Обзор новостей социальной инженерии

1
Статистика фишинга: задумайтесь дважды, прежде чем кликнуть
В этой статье собраны выдержки из различных отчетов, предлагающих статистику и анализ текущего состояния фишинговых атак.

-—

Фишинговые атаки на основе ИИ вводят в заблуждение даже опытных пользователей
**Источник: Zscaler | Отчет о фишинге Zscaler ThreatLabZ 2024 | Май 2024**

В 2023 году Соединенные Штаты (55,9%), Великобритания (5,6%) и Индия (3,9%) оказались наиболее уязвимыми к фишинговым атакам. В финансовом и страховом секторах зафиксировано наибольшее количество попыток фишинга, что на 393% больше по сравнению с предыдущим годом.

-—

Искусственный интеллект и будущее фишинга
**Источник: Egress | Отчет о тенденциях фишинговых угроз за 2024 год | Апрель 2024**

Миллениалы являются основной целью фишинговых атак, получая 37,5% всех фишинговых писем. Наиболее часто атакуемые роли — это генеральные директора; 13,4% атак имитируют личностей, знакомых жертве, таких как руководители высшего звена.

-—

Эволюция тактик фишинга с использованием изображений
**Источник: IRONSCALES и Osterman Research | Защита от атак на основе изображений и QR-кодов | Март 2024**

Несмотря на то что 70% организаций уверены в своей безопасности против атак с использованием изображений и QR-кодов, 76% были скомпрометированы за последние 12 месяцев. 93% специалистов знают об атаках с использованием изображений, а 79% — о атаках с использованием QR-кодов.

-—

Сложности обнаружения фишинга с использованием LLM
**Источник: LastPass | Борьба с социальной инженерией в 2024 году | Март 2024**

Более 95% респондентов считают, что динамический контент на базе больших языковых моделей усложняет обнаружение фишинга. Хотя 88% уверены в своих программах тестирования, лишь 16% пользователей выявляют 75-100% подозрительной активности.

-—

Резкий рост атак после запуска ChatGPT
**Источник: Enea | Безопасность мобильных сетей: преодоление разрыва между потребностями предприятия и возможностями CSP | Февраль 2024**

С момента запуска ChatGPT в ноябре 2022 года количество мошеннических и фишинговых атак увеличилось на 1265%.

-—

Последствия рискованных действий
**Источник: Check Point | Состояние фишинга в 2024 году | Февраль 2024**

Частота успешных фишинговых атак снизилась (71% в 2023 году против 84% в 2022), но негативные последствия возросли: на 144% увеличилось количество финансовых санкций и на 50% — ущерб репутации.

-—

Проблемы защищенных почтовых шлюзов
**Источник: Cofense | Ежегодный отчет о состоянии безопасности электронной почты за 2024 год | Февраль 2024**

Электронная почта остается основным вектором киберпреступности: 90% утечек данных связаны с фишингом. Атаки на учетные данные выросли на 67% по сравнению с прошлым годом.

-—

Чистые ссылки и сложные атаки
**Источник: VIPRE Security | Безопасность электронной почты в 2024 году: экспертный взгляд | Февраль 2024**

Фишинговые письма в 71% случаев используют ссылки. Наиболее уязвимые для фишинга сектора: финансовые услуги (22%), ИТ (14%), здравоохранение (14%), образование (10%) и правительство (8%).

-—
Необходимость изменения подхода к безопасности электронной почты
**Источник: Egress | Отчет о рисках безопасности электронной почты за 2024 год | Февраль 2024**

Руководители жестко реагируют на фишинговые атаки: 74% компаний применяют санкции к вовлеченным сотрудникам. 51% организаций стали жертвами атак с взломанных учетных записей в цепочке поставок за последний год.


Обучение сотрудников как ключ к защите от фишинговых атак

Чтобы защитить компанию от фишинговых атак, необходимо регулярно обучать сотрудников основам кибербезопасности. Программы обучения должны включать:

  • Распознавание подозрительных писем и ссылок.
  • Методы проверки подлинности отправителей.
  • Регулярные тестирования на фишинг для повышения осведомленности.
  • Разработку и внедрение процедур реагирования на фишинговые атаки.
Эти меры помогут создать культуру безопасности и снизить риск успешных фишинговых атак в вашей организации.



Мы разработали инструменты для оценки и повышения киберграмотности ваших сотрудников.

  • Программное обеспечение для проверки осведомленности сотрудников (входит в реестр Минцифры).
  • Плагин для Outlook. Дает возможность вашим сотрудникам в два клика пересылать подозрительные письма в службу ИБ.
  • Антифишинговый плагин для браузера. Фиксирует попытку заполнения сотрудником формы на постороннем сайте и мгновенно отправляет почтовое оповещение в службу ИБ.
  • Курс "Как распознать вредоносную ссылку в письме".
  • Курс "Как распознать вредоносное вложение в письме".
  • Чек-лист: "Технические аспекты защиты от социальной инженерии и фишинга".
  • Классификатор онлайн-векторов социальной инженерии.
  • Плакаты и скринсейверы с рекомендациями по соблюдению правил ИБ.
  • Генератор сценариев социальной инженерии для email-корреспонденции.
  • Памятка по безопасной работе с корпоративной почтой.
Вы можете скачать их бесплатно здесь.

2
Более 300 атак на российские компании от группировки Sapphire Werewolf
Воспользуйтесь бесплатными материалами от StopPhish для проверки и обучения сотрудников.
Хакерская группа Sapphire Werewolf, активная с начала марта этого года, уже совершила более 300 атак на российские компании в сферах IT, образования, оборонной промышленности и аэрокосмической отрасли. Преступники использовали сильно модифицированный инструмент с открытым исходным кодом для кражи данных.

