Две трети входящих писем в корпоративных почтах отправлены мошенниками

Почти 70% всех входящих писем на корпоративных почтовых ящиках в 2023 г. были фишингом, спамом или фродом. Об этом говорится в исследовании Bi.Zone CESP. В основном такие сообщения отправляют, чтобы получить доступ к внутренним системам компании, похитить данные ради выкупа, распространить рекламу или преднамеренно ввести получателя в заблуждение, говорится в исследовании.

Согласно исследованию Bi.Zone, доля фишинговых писем в 2023 г. выросла на 70% год к году. Каждое 137-е письмо в корпоративной почте оказывалось фишинговым. Тенденцию подтвердили и в МТС Red Soc. По данным компании, рост количества фишинговых писем в 2023 г. составил около 57% год к году. За прошлый год специалисты МТС Red Soc зафиксировали более 15 млн фишинговых писем, тогда как в 2022 г. их было около 9,5 млн. Пик таких рассылок в 2023 г. приходился на май, июнь и декабрь, уточнил представитель ГК «Солар».

Согласно исследованию Bi.Zone, лидером по темпу роста фишинговых атак стала сфера транспорта и логистики. Злоумышленники постоянно адаптируют атаки, чтобы обходить средства защиты, но неизменно продолжают использовать электронную почту как основной метод получения первоначального доступа, отмечают исследователи.

«Фишинговые письма – способ старый, но рабочий, так как использует очень надежную технику обмана. Последствия перехода по фишинговым ссылкам могут быть любыми – от компрометации пароля, если были введены данные, до заражения компьютера вредоносным ПО», – говорит заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков.

В 2023 г., как и ранее, наиболее популярными вирусными программами, распространяемыми с помощью таких рассылок, были программы-шифровальщики, говорит руководитель портфеля продуктов МТС Red Soc компании МТС Red Евгений Ляпушкин. Но, по его словам, шифровальщиков активно догоняет шпионское ПО, целью которого является сбор данных об инфраструктуре компании и кража учетных данных пользователей. По данным F.A.C.C.T. (бывшая Group IB), самыми часто встречающимися вредоносными программами в письмах в 2023 г. стала шпионская программа Agent Tesla (ее доля в рассылках – 39%).

Представитель F.A.C.C.T. добавил, что в прошлом году специалисты компании также фиксировали резкий рост попыток обхода антиспам-решений с помощью омоглифов – графически одинаковых или похожих друг на друга знаков во вредоносных рассылках. В III квартале 2023 г. количество подобных писем в 11 раз превысило показатели аналогичного периода 2022 г. Самыми популярными подменными буквами у киберпреступников стали Е, О, С, А.

Доля писем с вредоносными программными вложениями выросла в 2,4 раза по сравнению с 2022 г., говорится в исследовании Bi.Zone. При этом в промышленном секторе процент таких писем превышает средний показатель по другим отраслям почти в 6 раз. Все чаще фишинговое письмо содержит не непосредственно вредоносное вложение, а ссылку на него, по которой пользователя вынуждают пройти.

В то же время доля спуфинг-атак, в которых злоумышленник подделывает адрес отправителя, сократилась в 1,5 раза год к году, говорят специалисты Bi.Zone. Они отмечают, что киберпреступники сместили фокус: чаще всего рассылка спама и рекламы происходила не с поддельных e-mail-адресов, а через взломанные учетные записи.

По словам руководителя департамента расследований T.Hunter, эксперта рынка НТИ SafeNet («Сейфнет») Игоря Бедерова, за прошлый год схемы спуфинг-мошенничества несколько усложнились, а «доноры» для спуфинга остались прежними – это государственные органы, корпорации, ритейл, банки и различные фонды. Представитель Bi.Zone отметил, что одной из наиболее охватных спуфинг-кампаний стала рассылка якобы от лица органов власти. Злоумышленники подделывали e-mail-адрес и отправляли письма с темами «Всеобщая мобилизация 2023», «Сверка документов Военкомат», «Призывники 2023 список» и проч.

По словам руководителя Центра кибербезопасности F.A.C.C.T. Ярослава Каргалева, электронная почта остается одним из основных векторов атак на компании. Получив доступ к корпоративному почтовому ящику, злоумышленники рассылают с них программы-вымогатели, шпионское ПО или стилеры (вредоносные программы для кражи данных).

В 2023 г. в рамках массовых кибератак на российский бизнес злоумышленники рассылали около 300 000 электронных писем за день, говорит руководитель управления облачных решений кибербезопасности Bi.Zone Дмитрий Царев. «Такие атаки оказываются успешными из-за человеческого фактора», – добавляет он. Киберпреступники постоянно разрабатывают новые сценарии, активно используют новостную повестку, отмечает Каргалев. «В прошлом году вредоносные письма рассылались под видом зашифрованного архива с итогами фейкового тендера от Минобороны, поддельных повесток, писем от следователей, курьерских служб, благотворительных акций по сбору открыток для участников СВО», – перечисляет он.

Рост вредоносной активности продолжится, считает Пермяков. «Судя по исследованию Bi.Zone, технику начали применять для нетипичных целей, связанных с объектами критической инфраструктуры. Будет появляться новое вредоносное ПО, злоумышленники будут более качественно имитировать целевые ресурсы и активнее использовать персональные данные и дипфейки. Я также предполагаю, что часть усилий будет перекинута на фишинг в социальных сетях», – считает эксперт.

По словам Ляпушкина, прогнозировать рост или падение количества фишинговых атак довольно сложно, но «точно будет расти их качество и доля целевого фишинга, направленного на конкретных людей, будут использоваться более сложные механизмы обмана». Все больше фишинговых атак будет переходить из корпоративной почты в мессенджеры, поскольку там проще обмануть пользователя за счет относительно новых для него механизмов вроде подделки голоса в голосовых сообщениях, считает Ляпушкин. Фишинг будет и дальше одним из самых популярных векторов кибератак, так как люди – наиболее уязвимое звено компании, а уровень осведомленности об угрозах относительно низкий, отмечает представитель ГК «Солар».

«Рост числа технологических правонарушений продолжится вне зависимости от данных, фиксируемых в статистике МВД, – говорит Бедеров. – Он продолжается с 2013 г. Отсутствие достаточного числа квалифицированных «киберполицейских», современных программных решений и систем идентификации, сложности правоприменения – все это ведет к формированию чувства безнаказанности и допустимости противоправного поведения в сети».