Цільовий фішинг – це тип кібератаки, що безпосередньо націлюється на людину або організацію. Зловмисники використовують особисті дані, щоб отримати доступ до конфіденційної інформації. У кібербезпеці цільовий фішинг становить значний ризик для людей і бізнесу. Він може призвести до витоків даних, фінансових втрат і шкоди репутації. Розуміння того, що таке цільовий фішинг і як він працює, має вирішальне значення для запобігання цим атакам і захисту конфіденційних даних.
Що таке цільовий фішинг?
Ключові висновки
- Цільовий фішинг – це кібератаки, у яких зловмисники надсилають персоналізовані повідомлення, щоб змусити конкретних людей надати конфіденційну інформацію.
- Мета цих атак – викрасти облікові дані, вчинити фінансове шахрайство або спричинити витоки даних.
- Запобігання цільовому фішингу потребує багаторівневого підходу, що поєднує навчання працівників, технічні засоби захисту та проактивні заходи безпеки.
Що таке цільовий фішинг?
Цільовий фішинг – це форма кібератаки, у якій кіберзлочинці розробляють персоналізовані повідомлення, щоб обманом змусити конкретних осіб розкрити конфіденційну інформацію. На відміну від традиційного фішингу, який зазвичай передбачає масове розсилання електронних листів, цільовий фішинг спрямований на конкретну особу й часто використовує відомості, зібрані з профілів у соціальних мережах, вебсайтів компанії або навіть корпоративних каталогів. Такий рівень персоналізації підвищує ймовірність успіху, оскільки жертва вважає, що отримує справжнє повідомлення.
Наприклад, зловмисник може надіслати електронний лист, який має вигляд, ніби його надіслав керівник вищої ланки в організації, використовуючи ім’я, посаду керівника й посилання на внутрішні ініціативи або заплановані зустрічі. Лист може містити запит натиснути на посилання або завантажити вкладення, яке містить шкідливе програмне забезпечення, або надати облікові дані для входу. Крім того, зловмисники можуть видавати себе за колег і використовувати внутрішню термінологію чи відомості про проєкт, щоб здобути довіру жертви.
Цільовий фішинг відрізняється від звичайного фішингу рівнем персоналізації. У звичайних фішингових атаках часто використовується розпливчасті або безособові звернення, наприклад "Шановний клієнте!", а для цільового фішингу використовуються конкретні відомості – наприклад, посади, місця перебування та нещодавні дії – через що текст більш схожий на справжній. Такий персоналізований підхід значно підвищує ймовірність того, що жертва повірить у шахрайство.
Принцип роботи цільових фішингових атак
Цільові фішингові атаки дуже стратегічні та часто передбачають кілька етапів, спрямованих на те, щоб обманом змусити конкретну ціль повідомити конфіденційну інформацію або виконати дії, які можуть призвести до порушення безпеки.
Метою цільових фішингових атак може бути, серед іншого:
- Крадіжка облікових даних. Зловмисники часто прагнуть викрасти імена користувачів, паролі або інші облікові дані для входу, які потім можна використати для несанкціонованого доступу до облікових записів або внутрішніх систем.
- Фінансове шахрайство. Видаючи себе за ключових співробітників або постачальників, зловмисники можуть змусити жертв здійснити шахрайські фінансові операції або переказати кошти на несанкціоновані рахунки.
- Витоки даних. Цільовий фішинг – це поширений метод, який зловмисники використовують для проникнення в корпоративні мережі й викрадення цінних даних, наприклад інтелектуальної власності, відомостей про клієнтів або фінансових записів.
Щоб досягти цих цілей, кіберзлочинці використовують кілька різних методів, зокрема:
- Персоналізовані електронні листи. Зловмисники часто збирають докладні відомості про жертву – наприклад, посаду, місцеперебування, компанію й навіть особисті інтереси – із профілів у соціальних мережах, на вебсайтах компаній або з відкритих реєстрів. Маючи цю інформацію, вони надсилають персоналізовані електронні листи, які виглядають справжніми, часто видаючи себе за довірену особу в організації. Такі електронні листи можуть містити термінові запити або актуальну інформацію, щоб змусити жертву діяти швидко.
- Підроблені домени. У деяких випадках зловмисники створюють адреси електронної пошти або вебсайти, які дуже схожі на справжні, – це так звані підроблені домени. Наприклад, зловмисник може зареєструвати домен на кшталт "microsoft-support.com" замість "microsoft.com" або використати ледь помітні орфографічні помилки в адресі електронної пошти, щоб переконати одержувача, що повідомлення надходить з офіційного джерела. Це часто використовується, щоб здобути довіру й зробити електронний лист ще переконливішим.
