Целевой фишинг — это вид кибератаки, направленной непосредственно на конкретного человека или организацию. Злоумышленники используют личные сведения, чтобы получить доступ к конфиденциальной информации. В кибербезопасности целевой фишинг представляет серьезную угрозу для людей и компаний и может привести к утечкам данных, финансовым потерям и ущербу для репутации. Понимание того, что такое целевой фишинг и как он работает, крайне важно для предотвращения этих атак и защиты конфиденциальных данных.
Что такое целевой фишинг?
Основные выводы
- Целевой фишинг — это кибератаки, в которых злоумышленники отправляют персонализированные сообщения, чтобы обманом заставить конкретных людей раскрыть конфиденциальную информацию.
- Цель этих атак — украсть учетные данные, совершить финансовое мошенничество или вызвать утечку данных.
- Предотвращение целевого фишинга требует многоуровневого подхода, сочетающего обучение сотрудников, технические средства защиты и упреждающие меры безопасности.
Что такое целевой фишинг?
Целевой фишинг — это узконаправленная форма кибератаки, при которой киберпреступники создают персонализированные сообщения, чтобы обманным путем вынудить конкретных лиц раскрыть конфиденциальную информацию. В отличие от традиционного фишинга, который обычно предполагает массовую рассылку писем большой группе людей, целевой фишинг направлен на конкретного человека и часто использует сведения, собранные из профилей в социальных сетях, на сайтах компании или даже в корпоративных справочниках. Такая персонализация повышает вероятность успеха, поскольку жертва считает, что получает законное сообщение.
Например, злоумышленник может отправить письмо, которое выглядит так, будто оно приходит от руководителя высшего звена в организации, используя его имя, должность и ссылки на внутренние инициативы или запланированные собрания. В сообщении может быть просьба перейти по ссылке, скачать вложение с вредоносным ПО или указать учетные данные для входа. Кроме того, злоумышленники могут выдавать себя за коллег и использовать внутреннюю терминологию или сведения о проектах, чтобы завоевать доверие жертвы.
Целевой фишинг отличается от обычного фишинга уровнем персонализации. В обычных фишинговых атаках часто используются расплывчатые или безличные формулировки, например, "Уважаемый клиент", в то время как целевой фишинг использует конкретные детали — такие как должности, местоположение и недавняя активность — что делает его гораздо более правдоподобным. Такой персонализированный подход значительно повышает вероятность того, что жертва попадется на уловку.
Как работают целевые фишинговые атаки
Целевые фишинговые атаки носят сугубо стратегический характер и зачастую состоят из нескольких этапов, призванных обманом вынудить конкретную цель раскрыть конфиденциальную информацию или совершить действия, способные привести к нарушению безопасности.
К распространенным целям целевых фишинговых атак относятся:
- Хищение учетных данных. Злоумышленники часто стремятся похитить имена пользователей, пароли или иные учетные данные, которые впоследствии могут быть использованы для получения несанкционированного доступа к учетным записям или внутренним системам.
- Финансовое мошенничество. Выдавая себя за ключевых сотрудников или поставщиков, злоумышленники могут побудить жертв совершить мошеннические финансовые операции или перевести средства на несанкционированные счета.
- Нарушения безопасности данных. Направленный фишинг — распространенный способ взлома корпоративных сетей и кражи ценных данных, таких как интеллектуальная собственность, сведения о клиентах или финансовые записи.
Для достижения этих целей киберзлоумышленники используют несколько разных методов, в том числе:
- Персонализированные сообщения электронной почты. Злоумышленники часто собирают подробные сведения о жертве — например, должность, местоположение, компанию и даже личные интересы — из профилей в социальных сетях, на сайтах компаний или из общедоступных записей. Имея эти сведения, они отправляют тщательно настроенные письма, которые выглядят законными, часто выдавая себя за доверенное лицо в организации. Эти сообщения могут содержать срочные запросы или сведения, требующие незамедлительной реакции, с целью оказать давление на жертву и вынудить ее действовать быстро.
