Фишинга стало в четыре раза больше – специфические и неспецифические риски удаленки

По оценкам компании «Интернет-розыск» число фишинговых атак с началом эпидемии коронавируса выросло в четыре раза. Это правдоподобные цифры, ведь фишинг – одна из любимых схем мошенников, а в «любой непонятной ситуации» становится еще эффективнее, чем обычно, считает начальник отдела ИБ «СёрчИнформ» Алексей Дрозд.

Фишинговые атаки – это самый эффективный способ компрометации IT-инфраструктуры, т.к. не надо атаковать защищенные сети, человек оказывается более восприимчивым к манипуляциям мошенников, а в ситуации большого информационного давления – тем более. А компрометация корпоративной почты – т.н. bec-атака, так вообще считается одной из самых опасных и результативных с точки зрения выручки для хакеров. Хакерам, которые получили доступ к электронной почте должностного лица, дальше не нужно преодолевать барьеры доверия. Они могут действовать от имени сотрудника: распространять информацию и вредоносные программы, отправлять счета на оплату – сценариев может быть множество.

Четырехкратный рост атак объясняется просто – хакеры стремятся использовать благоприятную для себя ситуацию, не упускают шанс. Нельзя сказать, что удаленный формат работы как-то изменил схемы, по которым атакуют фишеры. Сам контекст, интерес к теме коронавируса, неизвестность, в которой оказались люди, создает предпосылки к более успешному восприятию уловок хакеров, эксплуатирующих актуальные проблемы «на злобу дня». Не исключено, что после объявления следующей недели нерабочей, начнутся рассылки по сотрудникам от якобы коллег, мол, ознакомьтесь с графиком работы, компенсаций и прочего. Поэтому ситуационный контекст всегда играет на руку хакерам.


Стоит понимать, что компрометация сети через удаленного сотрудника возможна по двум вариантам: сотрудник стал жертвой социальных инженеров или сотрудник сам был инициатором противоправных действий. Если говорить конкретно о фишинге, описаны многие варианты атак, которые ставят целью получить доступ к инфраструктуре. Примеров успешных реализованных атак из нынешнего карантина пока нет. Но это неважно, т.к. их сценарий всегда одинаков, и «удалённость» сотрудника не делает разницы. Вот три примера типовых атак.

Относительно свежий кейс – атака на белорусские медицинские организации, реализованная судя по всему через фишинг. Доступ к почте медиков получили злоумышленники и начали рассылать информацию о ситуации с эпидемией в Беларуси от своего имени. В письмах этих содержались ссылки на вредоносные программы.

Еще один пример: вначале преступники получали несанкционированный доступ к почте предприятий-жертв, изучали служебную переписку с иностранными поставщиками о сроках оплаты товаров или услуг. Затем мошенники создавали электронный почтовый ящик, схожий по названию с ящиком поставщика, отличающийся лишь одним символом. Такие названия ящиков сотрудники предприятия воспринимали как подлинный. С поддельного почтового ящика от имени поставщика вели переписку, предоставляя сведения о новом банковском счете, на который необходимо осуществить оплату за поставленный товар.

Что же касается специфических рисков, связанных конкретно с удаленкой, все они связаны с экстренным характером перехода в такой формат, компании часто не успевают принять необходимые защитные меры.

Основных слабых мест несколько. Это отсутствие двухфакторной аутентификации к корпоративным сервисам, доступ по «словарным» паролям, которые легко подобрать. Избыточные права доступа – в аврале могут решить выдать «с запасом», чтобы потом сократить. И забывают, потому что мало кто оказался готов действовать в такие сжатые сроки и в таких объемах.

Еще одна проблема, что на удаленный формат перешли тысячи людей, неподготовленных с точки зрения цифровой грамотности. Офисная работа нивелирует эти риски: в непосредственной близости системный администратор, коллеги, с которыми можно посоветоваться. В домашних условиях, когда человек предоставлен лишь самому себе и за спиной начальник случайно не пройдет, ситуация совершенно иная, а системы контроля действий сотрудников на рабочем месте (DLP-системы) по нашим данным стоят только в трети компаний.