Компании стали в 3,5 раза чаще получать письма с вредоносным ПО

Корпоративная электронная почта остается одним из наиболее популярных векторов атаки на компании со стороны киберпреступников. Самые опасные категории сообщений, которые распространяются через этот канал, — письма с вредоносным программным обеспечением (ВПО) во вложении, сообщения со ссылками, ведущими на фишинговые ресурсы, а также спуфинговые письма (сообщения с подделкой адреса отправителя). По оценке экспертов BI.ZONE CESP, в 2024 году столкнуться с одной из этих угроз можно было в среднем в каждом 77‑м письме, а в некоторых отраслях еще чаще. Например, в почте промышленных компаний сообщение со спуфингом, ВПО или фишинговой ссылкой встречалось в 1 случае из 16, медицинских организаций — в 1 из 36, телекоммуникационных компаний — в 1 из 48. Реже всего письма из этих категорий специалисты фиксировали в трафике IT- и финансовых организаций: всего 6–7 сообщений из 1000.

В сравнении с 2023 годом доля писем с вредоносными вложениями повысилась почти в 3,5 раза. При этом восходящий тренд длится уже несколько лет: тот же 2023 год показывал более чем двукратный прирост сообщений с ВПО по сравнению с 2022‑м. Сегодня в компании с 1000 сотрудников, которые регулярно пользуются почтой, каждый день минимум один из них будет получать сообщение с шифровальщиком, стилером или другим ВПО во вложении (0,12% трафика). Особенно значительна доля таких писем в промышленности (0,25%).

Увеличивается и доля сообщений с фишинговыми ссылками. В результате роста на 25% они встречаются в среднем в 1 письме из 100 (1%). Первенство здесь также удерживает промышленность, где доля таких писем — 4 из 100 (4%). Если сообщение предназначается сотруднику компании из сфер строительства и недвижимости, транспорта и логистики, а также профессиональных услуг, оно будет содержать фишинговую ссылку в 3 случаях из 100 (3%). Специалисты отмечают тенденцию к увеличению числа таких писем и в отраслях, где их доля традиционно ниже из‑за объема почтового трафика в целом. К примеру, в ритейле и электронной торговле огромную часть трафика составляют автоматические сообщения и массовая рассылка, а фишинговые ссылки фиксируются в 0,07% писем. Однако в 2023 году их было только 0,02%.

По данным BI.ZONE, доля спуфинга упала на 42%: в 2023 году подделать адрес отправителя пытались в каждом 200‑м сообщении, а теперь — в каждом 350‑м. Это отражает ранее наметившуюся тенденцию на снижение доли подобных писем. Специализированные средства защиты почты эффективно выявляют такие механики, поэтому злоумышленники меняют тактику. Теперь они все больше стараются завладеть доступом к легитимным email‑аккаунтам и совершать атаки от их имени. При этом рост доли писем с фишинговыми ссылками — часть этого тренда: большинство таких ссылок ведет на поддельную страницу для входа в веб‑версию почты. Если пользователь заполнит форму, преступник получит логин и пароль от корпоративного аккаунта.

Пики для сообщений с фишинговыми ссылками и подделкой адреса отправителя наблюдались в четвертом квартале прошедшего года, а особенно в ноябре. С одной стороны, это период повышенной деловой активности, когда от сотрудников компаний можно ожидать меньшей внимательности из‑за спешки и стресса. С другой стороны, традиционное время акций и распродаж, таких как черная пятница, под которые удобно маскировать атаки. В случае спуфинга заметный подъем наблюдался также летом, в июле‑августе. Это может быть связано с тем, что злоумышленники рассчитывают на снижение бдительности в период отпусков или имитируют запросы от сотрудников, ушедших в отпуск. В случае писем с ВПО пик пришелся на апрель — в это время BI.ZONE CESP фиксировал волну массовых атак на российские компании.

Для противодействия email‑угрозам эксперты рекомендуют обучать сотрудников принципам цифровой гигиены, использовать антивирусные решения, регулярно проводить тренировочные атаки и применять специализированные средства защиты электронной почты, например BI.ZONE CESP.