- Спуфинговые домены. В некоторых случаях злоумышленники создают адреса электронной почты или сайты, которые очень похожи на настоящие. Это называется спуфинговыми доменами. Например, злоумышленник может зарегистрировать домен вроде "microsoft-support.com" вместо "microsoft.com" или использовать едва заметные ошибки в адресе электронной почты, чтобы убедить получателя, что сообщение пришло из официального источника. Это часто используют, чтобы вызвать доверие и сделать сообщение еще более убедительным.
- Вредоносные ссылки и вложения. Сообщения с целевым фишингом могут содержать ссылки на поддельные сайты, которые предназначены для перехвата учетных данных или побуждают жертву загрузить вредоносное ПО. Кроме того, сообщение может содержать вложения, которые при открытии устанавливают на устройство жертвы вредоносное ПО или шпионские программы. Такие вложения часто выглядят как официальные документы, например счета, договоры или отчеты, чтобы обманом заставить получателя открыть их.
Типичный жизненный цикл целевой фишинговой атаки включает:
- Рекогносцировка и сбор данных. Первый шаг в цикл целевой фишинговой атаке — сбор сведений. Злоумышленники тщательно изучают свои цели и собирают сведения из социальных сетей, сайтов компаний, профилей LinkedIn и других общедоступных источников.
- Создание персонализированных сообщений. Используя собранные сведения, злоумышленники создают сообщения, адаптированные под жертву. В таких сообщениях часто упоминаются конкретные коллеги, проекты или внутренние проблемы, из-за чего они выглядят правдоподобно. Злоумышленник может также использовать психологическое воздействие, например срочность или страх, чтобы заставить жертву действовать быстро.
- Доставка по электронной почте, через социальные сети или платформы для обмена сообщениями. После подготовки сообщения злоумышленник отправляет его через каналы, где цель наиболее активна, например по электронной почте, в социальных сетях или даже через платформы для обмена сообщениями, такие как Microsoft Teams, WhatsApp или Slack. Цель — выйти на жертву через платформу, которой она доверяет и которой регулярно пользуется.
- Использование доверия для кражи учетных данных или установки вредоносного ПО. Наконец, злоумышленник пытается воспользоваться доверием жертвы, убеждая ее перейти по вредоносной ссылке, открыть скомпрометированное вложение или предоставить конфиденциальную информацию. Когда жертва поддается на уловку, злоумышленник может получить доступ к учетным данным, финансовым счетам или конфиденциальным системам. В некоторых случаях атака может привести к установке вредоносного ПО на устройство жертвы, что еще больше снижает уровень защиты.
Фишинг, целевой фишинг и уэйлинг
Хотя фишинг, целевой фишинг и уэйлинг относятся к категории атак с использованием методов социальной инженерии, они существенно различаются по своему подходу, масштабу и целевой аудитории.
Фишинг
Фишинг— самый распространенный и наименее нацеленный вид кибератаки. При фишинговой атаке киберпреступники рассылают массовые письма или сообщения большому числу получателей, обычно используя общие или безличные формулировки. Такие письма часто выглядят так, будто они пришли из законных источников, например от банков, поставщиков услуг электронной почты или платформ электронной коммерции. Цель обычно состоит в том, чтобы заставить жертву перейти по ссылке, предоставить учетные данные для входа или скачать вредоносное ПО. Фишинговые атаки основаны на методе "веерной рассылки" — злоумышленник рассчитывает, что на уловку попадется небольшой процент получателей.
Целевой фишинг
Целевой фишинг— это более сложная и целенаправленная форма фишинга. Вместо рассылки общих сообщений широкой аудитории целевые фишинговые атаки персонализированы и нацелены на конкретного человека или организацию. Киберпреступники собирают подробные сведения о жертве, например о должности, личных интересах, недавних взаимодействиях и данных о компании, чтобы составить убедительное письмо или сообщение.
Поскольку сообщение выглядит так, будто оно пришло из надежного источника, например от коллеги, руководителя или партнера, целевые фишинговые атаки часто оказываются успешнее массового фишинга. Обычно цель злоумышленника — украсть учетные данные, финансовую информацию или получить доступ к конфиденциальным данным.
