Что такое целевой фишинг?

Что такое целевой фишинг и как от него защититься.

Если вы не первый раз на нашем блоге, то наверняка знаете, что такое фишинг. Если нет — настоятельно рекомендуем прочитать вот этот пост. В целом фишинг — это мошенничество, цель которого — выманить ваши личные данные: логины, пароли, номера кошельков и так далее. По сути, это такой цифровой подвид социальной инженерии.

У фишинга есть разновидность — целевой фишинг, или спеарфишинг (от англ. spear-phishing). Собственно, название хорошо описывает его суть: целевой фишинг — это фишинг, направленный на то, чтобы обмануть конкретного человека или сотрудников конкретной компании.

Он намного опаснее, чем обычный фишинг, поскольку киберпреступники специально собирают информацию о жертве, чтобы сделать свое послание-уловку убедительнее. Качественно сделанное письмо для целевого фишинга иногда очень, очень трудно отличить от вполне легитимного письма, не преследующего зловредных целей. Поэтому на целевой фишинг легче клюют жертвы.

Кто и зачем пользуется целевым фишингом

Задачи, которые злоумышленники решают при помощи целевого фишинга, в конечном итоге сводятся к двум вариантам: украсть деньги или добраться до секретов. В обоих случаях для начала им надо как-то проникнуть в сеть предприятия. Довольно часто для этого используются зловредные документы или архивы, приложенные к письму. Например, именно так начинались атаки группировки Silence, про которую мы недавно рассказывали.

Документ можно сделать зловредным при помощи макросов в Microsoft Word или Javascript-кода — по сути, простеньких программок, встроенных во всем привычные файлы, основной и единственной целью которых является скачивание на компьютер жертвы значительно более серьезного зловреда. Этот зловред затем распространяется по сети или просто перехватывает всю информацию, до которой может дотянуться, и с его помощью злоумышленники ищут внутри этой самой сети то, что им нужно.

Обычные мелкие мошенники не пользуются спеарфишингом — они пытаются распространять свои фишинговые кампании максимально широко. На то, чтобы затачивать каждое письмо под его получателя, у мошенников мелкого пошиба не хватает времени.

Целевой фишинг — инструмент серьезных атак на крупные предприятия, банки или известных людей. Им пользуются крупные APT-группировки вроде Carbanak или BlackEnergy. Также, например, именно целевой фишинг использовался в атаках Bad Rabbit — заражение начиналось с письма.

Кто рискует стать жертвой спеарфишинга

Чаще всего целью спеарфишинга оказываются либо сотрудники высокого уровня, имеющие доступ к потенциально интересной для злоумышленников информации, либо сотрудники департаментов, которые по работе вынуждены открывать множество документов из сторонних источников.

Например, это касается HR — они получают массу резюме в самых разных форматах и абсолютно спокойно реагируют на письма из неизвестных источников с вложениями. Также уязвимы другие публичные подразделения — PR, продажи и другие.

В особой зоне риска находятся сотрудники бухгалтерии. С одной стороны, они общаются с подрядчиками, контролирующими органами и еще бог знает с кем. С другой — работают с деньгами и банковским ПО, так что для злоумышленников, охотящихся за деньгами, главную цель представляют именно они.

Если же говорить о шпионах, то их интересуют люди с техническим доступом к системам, то есть системные администраторы и IT-специалисты.

Может возникнуть ложное ощущение, что целевой фишинг опасен только для крупных компаний. Но это не так — средний и малый бизнес интересует злоумышленников ничуть не меньше. Просто если у Enterprise-компаний больше шансов нарваться на шпионов, то SMB чаще страдает от краж.

Защита от фишинга?

В целом техники защиты от целевого фишинга примерно такие же, как от обычного фишинга, — у нас есть пост с 10 советами, которые практически гарантируют вам защиту от такого рода угроз. Только в случае спеарфишинга надо быть еще внимательнее и осторожнее.

В идеале фишинговое письмо вообще не должно дойти до вашего почтового ящика. Так что при защите бизнес-инфраструктуры их стоит отсеивать на уровне корпоративного почтового сервера.Для этого существуют специальные программные комплексы. Например, наше решение Kaspersky Security для почтовых серверов использует облачные технологии для блокирования вредоносных вложений и фишинговых ссылок.

Впрочем, для большей эффективности система безопасности должна быть многоуровневой. Ведь теоретически сотрудники могут пользоваться сторонними почтовыми сервисами или получить фишинговую ссылку через мессенджер. Поэтому на рабочие станции лучше установить защиту, способную выявлять вредоносную активность приложений, через которые обычно действуют злоумышленники. Например, такой защитой может служить Kaspersky Endpoint Security для бизнеса.

Советы