- Шкідливі посилання та вкладення. Листи цільового фішингу можуть містити посилання, які ведуть на шахрайські вебсайти, створені для того, щоб перехопити облікові дані для входу або спонукати жертву завантажити шкідливе програмне забезпечення. Крім того, електронний лист може містити вкладення, які після відкриття встановлюють на пристрій жертви шкідливе або шпигунське програмне забезпечення. Такі вкладення часто виглядають як офіційні документи, наприклад рахунки, договори або звіти, щоб обманом змусити одержувача натиснути на них.
Звичайний життєвий цикл атаки цільового фішингу містить такі етапи:
- Інформаційна розвідка та збирання даних. Перший крок в цільовому фішингу – збір відомостей. Зловмисники ретельно досліджують свої цілі та збирають відомості із соціальних мереж, вебсайтів компаній, профілів LinkedIn та інших відкритих джерел.
- Створення персоналізованих повідомлень. Отримавши відомості, зловмисники створюють електронні листи, персоналізовані під жертву. У таких листах часто згадуються конкретні колеги, проєкти або внутрішні проблеми, через що вони здаються справжніми. Зловмисник також може застосовувати психологічний вплив, наприклад терміновість або страх, щоб змусити жертву діяти швидко.
- Доставка електронною поштою, через соціальні мережі або платформи обміну повідомленнями. Після створення повідомлення зловмисник доставляє його через канали, якими жертва користується найчастіше, наприклад електронною поштою, через соціальні мережі або навіть через платформи обміну повідомленнями, такі як Microsoft Teams, WhatsApp або Slack. Мета – дістатися до жертви на платформі, якій вона довіряє та яку регулярно використовує.
- Використання довіри, щоб отримати облікові дані або встановити шкідливе програмне забезпечення. Насамкінець зловмисник намагається зловживати довірою жертви, щоб переконати її натиснути на шкідливе посилання, відкрити скомпрометоване вкладення або надати конфіденційну інформацію. Щойно жертва клює на гачок, зловмисник може отримати доступ до облікових даних, фінансових рахунків або конфіденційних систем. У деяких випадках атака може призвести до встановлення шкідливого програмного забезпечення на пристрої жертви, що ще більше ставить під загрозу її безпеку.
Фішинг, цільовий фішинг і полювання на велику здобич
Хоча фішинг, цільовий фішинг і полювання на велику здобич належать до атак методами соціотехніки, вони суттєво відрізняються підходом, масштабом і цільовою аудиторією.
Фішинг
Фішинг – це найпоширеніша й найменш цілеспрямована форма кібератаки. Під час фішингових атак кіберзлочинці розсилають електронні листи або повідомлення великій кількості одержувачів, зазвичай використовуючи загальні або безособові формулювання. Такі листи часто виглядають так, ніби вони надійшли зі справжніх джерел, наприклад банків, служб електронної пошти або платформ електронної комерції. Зазвичай мета полягає в тому, щоб змусити жертву перейти за посиланням, надати облікові дані для входу або завантажити шкідливе програмне забезпечення. Фішингові атаки спираються на "безадресний" метод у надії, що на шахрайство поведеться невеликий відсоток отримувачів.
Цільовий фішинг
Цільовий фішинг – це більш складна й цілеспрямована форма фішингу. Замість того щоб надсилати загальні повідомлення широкій аудиторії, цільові фішингові атаки персоналізовані – вони націлені на конкретну людину або організацію. Кіберзлочинці збирають докладну інформацію про жертву, наприклад її посаду, особисті інтереси, нещодавні взаємодії та дані про компанію, щоб створити дуже переконливий лист або повідомлення.
Оскільки повідомлення виглядає так, ніби його надіслали з надійного джерела (наприклад, від колеги, керівника або партнера), цільові фішингові атаки часто успішніші за спроби широкого фішингу. Зазвичай мета зловмисника – викрасти облікові дані, фінансову інформацію або отримати доступ до конфіденційних даних.
Полювання на велику здобич
Полювання на велику здобич – це підвид цільового фішингу, який націлений на осіб, які відіграють значну роль у організації, наприклад керівників, генеральних директорів або інших ключових осіб, що ухвалюють рішення. Як і цільовий фішинг, полювання на велику здобич передбачає створення дуже персоналізованих і переконливих повідомлень, але ставки набагато вищі через вплив цілі й можливість отримати доступ до критично важливих бізнес-ресурсів.