Уэйлинг
Уэйлинг — это подвид целевого фишинга, направленный на известных людей в организации, например на руководителей, генеральных директоров или других ключевых лиц, принимающих решения. Название уэйлинг происходит от идеи охоты на крупную рыбу в организации. Как и целевой фишинг, уэйлинг предполагает создание очень персонализированных и убедительных сообщений, но ставки намного выше из-за влияния цели и доступа к критически важным бизнес-ресурсам.
Уэйлинг-атаки часто нацелены на ценные объекты, чтобы украсть крупные суммы денег, конфиденциальные бизнес-данные или даже интеллектуальную собственность. Такие атаки обычно требуют тщательного исследования и могут включать сложные приемы, например выдачу себя за надежного коллегу, поставщика или представителя юридических органов.
Роль ИИ в повышении сложности атак
Искусственный интеллект значительно повысил сложность целевых фишинговых атак. Системы ИИ способны анализировать огромные массивы данных для выявления закономерностей, тенденций и уязвимостей в инфраструктурах кибербезопасности. Злоумышленники используют ИИ для автоматизации сбора данных и таргетирования отдельных лиц с точностью, ранее недостижимой при использовании ручных методов.
Более того, инструменты ИИ могут помогать злоумышленникам создавать крайне убедительные фишинговые письма, имитируя стиль письма, а также генерировать deepfake-видео, которые подделывают голос или лицо жертвы. Это делает фишинговое сообщение еще более реалистичным, поскольку жертва может поверить, что общается с доверенным коллегой или вышестоящим руководителем.
Кроме того, ИИ можно использовать для автоматизации атак социальной инженерии на разных платформах, например в социальных сетях, по электронной почте и в средствах совместной работы. Целевые фишинговые атаки с применением ИИ могут постоянно обучаться и адаптироваться, чтобы сообщения становились еще более персонализированными и их было сложнее отличить от законных сообщений.
Как определить целевой фишинг
Целевые фишинговые атаки часто на первый взгляд выглядят законными, но есть несколько признаков, которые помогут выявить такие обманные сообщения до того, как они нанесут вред. Кроме того, важно понимать технические методы обнаружения, которые помогают защищаться от таких атак и укреплять уровень кибербезопасности.
Признаки целевого фишинга включают:
- Подозрительные адреса отправителей. Одним из первых признаков попытки целевого фишинга является незнакомый или подозрительный адрес отправителя. Злоумышленники часто подделывают адреса электронной почты, чтобы придать им вид легитимных, порой используя незначительные вариации или опечатки. Например, сообщение электронной почты может поступить с адреса "support@micosoft.com" вместо "support@microsoft.com", или же сообщение, которое выглядит так, будто оно отправлено вашим генеральным директором, на самом деле может быть отправлено с немного измененного домена. Всегда проверяйте адрес отправителя, особенно если письмо неожиданное или в нем запрашивается конфиденциальная информация.
- Срочный язык. Злоумышленники часто используют срочность или давление, чтобы подтолкнуть к немедленным действиям. Такие фразы, как "Требуется немедленное действие" "Ваша учетная запись скомпрометирована" или "Запрос, требующий немедленного действия", рассчитаны на то, чтобы вы действовали быстро и не раздумывая. Будьте осторожны с любым сообщением, которое создает ощущение срочности, особенно если запрос нехарактерен для отправителя или ситуации.
- Непредвиденные вложения или ссылки. Если вы получили сообщение с неожиданным вложением или ссылкой, особенно от доверенного коллеги или организации, будьте внимательны. Сообщения целевого фишинга могут содержать вредоносные вложения, которые после открытия устанавливают вредоносное ПО на устройстве, или ссылки, перенаправляющие на мошеннические веб-сайты. Всегда наводите указатель мыши на ссылку, чтобы проверить ее назначение, прежде чем перейти по ней, и открывайте только вложения из надежных источников. Если есть сомнения, свяжитесь с отправителем напрямую вне цепочки письма, чтобы проверить запрос.
