійного джерела, наприклад, від колеги чи іншої шановної організації.
Фішингові електронні листи часто використовують переконливу мову та форматування, щоб здаватися абсолютно законними. Деякі поширені тактики, що використовуються у фішингових електронних розсилках, включають наведені нижче особливості.
1. Термінові чи загрозливі формулювання
Фішингові електронні листи часто створюють відчуття терміновості чи загрози, спонукаючи одержувача вжити негайних дій, не витрачаючи час на перевірку справжності запиту. Наприклад, в електронному листі може стверджуватись, що було порушення безпеки і що одержувачу необхідно підтвердити свої облікові дані щодо прикріпленого посилання, щоб уникнути подальшої шкоди.
2. Підозрювач
Фішингові електронні листи часто надходять із підозрілих або незнайомих адрес електронної пошти. Також вони можуть копіювати майже дослівно адресу електронної пошти довіреної особи або організації, використовуючи для цього, у тому числі спеціальні символи, щоб створити ілюзію, що відправник повністю легітимний.
3. Неправильна граматика або правопис
Повідомлення цільового фішингу можуть містити граматичні або орфографічні помилки, пов’язані з некомпетентністю або поспіхом зловмисників. Однак згодом шахраї стають все більш витонченими і можуть ретельно створювати електронні листи з відмінною граматикою та правописом, викликаючи більшу довіру.
4. Підозрювальні вкладення або посилання
Фішингові електронні листи можуть містити підозрілі вкладення або посилання, які при запуску здатні завантажувати та встановлювати шкідливе програмне забезпечення або направляти одержувача на підроблені веб-сайти, де зловмисники спробують вкрасти особисту інформацію жертви. Вкладення або посилання можуть бути замасковані під законні документи або веб-сторінки, щоб ввести одержувача в оману.
5. Незвичайні запити на інформацію
Фішингові листи часто можуть містити незвичайні запити на особисту або конфіденційну інформацію, таку як паролі, особисту або фінансову інформацію. В електронному листі також може бути прохання до одержувача виконати певне завдання або зробити якусь дію, яка не характерна для його посадових обов’язків або звичайної поведінки.
Цільовий фішинг використовує електронну пошту для маніпуляції такими емоціями, як довіра, страх і цікавість, для отримання цінних і конфіденційних даних або іншої важливої інформації.
Зловмисники зазвичай заздалегідь вивчають свої цілі через соціальні мережі або додаткову загальнодоступну інформацію, щоб створити максимально персоналізований фішинговий лист, який з великою ймовірністю дійсно обдурить жертву. Хакери можуть видавати себе за представника шановної організації або навіть колегу, менеджера чи керівника цільової організації.
Спроба фішингу міститиме заклик до дії, подібної до одного з таких: натискання на посилання, завантаження вкладення, надання облікових даних для входу або відправлення платежів у режимі реального часу.
Зловмисники зазвичай збирають інформацію про свої цілі з різних джерел, у тому числі:
Соціальні мережі: зловмисники можуть використовувати платформи соціальних мереж, такі як VK, Instagram*, Facebook* та Twitter*, щоб дізнатися більше про особисте та професійне життя своїх цілей.
Онлайн-дослідження: суб’єкти загрози можуть проводити онлайн-дослідження, щоб дізнатися інформацію про посади своїх цілей, їх обов’язки та компанії, в яких вони працюють.
Списки електронної пошти: зловмисники можуть отримати списки електронної пошти з витоку даних, з темних веб-майданчиків або інших джерел, щоб націлюватися на конкретних людей або організації.
Як тільки зловмисники зберуть достатньо інформації про свою мету, вони надішлють електронного листа, який виглядатиме законним і заслуговує на довіру. Для цього може бути використаний будь-який із методів, описаних вище.
Потім адресату надсилається електронний лист. Припустимо, що ціль піддається шахрайству і натискає на шкідливе посилання або завантажує вкладення.
У цьому випадку жертва може ненавмисно зробити будь-яку з наступних дій:
встановити шкідливе програмне забезпечення на свій пристрій;
надати шахраям конфіденційну інформацію;
надати шахраям доступ до захищених систем.
Залежно від цілей зловмисників, вони можуть використовувати отриманий доступ для викрадення конфіденційної інформації (наприклад, фінансових даних або особистої інформації) або для встановлення додаткового програмного забезпечення. Зловмисне, це може допомогти хакерам збільшити доступ, повний контроль над системою та можливості запуску . більш складні атаки.
Точкові атаки фішингу зазвичай здійснюються за допомогою електронних листів або текстових повідомлень, також відомих як «Смішинг» (СМС-фішинг). Нижче кілька популярних тактик, які зловмисники зазвичай використовують для отримання даних у своїх жертв:
Так зване «шахрайство керівника» — це коли зловмисники видають себе за високопоставленого керівника, наприклад, генерального директора всередині компанії, або інша особа, яка займає відповідальне становище, щоб обманом змусити мету зробити певну дію, таку як банківський переказ чи надання конфіденційної інформації.