Злоумышленники действовали следующим образом: они рассылали фишинговые письма с ссылками, созданными через сервис сокращения URL T.LY, после чего жертвы загружали вредоносный файл. После открытия файла на устройства проникал стилер Amethyst, предназначенный для кражи данных.

Вместе с загрузкой программы открывался отвлекающий документ, например, постановление о возбуждении исполнительного производства, чтобы не вызвать подозрений у пользователей.

В это время Amethyst собирал важную информацию с зараженного устройства, включая базы данных паролей, историю браузера, документы и файлы конфигурации, позволяющие злоумышленникам получить доступ к учетной записи жертвы в Telegram. Все собранные данные упаковывались в архив и отправлялись в бот преступников.

Для выявления методов закрепления на конечных точках IT-инфраструктуры, применяемых Sapphire Werewolf, необходимо использовать решения класса endpoint detection and response. Для обеспечения эффективной работы средств защиты информации, ускорения реагирования на инциденты и защиты от наиболее критических угроз, необходимо учитывать актуальные изменения в киберландшафте.

Однако не все российские компании готовы защищаться от хакеров. Так, 55% организаций не хватает времени на это, 37% - компетенций для формирования соответствующих задач, а 31% - эффективной коммуникации с IT-командой.

Кроме того, не все организации используют режим мониторинга и реагирования круглосуточно. Большая часть компаний (64%) ограничивается ситуационным режимом или мониторингом в рабочие часы, например, с 8:00 до 17:00. Это может привести к пропуску опасного инцидента или несвоевременной реакции на него.

"Наиболее объективные методы оценки защищенности, такие как тестирование на проникновение (58%) и киберучения (35%), проводятся нерегулярно, что приводит к недостаточному пониманию реального уровня защиты," - отметил старший аналитик информационной безопасности исследовательской группы Positive Technologies Федор Чунижеков.

Здесь вы можете скачать бесплатные инструменты для оценки и повышения киберграмотности своих сотрудников.


Информация взята из статьи Юлии Гуреевой

3

Новые приемы в фишинге: сотрудники Cloudflare, контрабанда HTML и искусственный интеллект
Обзор фишинговых методов

Эксперты по кибербезопасности выявили новые фишинговые кампании, в которых злоумышленники используют работников Cloudflare для размещения фишинговых сайтов. Эти сайты направлены на сбор учетных данных пользователей популярных веб-почтовых сервисов, таких как Microsoft, Gmail, Yahoo! и cPanel.

Метод, известный как прозрачный фишинг или атака "злоумышленник посередине" (AitM), использует сотрудников Cloudflare в качестве обратного прокси-сервера для легитимных страниц входа, перехватывая трафик между жертвой и страницей входа для кражи учетных данных, файлов cookie и токенов, как отметил в своем отчете исследователь Netskope Ян Майкл Алькантара


География и цели атак

За последние 30 дней большинство фишинговых кампаний, размещенных на Cloudflare Workers, были направлены на жертв из Азии, Северной Америки и Южной Европы, охватывая такие отрасли, как технологии, финансовые услуги и банковский сектор.

Компания по кибербезопасности отметила значительное увеличение трафика на фишинговые страницы, размещенные на Cloudflare Workers, начиная со второго квартала 2023 года. Количество отдельных доменов выросло с чуть более 1000 в четвертом квартале 2023 года до почти 1300 в первом квартале 2024 года.


Техника контрабанды HTML

В этих фишинговых кампаниях используется техника контрабанды HTML, включающая использование вредоносного JavaScript для доставки вредоносного контента на стороне клиента, обходя меры безопасности. Это подчеркивает сложные стратегии, применяемые злоумышленниками для атак на целевые системы.

Отличительной особенностью является то, что фишинговая страница реконструируется и отображается пользователю в веб-браузере, создавая иллюзию легитимности.


Кибербезопасность

Фишинговая страница побуждает жертву войти в Microsoft Outlook или Office 365 (ныне Microsoft 365) для просмотра поддельного PDF-документа. Если жертва вводит свои учетные данные, фальшивые страницы входа, размещенные на Cloudflare Workers, собирают эти данные, включая коды многофакторной аутентификации (MFA).

"Фишинговая страница создана с использованием модифицированной версии открытого инструментария Cloudflare AitM," - сказал Майкл Алькантара. "Когда жертва вводит свои учетные данные, они попадают на законный сайт, а злоумышленник получает токены и файлы cookie, а также доступ к любым дальнейшим действиям жертвы."


Обход современных средств защиты

Контрабанда HTML как способ доставки вредоносного контента все чаще используется злоумышленниками для обхода современных защитных мер. Это позволяет размещать мошеннические HTML-страницы и другое вредоносное ПО, не вызывая тревог.

В одном из случаев, описанных Huntress Labs, поддельный HTML-файл использовался для внедрения iframe легитимного портала аутентификации Microsoft, извлеченного из домена, контролируемого злоумышленником.

"Это выглядит как атака с прозрачным прокси-сервером, обходящая MFA, но использует контрабанду HTML с внедренным iframe вместо обычной ссылки," - пояснил исследователь безопасности Мэтт Кили.


Обучение сотрудников

В связи с растущими угрозами важно обучать сотрудников распознавать признаки фишинга и понимать современные методы атаки. Это включает в себя обучение идентификации подозрительных электронных писем, ссылок и веб-сайтов, а также применение мер предосторожности при вводе учетных данных. Регулярное проведение тренингов и симуляций фишинговых атак может значительно повысить осведомленность и устойчивость сотрудников к таким угрозам.

Скачайте бесплатные инструменты для оценки и повышения киберграмотности ваших сотрудников здесь.

Мы в социальных сетях