- Запросы учетных данных для входа или финансовых действий. Серьезный признак опасности — любое сообщение, в котором запрашивается конфиденциальная информация, например имена пользователей, пароли или финансовые операции. Целевые фишинговые атаки часто направлены на кражу учетных данных или побуждение жертв к переводу денежных средств. Законная компания или коллега никогда не станут запрашивать такую информацию по электронной почте. Если вы получили такой запрос, перепроверьте его подлинность, связавшись с отправителем напрямую по другому каналу связи, например по телефону или через защищенный мессенджер.
Помимо распознавания признаков опасности, для обнаружения и блокировки попыток целевого фишинга до того, как они дойдут до пользователей, можно использовать различные технические меры.
Вот несколько ключевых методов, которые используются для обнаружения и предотвращения таких атак:
- Фильтры для защиты от фишинга. Фильтры защиты от фишинга — это программные средства, которые почтовые службы используют для обнаружения и блокировки фишинговых сообщений. Эти фильтры анализируют входящие письма на наличие известных признаков фишинга, таких как подозрительные ссылки, адреса электронной почты и темы сообщений. Хотя они и не дают полной гарантии, они могут значительно сократить число попыток фишинга, которые доходят до почтового ящика. Убедитесь, что в почтовом сервисе включена защита от фишинга, и регулярно обновляйте ее.
- Обнаружение аномалий. Системы обнаружения аномалий отслеживают сеть и обмен сообщениями организации на предмет нетипичного поведения. Например, если сотрудник получает сообщение от учетной записи коллеги, но язык или тон отличаются от обычных, либо если поступает неожиданный запрос на конфиденциальные данные, такие системы могут определить это как подозрительное действие. Используя алгоритмы машинного обучения для выявления отклонений от типичных шаблонов общения, обнаружение аномалий может быть эффективным способом выявления попыток целевого фишинга.
- Инструменты для обработки естественного языка (NLP). Обработка естественного языка — это направление ИИ, которое анализирует текст на наличие определенных шаблонов, несоответствий и неестественных формулировок. Эти инструменты помогают выявлять попытки целевого фишинга, анализируя язык, используемый в сообщениях. Если в письме есть неестественные формулировки, грамматические ошибки или тон, не соответствующий обычной переписке, система может пометить его как возможную фишинговую атаку. Эти инструменты помогают автоматизировать обнаружение обманчивых формулировок и обеспечивают дополнительный уровень защиты от целевого фишинга.
- Протоколы проверки подлинности электронной почты (SPF, DKIM, DMARC). Протоколы аутентификации по электронной почте, такие как Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) и Domain-based Message Authentication, Reporting, and Conformance (DMARC), помогают проверять подлинность отправителей сообщений электронной почты. Эти протоколы гарантируют, что адрес электронной почты отправителя совпадает с доменом, с которого было отправлено сообщение, снижая вероятность успешного спуфинга. SPF проверяет IP-адрес отправителя, DKIM подтверждает целостность сообщения, а DMARC координирует эти стандарты, сообщая обо всех сбоях в проверки подлинности. Организациям следует внедрить эти протоколы для предотвращения целевых фишинговых атак, основанных на спуфинге адресов отправителей.
Стратегии предотвращения целевого фишинга
Для предотвращения таргетированного фишинга нужен многоуровневый подход, который сочетает обучение сотрудников, технические меры защиты и упреждающие меры безопасности, включая управление уязвимостями. Надежные методы информационной безопасности (InfoSec) — включая регулярное обучение и передовые инструменты обнаружения угроз — имеют важнейшее значение для защиты от атак типа "целевой фишинг" и обеспечения сохранности конфиденциальных данных от киберпреступников.
Повышение осведомленности сотрудников и имитационное обучение. Один из самых эффективных способов предотвратить целевой фишинг — повысить осведомленность сотрудников. Регулярные обучающие занятия помогают персоналу распознавать признаки фишинга и понимать, как обращаться с подозрительными сообщениями. В такое обучение следует включить рекомендации по проверке подлинности запросов и призывать к осторожности при работе с письмами со вложениями или с срочным, давящим тоном.
