Несмотря на благоприятную среду для фишинговых мошенничеств, злоумышленники добились лишь незначительного увеличения успеха в 2020 году, говорится в отчете компании по кибербезопасности Proofpoint.

Автор: Джон П. Мелло-младший

 

Катастрофические события 2020 года, такие как пандемия, в сочетании с поспешными технологическими изменениями, такими как вынужденная работа из дома для большинства сотрудников, стали отличной средой для фишеров, которые заражают ПО вредоносными программами, крадут учетные данные и вторгаются в корпоративные сети.

Но в ходе опроса, проведенного для ежегодного отчета Proofpoint «Состояние фишинга», 57 процентов организаций в семи странах сообщили, что они стали мишенями успешной фишинговой атаки в 2020 году, что всего на два процента больше, чем в 2019 году.

 

Однако фишеры были намного более успешными в Соединенных Штатах, где 74 процента организаций сообщили исследователям, что они испытали фишинговую атаку в 2020 году, что уже на 14% больше, чем в 2019 году.

И хотя рост успешных атак был незначительным, их влияние, наоборот, увеличилось. По сравнению с 2019 годом число респондентов, сообщивших исследователям, что фишинговые атаки привели к потере данных, увеличилось на 13 процентов, а к компрометации учетных данных – на 11 процентов.

 

Региональные различия

 

Влияние успешных атак варьировалось в зависимости от региона, отмечается в докладе, который основан на данных двух опросов: один из 3500 работающих взрослых в семи странах (Австралии, Франции, Германии, Японии, Испании, Соединенном Королевстве и Соединенных Штатах) и второй из 600 специалистов по ИТ-безопасности в этих странах и анализе около 75 миллионов фишинговых электронных писем.

 

Япония, например,  зарегистрировала большое количество фишинговых писем, направленных на компрометацию учетных данных для учетных записей Amazon. Эти атаки, возможно, стали показателем того, почему так много организаций страны, 64 процента, самый высокий показатель среди всех регионов в опросах, столкнулись с компрометацией в отношении учетных данных.

С другой стороны, у японских организаций меньше всего шансов иметь прямые финансовые потери от фишинговых атак, всего 11 процентов. Это контрастирует с США, где 35 процентов организаций понесли немедленные финансовые потери, что почти в два раза превышает средний мировой показатель.

 

Потеря данных и заражение программами-вымогателями также имели значительные региональные различия. В Испании, например, 69% организаций столкнулись с потерей данных, тогда как в Австралии их всего 47 процентов.

Между тем, более двух третей австралийских организаций (67 процентов) пострадали от фишинговых программ-вымогателей. Во Франции же это число составило 25 процентов.

 

Пандемия помогает фишингу

 

Исторически сложилось так, что злоумышленники быстро запускали кампании, основанные на текущих событиях. Так было и в случае с COVID-19. «Злоумышленники начали это делать рано, и их было много», - говорит Гретель Иган, старший стратег по безопасности Proofpoint.

«В начале пандемии было много неопределенности, страха и сомнений, и это продолжается и сейчас», - добавляет она.

«Этим воспользовались злоумышленники»,- продолжает Иган. «Мы видели темы писем: «Ваш коллега дал положительный результат»  или «Ваш сосед дал положительный результат», направленные на то, чтобы заставить людей открыть это письмо и попасть в ловушку».

 

Евгений Гнедин, руководитель отдела аналитики информационной безопасности глобальной компании по кибербезопасности Positive Technologies, отмечает, что, согласно исследованиям его компании, в первом квартале 2020 года 13 процентов всех фишинговых атак были связаны с COVID-19. Из них почти половина (44 процента) была направлена на отдельных лиц.

«Процент вредоносных атак на правительственные учреждения также значительно вырос, и это может быть связано с пандемией», - считает он. «Многие злоумышленники отправляли электронные письма в правительственные учреждения различных стран с вредоносными вложениями, связанными с коронавирусным кризисом», - сказал он.

 

Гнедин добавляет, что пандемическая ситуация использовалась как для массовых вредоносных кампаний, так и для APT-атак.

«При таком большом внимании к вирусу очень возможно, что больше хакеров нацелено на компании в каждом секторе, поскольку ИТ-команды по всему миру заняты больше, чем обычно, поддерживая операции для значительного увеличения числа удаленных сотрудников», - говорит он.