При типовій атаці цим методом кіберзлочинці відправляють електронного листа, в якому видаються вищезгаданою відповідальною особою, використовуючи підроблену адресу електронної пошти, що на перший погляд здається цілком законною.
При спробах надсилання електронної пошти можуть використовуватися описані раніше тактики терміновості та важливості запиту. Шахраї навіть можуть використовувати методи соціальної інженерії, щоб надати правдоподібне пояснення запиту та нарешті скористатися довірою жертви.
Рядові співробітники часто можуть не ставити під сумнів такі запити, особливо якщо вони виходять від когось, що займає авторитетне становище. У результаті атаки такого типу можуть бути дуже ефективними та завдати значних фінансових збитків підприємствам.
Вейлінг – це різновид фішингу, націленого на керівників вищої ланки або осіб, які мають доступ до дуже конфіденційної інформації. Іншими словами, розрахований на «велику рибу» або «китів». Приховані атаки часто вимагають високого рівня витонченості та складних методів соціальної інженерії для встановлення довіри між ціллю.
Наприклад, зловмисник може провести поглиблене дослідження посадових обов’язків, історії роботи та особистого життя цілі, щоб створити персоналізований і переконливий електронний лист.
Успішні китобійні атаки часто є дуже ефективними, оскільки керівники вищої ланки мають доступ до великих сум корпоративних грошей і особливо конфіденційної інформації. Вони також можуть бути більш уразливими до цих атак, оскільки часто отримують велику кількість електронних листів і тому можуть не мати достатньо часу, щоб уважно їх вивчити.
Компрометація ділової електронної пошти (BEC) – це загроза, за якої суб’єкти використовують тактику цільового фішингу для доступу до системи електронної пошти організації та здійснення подальших шахрайських дій. Зазвичай вони включають компрометацію зловмисниками електронної пошти будь-якого співробітника компанії, будь то рядовий офісний клерк або керівник, і наступну видачу себе за нього. Тобто зі справжнього легітимного облікового запису хакери злочинці починають спілкуватися з колегами жертви всередині компанії, також розповсюджуючи серед них правдоподібні фішингові листи.
BEC-атаки також можуть бути високоефективними. Федеральне бюро розслідувань США навіть назвала BEC ” шахрайством на 43 мільярди доларів “, посилаючись на статистику інцидентів, про які повідомлялося в Центрі розгляду скарг на інтернет-злочини в період з 2016 по 2021 рік.
Дослідники підрозділу Palo Alto Networks Unit 42 також виявили у 2021 році, що 89% організацій, які постраждали від атак BEC, не запровадили багатофакторну автентифікацію або не дотримувалися вказівок щодо безпеки електронної пошти.
Підробка бренду
Підробка бренду — це різновид цільової фішинг-атаки, коли зловмисники видають себе за добре відомий бренд або організацію, щоб обманом змусити мету надати конфіденційну інформацію. Атаки з видачею себе за бренд часто включають створення підробленого веб-сайту або електронної пошти, які нібито отримані з законного джерела, з використанням логотипів, фірмового стилю та інших деталей, щоб атака виглядала справжньою.
Атаки на видачу себе за бренд можуть набувати кількох форм, у тому числі:
Підроблені сторінки входу: зловмисники створюють підроблену сторінку входу, яка виглядає як веб-сайт законного бренду, часто використовуючи схожі кольори, шрифти та логотипи, щоб надати їй автентичного вигляду. Таким чином, мета обманом вводить свої облікові дані для входу, які злочинці потім успішно перехоплюють.
Фішингові електронні листи: жертві надсилається фішинговий лист нібито від законного бренду, також з використанням логотипу та інших елементів фірмового брендингу. В електронному листі може бути запит на перехід цільового користувача за посиланням або надання конфіденційної інформації, такої як облікові дані для входу або фінансові дані. Зрозуміло, хакери якимось чином виправдовують ці маніпуляції, тому не викликають великих підозр з боку жертви.
Шкідливі програми: зловмисники створюють шкідливу програму або мобільний веб-сайт, які нібито належать законному бренду. Програма або веб-сайт можуть вимагати доступу до конфіденційної інформації або містити шкідливе програмне забезпечення, яке краде дані з пристрою мети.
Зловмисники обманом змушують користувачів відкрити їхні облікові дані для доступу до облікових записів або конфіденційних даних, видаючи себе за авторитетну організацію чи службу.
Під час атаки зі збору облікових даних шахраї часто надсилають підроблені електронні листи або створюють фальшивий веб-сайт, видаючи себе за законну організацію (наприклад, банк або платформу соціальних мереж).
Потім хакер запитує у користувача дані для входу. Атаки зі збиранням облікових даних можуть мати різні форми, зокрема фішингові електронні листи, підроблені веб-сайти чи зловмисне програмне забезпечення.