Кроме того, очень полезны тренировки с имитацией целевого фишинга. С помощью имитации реальных атак целевого фишинга организации могут проверить, как сотрудники реагируют на такие угрозы, и дать рекомендации по усилению защиты. Такое обучение повышает осведомленность сотрудников и снижает вероятность того, что атака окажется успешной.
Многофакторная проверка подлинности (MFA). Многофакторная проверка подлинности (MFA) — это критический уровень защиты от фишинга. Даже если злоумышленникам удается украсть учетные данные пользователя, MFA может предотвратить несанкционированный доступ, если перед предоставлением доступа к важным системам или данным требуется дополнительный этап проверки, например код из текстового сообщения, приложение для проверки подлинности или биометрическое сканирование.
Реализация MFA для всех учетных записей, особенно для руководителей и людей с доступом к критически важным системам, значительно снижает вероятность успешной кражи учетных данных, которая может привести к компрометации. Еще одним вариантом является двухфакторная проверка подлинности (2FA), которая обеспечивает дополнительный уровень безопасности, затрудняя злоумышленникам получение несанкционированного доступа к критически важным системам — даже в том случае, если им удастся похитить учетные данные посредством целевого фишинга
Расширенные решения для защиты электронной почты. Организациям следует инвестировать в передовые решения для безопасности электронной почты, выходящие за рамки базовых спам-фильтров. Эти инструменты могут выявлять и блокировать фишинговые сообщения, анализируя содержимое, отправителя и другие метаданные на наличие подозрительных шаблонов. Решения, которые используют машинное обучение и искусственный интеллект, могут выявлять даже самые сложные попытки целевого фишинга, определяя аномалии в поведении электронной почты или в использовании языка. Отслеживание индикаторов компрометации (IOC) — таких как необычные вложения в электронных письмах или подозрительные доменные имена — может помочь организациям оперативно выявлять попытки целевого фишинга и реагировать на них до того, как они нанесут существенный ущерб.
Система управления идентификацией и доступом. Внедрение надежных методик управления идентификацией и доступом (IAM) позволяет существенно снизить риск целевого фишинга, гарантируя, что доступ к критически важным системам и конфиденциальным данным имеют исключительно авторизованные лица, и тем самым ограничивая последствия потенциальных нарушений безопасности
Кроме того, платформы защиты электронной почты могут помогать с оповещениями в реальном времени и предоставлять администраторам полезные сведения, позволяя быстро реагировать на любые потенциальные угрозы.
Управление событиями безопасности и информации. Интеграция систем управления информационной безопасностью и событиями безопасности (SIEM) может повысить эффективность обнаружения целевого фишинга, обеспечивая мониторинг в реальном времени, выявляя подозрительные действия и оповещая группы безопасности о потенциальных угрозах до того, как они перерастут в более серьезные
Аудит безопасности и планирование реагирования на инциденты. Регулярные проверки безопасности крайне важны для выявления уязвимостей в системах и процессах организации. Такие проверки помогают выявить области, где меры противодействия фишингу могут быть недостаточными, и принять корректирующие действия до того, как произойдет атака целевого фишинга.
Помимо аудита, наличие надежного плана реагирования на инциденты жизненно важно. В этом плане должны быть описаны действия на случай фишинговой атаки, включая изоляцию затронутых систем, уведомление заинтересованных сторон и восстановление скомпрометированных данных. Чем быстрее организация обнаружит атаку и отреагирует на нее, тем меньше ущерба она нанесет.
Архитектура "Никому не доверяй". "Никому не доверяй"— это модель кибербезопасности, основанная на принципе "никогда не доверяй, всегда проверяй". В архитектуре "Никому не доверяй"каждый запрос на доступ рассматривается как потенциально вредоносный, независимо от того, поступает ли он изнутри или извне сети. Этот подход требует, чтобы пользователи и устройства постоянно проходили проверку подлинности, а доступ предоставлялся по принципу наименьших привилегий.
