F.A.C.C.T. назвал особые приметы опасных новогодних рассылок
Для киберпреступников не бывает выходных, а любые праздники – повод для новых атак. Особенно в конце декабря и начале января, когда пользователи теряют бдительность. На это и рассчитывают злоумышленники, когда проводят фишинговые рассылки в новогодние дни. Рассылка вредоносных писем по-прежнему – один из самых популярных векторов кибератак. Аналитики Центра кибербезопасности компании F.A.C.C.T. подготовили рекомендации, как заметить потенциально вредоносные письма – эти советы пригодятся в любое время года.
Как повод для новогодних рассылок злоумышленники могут использовать как бухгалтерские документы (конец финансового года – все в отчётах), так и разные запросы, предложения. В одной из атак злоумышленники использовали документ-приманку с поздравлением с наступающим Новым годом. На деле вложение являлось трояном удаленного доступа.
Как распознать опасное письмо в корпоративной почте и защитить компанию от фишинговых рассылок? Аналитики Центра кибербезопасности F.A.C.C.T. рассказали про характерные приметы вредоносных писем.
1. Адрес отправителя.
На что обратить внимание? Если получили письмо от незнакомого отправителя, первым делом внимательно проверьте его адрес. Злоумышленники могут использовать такое же название домена, но в другой доменной зоне (.com, .biz или любое другое вместо .ru), или похожий на официальный домен компании. Чтобы добиться внешнего сходства в названии домена, злодеи меняют символы на похожие: например, вместо «l» указывают «i», вместо «o» – «s»; меняют порядок или число букв в домене, например, вместо «ts» указывают «st», двойное «ss» вместо одинарного «s».
Куда реже встречаются адреса, созданные с помощью бесплатных почтовых служб, таких как Gmail, популярные российские сервисы. Для большего доверия к такому письму преступники могут придумать аккаунт, похожий на название компании или госорганизации (вроде «gostelecom-obc@почтовыйдомен.ru»).
Помните: мошенники могут отправить вредоносное письмо с почтового адреса партнёра или клиента вашей организации, если перед этим взломали почтовый ящик. Также злоумышленники могут использовать спуфинг – подделать информацию об отправителе письма. В таких случаях адрес отправителя может не вызывать подозрений.
2. Текст письма.
На что обратить внимание? Одна из примет вредоносного письма - его получателя побуждают скорее открыть вложение или перейти по ссылке. Если в тексте указан пароль к архиву, который предлагают скачать из интернета по ссылке или открыть вложение из письма – это тоже характерный признак письма от злоумышленников.
Помните: любая попытка манипуляции – повод насторожиться.
3. Ссылка или файл в письме.
На что обратить внимание? Открывать файлы или ссылки из письма, если перед этим не убедились в их безопасности, опасно. Это может привести к заражению компьютера/смартфона и потере данных/денег своих и организации. Если отправитель вам неизвестен, а в тексте письма просят что-то сделать, например, посмотреть подтверждение оплаты или запрос, обновить сертификаты браузера, ознакомиться с коммерческим предложением или каталогом – это красный флаг, сирена и сигнал «Стоп» одновременно.
Помните: даже установленный антивирус может проигнорировать, не обнаружить угрозу. Специалисты по кибербезу проверяют подозрительные файлы, используя специализированные инструменты анализа на наличие вредоносного кода. Поэтому если вы не специалист, то рисковать не стоит.
Что делать?
Возникают хоть малейшие сомнения в том, что отправитель – не тот, за кого себя выдаёт? Автор письма настаивает, умоляет или предлагает срочно открыть документ или ссылку? Человек, которого вы не знаете лично, прислал вам документ, которого вы не ждали?
Если хотя бы на один из этих вопросов вы отвечаете «да», отнеситесь к такому письму, как к любому другому подозрительному предмету.
1. Не «трогайте» такое письмо – не открывайте содержащиеся в нём файлы и ссылки.
2. Попробуйте связаться с отправителем письма и уточнить детали другим способом. Например, позвонить по телефону, но не использовать для этого контакт, указанный в письме – он также может вести к мошенникам, а позвонить по контактному телефону организации, указанному на официальном сайте.
3. Сообщите о подозрительном письме в службу безопасности вашей организации.
Эти рекомендации помогут немного сократить возможный риск от массовых фишинговых атак. В таких веерных рассылках атакующие применяют стандартные шаблоны, без учёта деятельности и задач компании-получателя. Определить такие письма порой можно с лёта по «корявому» русскому языку машинного перевода или ошибкам правописания. Подобные рассылки отправляют сразу на множество компаний, на общие почтовые адреса, а применяемый вредоносный код детектируется классическими средствами защиты.
К целевым атакам злоумышленники готовятся тщательно. Пытаются определить тон деловой переписки, свойственный атакуемой компании при взаимодействии со своими клиентами или контрагентами. Такое письмо отправляют адресно, и получатель письма, скорее всего, не увидит ничего подозрительного: письмо не будет выделяться из общей массы ежедневной корреспонденции. А вредоносная нагрузка в таком письме может не детектироваться в момент рассылки.
Для максимального уровня защиты от вредоносных писем специалисты Центра кибербезопасности F.A.C.C.T. рекомендуют использовать специализированные средства защиты. Например, такие как F.A.C.C.T. Business Email Protection.
«Главная цель фишинговых почтовых рассылок — доставка и выполнение вредоносного кода на устройстве получателя. Функционал вредоносного ПО будет зависеть от целей киберпреступников – хищения конфиденциальных данных в рамках шпионажа, компрометации рабочих учетных данных или предоставления удаленного доступа к зараженному устройству в рамках развития более сложной атаки на всю инфраструктуру компании, ее клиентов и подрядчиков. Часто такая вредоносная нагрузка скрывается в ссылках или вложениях, маскируясь под что-то безобидное - легитимное. Поэтому, получив подозрительное или неожиданное письмо, будьте бдительны, не скачивайте и не открывайте вложения. Если возникли сомнения, отправьте такое письмо в вашу службу безопасности или проигнорируйте его и отправьте в спам».
7 фактов о вредоносных рассылках от F.A.C.C.T.
В 2024 году больше всего фишинговых писем с вредоносной «начинкой» отправляли по понедельникам.
Доля фишинговых писем с вложениями – 98,3%.
В 82% вредоносных писем получатели увидят во вложении архив.
Самые популярные у злоумышленников расширения архивов — ZIP и RAR (встречаются в 5 из 10 вредоносных писем). Среди офисных документов — PDF и DOCX.
Чаще всего в фишинговых письмах злодеи прячут шпионское ПО и стилеры — 69%.
В топ-3 вредоносных программ вошли шпионское ПО AgentTesla, инструмент для кражи учётных записей и персональных данных FormbookFormgrabber, а также загрузчик CloudEye.
Только 1 из 30 вредоносных писем злоумышленники отправляли через бесплатные почтовые сервисы. Остальные — с отдельных доменов, как специально созданных, так и скомпрометированных.
Хотите проверить свою внимательность? Найдите признаки фишинговых рассылок в письмах, которые перехватило решение F.A.C.C.T. Managed XDR в 2024 году.