Промышленность и транспорт — лидеры по доле нелегитимных писем
Корпоративная электронная почта остается основным каналом получения первоначального доступа к инфраструктуре организаций. По данным портала киберразведки BI.ZONE Threat Intelligence, 76% хакерских группировок используют email-рассылки на начальном этапе атак. Основные категории таких угроз — сообщения со ссылками, ведущими на фишинговые ресурсы или на страницы, с которых загружается вредоносное программное обеспечение (ВПО), а также письма с вредоносными файлами непосредственно во вложении. А чтобы скрыть информацию о реальном отправителе, часто используется спуфинг.
Распространение фишинговых ссылок
За последние полгода доля писем с вредоносными ссылками выросла на 105%. Из 100 писем в корпоративном почтовом трафике как минимум одно входит в эту категорию. Наивысшая доля наблюдается в сфере транспорта и логистики — почти 4%, что более чем в 2,5 раза превышает средний показатель. Эта же отрасль демонстрирует наибольшую динамику: доля сообщений с вредоносными ссылками выросла почти в 3,5 раза за полгода. Большое количество таких писем отмечается в промышленности — 1,7%, что на 14% превышает среднюю долю. А IT‑сектор показывает тройной рост email-атак с фишинговыми ссылками.
Фишинговые ссылки — один из самых эффективных инструментов социальной инженерии, то есть метода получения доступа к конфиденциальной и платежной информации, основанного на особенностях человеческой психологии. Как показывает опыт нашей команды по анализу защищенности, 92% попыток социальной инженерии заканчиваются успехом для атакующих. Обнаруженные BI.ZONE CESP нелегитимные ссылки чаще всего вели на поддельные страницы входа в корпоративные сервисы вроде веб‑клиентов почты, но встречалась также имитация онлайн-магазинов, брокерских платформ.
Письма с вредоносными файлами
Общая доля писем с вложениями, задетектированными антивирусным мультисканером, сохраняется на прежнем уровне. Несмотря на это, к отдельным отраслям интерес киберпреступников вырос. Например, в сфере розничной торговли доля писем с вредоносными файлами увеличилась более чем в 4 раза, в области строительства и недвижимости — почти в 3 раза, а в сфере финансов и страхования — более чем в 2 раза.
По данным нашей киберразведки, чаще всего вредоносные файлы маскируют под финансовую документацию, такую как счета и платежные документы. В 8% случаев подобные письма имитируют договоры и соглашения. На третьем месте по частоте находятся резюме, под которые маскируется 5% сообщений. Еще 4% рассылок в странах СНГ поступают под видом сообщений от регуляторов.
Использование спуфинга
За первые 6 месяцев 2024 года общая доля спуфинга — атак, в которых злоумышленник подделывает свой адрес, чтобы выдать себя за доверенный источник, — снизилась на 16%. Тем не менее в некоторых отраслях наблюдается рост подобных атак. Так, в промышленной сфере доля спуфинговых сообщений выросла более чем в 3 раза, а в сфере строительства и недвижимости — в 2,5 раза. На третьем месте по росту доли — сфера финансов и страхования. В этой отрасли она увеличилась в 1,8 раза.
Cнижение общей доли спуфинга может быть результатом перехода киберпреступников на более сложные методы. Например, эксперты отмечают увеличение числа массовых атак, цель которых — получить доступ к легитимным почтовым ящикам, чтобы рассылать с них вредоносные сообщения. За первую половину 2024 года было зарегистрировано 82 таких атаки, затронувших более 223 тыс. человек. Злоумышленники используют захваченные почтовые ящики в попытках обойти системы проверки подлинности отправителей: за эти же полгода наши специалисты выявили более 60 массовых нежелательных рассылок, отправленных со взломанных аккаунтов реальных компаний.
Для противодействия email-угрозам наши эксперты рекомендуют обучать сотрудников принципам цифровой гигиены, использовать антивирусные решения, регулярно проводить тренировочные атаки и применять специализированные средства защиты электронной почты, например BI.ZONE CESP.