"Никому не доверяй" может значительно снизить последствия целевого фишинга, так как даже если злоумышленники получат доступ к сети, их возможности будут ограничены. Внедрение концепции "Никому не доверяй" может включать сегментацию сети, мониторинг поведения пользователей и обеспечение строгого управления доступом, особенно в отношении критически важных ресурсов.
Гигиена социальных сетей для руководителей и наиболее ценных целей. Руководители и заметные публичные лица часто становятся основными целями целевого фишинга из-за доступа к конфиденциальной информации и права принимать решения. Одна из ключевых мер для таких лиц — строго соблюдать правила использования социальных сетей.
Это включает:
- Ограничение публикации персональных данных. Не публикуйте должности, сведения о проектах или планы отпуска, которые злоумышленники могут использовать для социальной инженерии.
- Проверка параметров конфиденциальности. Убедитесь, что учетные записи в социальных сетях закрыты и конфиденциальную информацию могут видеть только проверенные контакты.
- Осторожность при подключении. Принятие запросов на добавление в контакты от неизвестных людей повышает риск целевого фишинга, особенно если злоумышленники используют социальные сети для сбора информации.
Лицам, представляющим особую ценность, также следует рассмотреть возможность ограничения своего присутствия в социальных сетях, чтобы не стать легкой мишенью для злоумышленников, стремящихся собрать персональные данные для проведения кампаний целевого фишинга.
Обнаружение и предотвращение целевого фишинга
Майкрософт предлагает широкий набор мощных решений и инструментов безопасности, которые помогают организациям выявлять и предотвращать атаки целевого фишинга.
Microsoft Entra ID повышает безопасность идентификации с помощью условного доступа, политик на основе рисков и MFA, предотвращая неправомерное использование скомпрометированных учетных данных. В сочетании с Microsoft Sentinel для централизованного мониторинга и реагирования на инциденты вы получаете более полную видимость угроз, связанных с фишингом, и более быстрое устранение последствий. Используя интегрированные решения Майкрософт для защиты от фишинга и его предотвращения, вы сможете выстроить устойчивую защиту от целевого фишинга и повысить общий уровень безопасности.
Подробнее о Microsoft Security
Вопросы и ответы
Вопросы и ответы
- Целевой фишинг — это разновидность кибератаки, при которой злоумышленники выдают себя за доверенных людей или организации, чтобы обманом заставить конкретных пользователей раскрыть конфиденциальную информацию. В отличие от обычного фишинга, который нацелен на многих людей, целевой фишинг персонализируется под конкретного человека и часто использует такие детали, как должность или личные интересы, чтобы атака выглядела убедительно.
- Фишинг — это широкая, массовая атака, нацеленная на многих людей и часто использующая поддельные письма для кражи данных. Целевой фишинг более избирателен: злоумышленники настраивают письма под конкретных пользователей или организации. Уэйлинг — это вид целевого фишинга, направленный на заметных публичных лиц, например руководителей, с целью кражи конфиденциальной деловой информации или причинения финансового ущерба.
- Например, злоумышленник выдает себя за генерального директора и отправляет сотруднику компании персонализированное письмо с просьбой о денежном переводе или доступе к конфиденциальным файлам. В сообщении может упоминаться текущий проект или имя сотрудника, чтобы оно выглядело убедительно. Если сотрудник отвечает, злоумышленник получает доступ к средствам или данным компании.
- Чтобы распознать целевой фишинг, обращайте внимание на подозрительные адреса отправителя, неожиданные вложения или ссылки, срочный или необычный тон и запросы конфиденциальных данных, например учетных данных для входа или денежных переводов. Всегда проверяйте подлинность сообщений, особенно если они выглядят нетипично или требуют немедленных действий.
- Чтобы защититься от целевого фишинга, обучайте сотрудников распознавать фишинговые письма, используйте многофакторную проверку подлинности (MFA) и внедряйте расширенные инструменты защиты электронной почты. Проводите регулярные аудиты безопасности, внедряйте архитектуру "Никому не доверяй" и повышайте уровень информационной гигиены в социальных сетях, особенно для публичных лиц, чтобы снизить риск атаки.
Следите за новостями Microsoft Security