При атаці цим методом зловмисники зазвичай отримують законний електронний лист, відправлений мети в минулому. Потім створюють майже повну копію цього електронного листа і відправляють його повторно зі своєї адреси, часто використовуючи той самий брендинг та макет, але з кількома ключовими відмінностями. Наприклад, хакери можуть змінити адресу електронної пошти відправника, посилання в електронному листі або вкладення на шкідливі.
Доставка шкідливих програм
У деяких фішингових атаках може використовуватися шкідливе програмне забезпечення для отримання несанкціонованого доступу до конфіденційної інформації або для заподіяння додаткової шкоди комп’ютерним системам. Шкідливе програмне забезпечення може приймати декілька форм, включаючи програми-вимагачі, шпигуни та ботнети. Шкідливе програмне забезпечення часто передається через вкладення електронної пошти або шкідливі посилання на підроблених веб-сайтах.
Існує кілька способів, якими окремі особи та організації можуть захистити себе від атак цільового фішингу.
1. Навчання та обізнаність співробітників
Дуже важливо забезпечити співробітників навчанням з питань безпеки щодо ризиків фішингових атак. А також про те, як розпізнавати підозрілі електронні листи та правильно реагувати на них.
Навчання має охоплювати:
Рекомендації щодо перевірки відправників електронної пошти.
Виявлення підозрілих посилань та вкладень.
Повідомлення про підозрілі електронні листи IT-фахівцям або співробітникам служби безпеки.
2. Впровадження передових методів забезпечення безпеки
Надійні заходи безпеки, такі як багатофакторна автентифікація, сегментація мережі, брандмауери та системи виявлення вторгнень, можуть допомогти запобігти несанкціонованому доступу до конфіденційної інформації та систем.
3. Використання спеціалізованого програмного забезпечення для захисту від фішингу
Антифішингове програмне забезпечення може допомогти виявляти та блокувати підозрілі електронні листи, посилання та вкладення до того, як вони потраплять до поштових скриньок користувачів.
4. Регулярне резервне копіювання даних
Регулярне резервне копіювання критично важливих даних допоможе пом’якшити наслідки успішної цільової фішингової атаки. При зламі або атаці програм-вимагачів наявність резервних копій може допомогти швидко відновити важливі дані та працездатність працівників.
5. Слідкувати за новинами кібербезпеки
Бути в курсі останніх новин і тенденцій у сфері безпеки може допомогти окремим особам всередині організації залишатися в курсі загроз і вразливостей. Ця інформація може бути використана для запобігання впровадженню заходів безпеки та захисту від цільового фішингу.
Якщо ви раптово стали жертвою цілеспрямованої фішингової атаки, важливо діяти швидко, щоб мінімізувати будь-який збиток.
Ось кілька кроків, які необхідно зробити:
Повідомте про інцидент. Негайно повідоміть свої служби IT та служби безпеки. Вони можуть допомогти оцінити масштаби збитків та вжити відповідних кроків для запобігання подальшим атакам.
Змініть свої паролі. Якщо ви поділилися своїми обліковими даними для входу зі зловмисниками, негайно змініть свої паролі від будь-яких облікових записів, які могли бути скомпрометовані.
Повідомте керівництво та інші особи, які торкнулися. Поінформуйте будь-яких інших співробітників, хто також може постраждати від атаки та витоку даних. Для зв’язку з ними краще використовувати відмінні методи від порушеного облікового запису електронної пошти.
Слідкуйте за своїми обліковими записами. Перевірте та продовжуйте відстежувати свої облікові записи на предмет будь-якої підозрілої активності або несанкціонованого доступу. Якщо ви щось знайдете, повідомте про це службу безпеки і вживіть заходів для захисту своїх облікових записів.
Цільовий фішинг призначений для обману жертв з метою розкриття конфіденційної інформації або зараження комп’ютерних систем шкідливим ПЗ. Важливо виявляти пильність і ретельно перевіряти всі вхідні електронні листи, особливо ті, які запитують конфіденційну інформацію або просто здаються підозрілими.
Пам’ятайте, що атаки цільового фішингу часто бувають дуже витонченими, і їх досить важко виявити. Щоб захистити себе, важливо з обережністю ставитися до будь-яких електронних листів, які запитують конфіденційну інформацію, навіть якщо вам здається, що вони надійшли з надійних джерел.
Двічі перевірте адресу електронної пошти, будьте обережні з небажаними вкладеннями або посиланнями, а якщо виникають сумніви, зв’яжіться з передбачуваним відправником по іншому каналу зв’язку, щоб підтвердити запит.
Крім того, підтримка програмного забезпечення безпеки на комп’ютерах організації в актуальному стані може допомогти захистити від багатьох зловмисних дій, які можуть здійснюватися в цих електронних листах.
