Целевой фишинг, или по-английски spear phishing, является одной из наиболее распространенных и эффективных форм кибератак. В отличие от обычного фишинга, он не рассылается массово множеству адресатов, а направлен на конкретную цель – отдельного человека, группу лиц или всю организацию.

Целью злоумышленников при этом является похищение конфиденциальных данных: логинов, паролей, финансовой информации или других секретных сведений. В некоторых случаях это может быть также военная, государственная или коммерческая тайна.

Для достижения поставленной цели преступники используют техники социальной инженерии. Они стараются собрать максимум информации о жертве, чтобы подготовить сообщение, которое выглядело бы максимально достоверным, чтобы ему поверила цель.

Сообщение часто присылается якобы от коллег, друзей, подрядчиков или других доверенных лиц цели. Его содержание и стиль подбирается индивидуально для каждого случая, что делает такие атаки крайне опасными и сложными для обнаружения.

Методы работы злоумышленников

Сбор информации о цели

На этом этапе злоумышленник проводит тщательный сбор всей доступной информации о своей жертве. Он исследует страницы цели в социальных сетях, подписки, контакты, интересы, места работы и учебы, поездки, фотографии и пр. Это позволяет узнать имена друзей и коллег, увлечения, детали биографии.

Также изучаются публично доступные данные о месте работы цели, ее должности и обязанностях, напарниках, текущих проектах. Все это используется для максимального сближения с первоначальной целью.

В случае если целью является целая организация, похищаются данные о ее структуре, подразделениях, руководителях. При этом часто и детально изучаются внешние коммуникации цели, например, переписка или звонки.

Подготовка фишингового сообщения

На этапе сбора информации о цели злоумышленник начинает подготовку фишингового сообщения. Он анализирует полученные сведения, чтобы определить наиболее вероятные векторы атаки и способы "заманить" жертву. Формируется сценарий сообщения, подбираются реквизиты для создания эффекта достоверности.

Отправка сообщения

Подготовленное фишинговое письмо направляется цели по электронной почте, мессенджеру или соцсети. Для большей убедительности оно часто выглядит якобы отправленным от друга, коллеги, начальника или другого доверенного лица.

Внутри письмо призывает срочно выполнить те или иные действия: перезвонить, перейти по вредоносной ссылке, открыть зараженное вложение, предоставить личные данные и т.д. Злоумышленник старается создать чувство страха, срочности или облегчения, чтобы жертва не задумывалась и выполнила требования.

Действия после того, как цель "попалась"  

Если цель выполнила требования злоумышленника, на ее устройство может быть установлен троян или бэкдор. Они позволят получить контроль над устройством и собрать нужную информацию: базы паролей, финансовые реквизиты, служебную переписку и пр.

Полученные данные далее зашифровываются и передаются злоумышленнику для дальнейшего использования. В некоторых случаях преступник может также попытаться выманить у жертвы денежный выкуп под угрозой разглашения украденной информации.

Виды целевых фишинговых атак

•          Точечный фишинг (мелкие цели). При этом виде атаки злоумышленнику необходимы только контакты конкретного человека. Целью могут быть отдельные сотрудники или пользователи.

•          Видеофишинг. Жертве звонят по скайпу, вотсапу, фейсбуку и под видом официального разговора уговаривают передать данные или перевести деньги. Такой вид фишинга трудно идентифицировать.

•          Бреш-фишинг. Целевые атаки на уязвимости веб-приложений и серверов, чтобы получить конфиденциальную информацию о целой организации.

•          Умный фишинг. Используется сбор инсайдерской информации от сотрудников организации-цели при помощи социнженерии для максимально правдоподобной атаки.

•          Виртуальный фишинг под видом банкоматов, торговых терминалов, офисов для кражи персональных данных. Жертвы сами их вводят, полагаясь на визуальную похожесть.

Способы защиты

Технические:

•          Установка фильтров спама и фишинга на почтовых серверах.

•          Динамический анализ URL и вложений на наличие вредоносного ПО.  

•          Мониторинг сетевого трафика на предмет утечки данных.

•          Защита браузеров плагинами безопасности.

Правила проверки сообщений:

•          Внимательно проверять отправителя, домены и стиль обращения.

•          Избегать переходов по подозрительным ссылкам и открытия неожиданных вложений.

•          Сомневаться в просьбах передачи данных или перевода средств.

Обучение сотрудников:

•          Курсы и тестирование знаний о фишинге.

•          Ознакомление с актуальными схемами мошенничества.

•          Отработка навыков безопасного поведения в интернете.

•          Проверка эффективности обучения тестированием уязвимости.

Целевой фишинг является одной из наиболее сложных и эффективных киберугроз. Он представляет большую опасность, так как направлен индивидуально и максимально правдоподобен.

Защититься от таких таргетированных атак невозможно, используя какой-либо единичный метод. Необходим комплексный подход, включающий в себя:

•          техническую фильтрацию и мониторинг трафика;

•          повышение информационной безопасности всей системы в целом;

•          формирование культуры безопасного поведения у сотрудников;

•          регулярное обучение знаниям и навыкам противодействия фишинг-атакам;

•          постоянный контроль эффективности мер и своевременное реагирование на изменения тактик злоумышленников.

Только комплексный подход, включающий взаимосвязанные технические, организационные и поведенческие меры, позволяет снизить вероятность успешной атаки и уменьшить ее последствия для бизнеса и пользователей. Это является наиболее эффективным решением для защиты от целевого фишинга.

Кузовкин Алексей Викторович – генеральный директор компании «Инфософт», экс-председатель совета директоров группы компаний «Армада»