Полювання на велику здобич часто зосереджується на цінних цілях із метою викрасти великі суми грошей, конфіденційні бізнес-дані або навіть інтелектуальну власність. Таким атакам зазвичай передує ретельна підготовка. Для них можуть використовуватися складні тактики, наприклад, злочинець може видати себе за надійного колегу, постачальника або представника влади.
Роль ШІ у підвищенні складності атак
Штучний інтелект значно підвищив складність цільових фішингових атак. Системи ШІ здатні аналізувати величезні набори даних, щоб виявляти шаблони, тенденції та вразливості в інфраструктурах кібербезпеки. Зловмисники використовують штучний інтелект, щоб автоматизувати збирання даних і націлюватися на осіб із точністю, якої неможливо було досягти ручними методами.
Крім того, інструменти ШІ можуть допомагати зловмисникам створювати дуже переконливі фішингові листи, імітуючи стиль письма або навіть створюючи дипфейкові відео, що імітують голос чи обличчя жертви. Це робить фішинговий лист ще реалістичнішим, оскільки жертва може повірити, що спілкується з колегою або керівником.
Крім того, ШІ можна використовувати для автоматизації атак методами соціотехніки на різних платформах, наприклад у соціальних мережах, електронній пошті й інструментах для співпраці. Цільові фішингові атаки на основі ШІ можуть безперервно навчатися та адаптуватися, щоб створювати ще більш персоналізовані повідомлення, які складніше відрізнити від справжніх.
Як визначити цільовий фішинг
Цільові фішингові атаки часто на перший погляд виглядають справжніми повідомленнями, але є кілька ознак, які допоможуть вам виявити їх до того, як вони завдадуть шкоди. Крім того, важливо розуміти технічні тактики виявлення, які можуть допомогти захиститися від цих атак і підвищити захищеність від кібератак.
Серед ознак цільового фішингу:
- Підозріла адреса відправника. Одна з перших ознак спроби цільового фішингу – незнайома або підозріла адреса відправника. Зловмисники часто підробляють адреси електронної пошти, щоб вони виглядали як справжні, іноді використовуючи незначні варіації або орфографічні помилки. Наприклад, електронний лист може надійти від support@micosoft.com замість support@microsoft.com, або повідомлення, яке виглядає так, ніби його надіслав ваш генеральний директор, насправді може бути надіслане з трохи зміненого домену. Завжди перевіряйте адресу відправника, особливо якщо лист неочікуваний або містить запит на конфіденційну інформацію.
- Створюється відчуття терміновості. Зловмисники часто використовують формулювання, що створюють терміновість або сильний тиск, щоб спонукати до негайних дій. Поширені фрази, як-от "Необхідні негайні дії", “Безпеку вашого облікового запису порушено" або "Терміновий запит", призначено для того, щоб ви швидко щось зробили, не обміркувавши. Остерігайтеся будь-якого листа, який створює відчуття терміновості, особливо якщо запит здається нехарактерним для відправника або ситуації.
- Несподівані вкладення або посилання.Якщо ви отримали лист із неочікуваним вкладенням або посиланням, особливо від надійного колеги чи організації, будьте обережні. Листи, призначені для цільового фішингу, можуть містити зловмисні вкладення, які після відкриття встановлюють шкідливе програмне забезпечення на ваш пристрій, або посилання, що перенаправляють вас на шахрайські вебсайти. Завжди наводьте вказівник на посилання, щоб перевірити їхнє призначення, перш ніж переходити, і відкривайте вкладення лише з надійних джерел. Якщо ви не впевнені, зв’яжіться з відправником напряму (поза ланцюжком листування), щоб перевірити запит.
- Запити на облікові дані для входу або фінансові операції. Серйозною тривожною ознакою є будь-який лист, у якому просять конфіденційну інформацію, наприклад імена користувачів, паролі або фінансові транзакції. Метою цільових фішингових атак часто є викрасти облікові дані для входу або спонукати жертву переказати кошти. Справжня компанія або колега ніколи не запитуватиме таку інформацію електронною поштою. Якщо ви отримали такий запит, перевірте його автентичність, зв’язавшись із відправником напряму за допомогою іншого способу зв’язку, наприклад телефоном або через захищений канал обміну повідомленнями.
Крім розпізнавання тривожних ознак, можна застосовувати різні технічні заходи, щоб виявляти та блокувати спроби цільового фішингу ще до того, як вони дійдуть до користувачів.