 

Рост числа вредоносных доменов

 

Еще одним признаком того, что фишеры были готовы использовать пандемию, стало увеличение числа регистраций подозрительных доменных имен в прошлом году. «В 2020 году мы увидели, что было зарегистрировано 12 490 новых доменов, содержащих слово «вакцина», «COVID» или и то и другое вместе», - отмечает Шаши Пракаш, технический директор и соучредитель Bolster, компании по предотвращению мошенничества с использованием искусственного интеллекта в Сан-Хосе, штат Калифорния.

«Из них 6104 сайта показали признаки того, что они были использованы для какой-то фишинговой или мошеннической атаки», - добавляет он.

 

Компании должны были быстро перейти на новую удаленную рабочую среду, во многих случаях включающую быстрое внедрение новых технологий, объясняет Стивен Бэй, руководитель направления кибербезопасности в Kudelski Security, поставщике специализированных решений по кибербезопасности, базирующемся в Швейцарии.

«Это увеличило риск для бизнеса и, вероятно, сделало его более уязвимым и открытым для атак»,  - говорит он.

«Фишинг – уже самый успешный способ взлома организации», - продолжает Бэй. «Кроме того, люди с большей вероятностью будут нажимать на фишинговое письмо, связанное с COVID-19. И легко увидеть, что хакеры рассматривали пандемию как главную возможность для запуска атак и взлома организаций».

 

Двойная выгода вымогателей

 

В отчете Proofpoint также отмечается, что заражение вредоносными программами в результате фишинговых атак снизилось на 17 процентов по сравнению с 2019 годом, а количество организаций, заявивших, что они понесли прямые финансовые потери из-за фишинга, упало на 47 процентов. Эти результаты могут свидетельствовать о том, что организации приняли более строгие превентивные меры против подобных нападений.

 

Хотя в отчете было указано, что число организаций, пострадавших от атак вымогателей, осталось неизменным, Гретель Иган считает, что произошли изменения в том, как выплачивались выкупы.

«Более 50 процентов организаций, которые были заражены, решили заплатить, чтобы восстановить доступ к своим данным», - говорит она. «Это небольшой рост по сравнению с 2019 годом, но мы видели, что меньше людей получали доступ к данным после одного платежа».

«Гораздо больше организаций получили последующие требования о большем количестве денег, и гораздо больше организаций были готовы заплатить», - отмечает она.

Иган добавляет, что 32 процента заплатили дополнительный выкуп в 2020 году по сравнению с двумя процентами в 2019 году.

 

«В 2020 году количество программ-вымогателей резко возросло», - говорит Флеминг Ши, технический директор Barracuda Networks, поставщика решений для обеспечения безопасности и хранения данных из Калифорнии.

«Некоторые преступные группы больше не используют фиксированные суммы», - отмечает он. «Они устанавливают сумму выкупа, исходя из выручки компании».

 

Сохраняющиеся проблемы

 

Почему фишинговые письма продолжают работать, несмотря на образовательные программы по их разоблачению и технологии их блокировки?

«Потому что мы все люди», - говорит Сарью Найяр, генеральный директор Gurucul, компании по изучению кибер-угроз в Калифорнии.

«В то время как большинство антиспамовых и антифишинговых фильтров отлично справляются с перехватом наиболее распространенных писем-ловушек, те, которые проходят через них, как правило, актуальны и умны, что дает им возможность осуществить атаку», - добавляет она. 

 

Кроме того, фишеры продолжают развивать свое мастерство. «Организации, отправляющие фишинговые письма, более структурированы»,  - объясняет Адриен Жендре, главный архитектор решений Vade Secure, французского поставщика сервиса фильтрации электронной почты.

«Это глобальные организации, предоставляющие инструменты, платформы и услуги, которые могут быть использованы и лицензированы местными фирмами», - говорит он. «Это значительно повышает качество фишинговых писем».

«Они гораздо более опытны в способах распространения фишинговых писем», - продолжает он. «Раньше вы могли видеть 100 000 электронных писем, и все они были одинаковыми. Теперь мы видим 100 000 электронных писем, и каждое из них чем-то отличается. Они используют уловки, чтобы сделать контент очень динамичным, электронные письма уникальными.

 

Качество веб-страниц, на которые ссылаются фишинговые письма, также улучшилось. «У меня есть презентация, где я показываю две страницы входа в систему Microsoft», - говорит Жендре. «Я прошу мою аудиторию проголосовать поднятием рук, какая страница является реальной, а какая вредоносной. Большинство людей выбирают вредоносную страницу», - продолжает он. «Причина, по которой они ее выбирают в том, что она удобнее для пользования, чем настоящая».  

 

Ссылка на источник