Ось кілька ключових тактик, які використовуються для виявлення цих атак і запобігання ним:
- Антифішингові фільтри. Антифішингові фільтри – це програмні засоби, які служби електронної пошти використовують для виявлення та блокування фішингових листів. Ці фільтри аналізують вхідні електронні листи на наявні шаблони фішингу, такі як підозрілі посилання, адреси електронної пошти й рядки теми. Хоча вони не дають повної гарантії, вони можуть значно зменшити кількість спроб фішингу, які потрапляють до вашої папки "Вхідні". Переконайтеся, що у вашого постачальника електронної пошти ввімкнено захист від фішингу та що його регулярно оновлюють.
- Виявлення аномалій. Системи виявлення аномалій відстежують мережу та зв’язки організації на предмет нетипової поведінки. Наприклад, якщо працівник отримує листа з облікового запису колеги, у якому використано іншу мову або тон, ніж зазвичай, або якщо надходить неочікуваний запит на конфіденційні дані, ці системи можуть визначити таку активність як підозрілу. Використовуючи алгоритми машинного навчання для виявлення відхилень від типових шаблонів зв’язку, система виявлення аномалій може ефективно знаходити спроби цільового фішингу.
- Інструменти обробки природної мови. Обробка природної мови – це галузь ШІ, яка аналізує текст на наявні шаблони, невідповідності й неприродне формулювання. Ці інструменти допомагають виявляти спроби цільового фішингу, аналізуючи мову, яку використовують в електронних листах. Якщо в електронному листі є неприродне формулювання, граматичні помилки або невідповідний тон порівняно з типовим спілкуванням, система може позначити його як можливу фішингову атаку. Ці інструменти допомагають автоматизувати виявлення оманливої мови й забезпечують додатковий рівень захисту від цільового фішингу.
- Протоколи автентифікації електронної пошти (SPF, DKIM, DMARC). Протоколи автентифікації, такі як SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) і DMARC (Domain-based Message Authentication Reporting and Conformance), допомагають перевірити особу відправника. Ці протоколи гарантують, що адреса електронної пошти відправника відповідає домену, з якого надійшло повідомлення, зменшуючи шанси успішної підміни. SPF перевіряє IP-адресу відправника, DKIM перевіряє цілісність електронної пошти, а DMARC координує ці стандарти та звітує про будь-які збої в автентифікації. Організаціям слід впровадити ці протоколи, щоб запобігти атакам цільового фішингу, які покладаються на підроблені адреси відправника.
Стратегії запобігання цільовому фішингу
Запобігання цільовому фішингу потребує багаторівневого підходу, що поєднує навчання працівників, технічні засоби захисту та проактивні заходи безпеки, зокрема керування вразливостями. Надійні практики інформаційної безпеки (InfoSec), зокрема регулярне навчання та розширені засоби виявлення загроз, є необхідними для захисту від атак цільового фішингу та для забезпечення захисту конфіденційних даних від кіберзлочинців.
Підвищення обізнаності працівників і тренування на імітаційних атаках. Один із найефективніших способів запобігти цільовому фішингу – підвищувати обізнаність працівників. Регулярні навчальні заняття можуть допомогти персоналу розпізнавати ознаки фішингу й розуміти, що робити з підозрілими повідомленнями. Це навчання має містити рекомендації щодо перевірки автентичності запитів і заохочувати обережність під час обробки електронних листів із вкладеннями або терміновим формулюванням.
Крім того, вправи з імітації цільового фішингу можуть бути дуже корисними. Імітуючи реальні цільові фішингові атаки, організації можуть перевірити, як працівники реагують на ці загрози, і надати зворотний зв’язок про те, як поліпшити захист. Таке навчання підвищує обізнаність працівників щодо можливих атак.
Багатофакторна автентифікація (БФА). Багатофакторна автентифікація (БФА) – критично важливий рівень захисту від цільового фішингу. Навіть якщо зловмисники успішно викрадуть облікові дані користувача для входу, БФА може запобігти несанкціонованому доступу, вимагаючи додатковий крок перевірки (наприклад, код у текстовому повідомленні, програму автентифікації або біометричне сканування) перед наданням доступу до конфіденційних систем або даних.
Впровадження БФА для всіх облікових записів, особливо для керівників вищого рівня або осіб, які мають доступ до критично важливих систем, значно зменшує ймовірність успішної крадіжки облікових даних, що призводить до порушення вимог безпеки. Ще один варіант – це двофакторна автентифікація (2FA), яка додає додатковий рівень захисту, ускладнюючи зловмисникам несанкціонований доступ до конфіденційних систем, навіть якщо їм вдасться викрасти облікові дані для входу через цільову фішинг-атаку
Розширені рішення для безпеки електронної пошти. Організаціям слід інвестувати в розширені рішення для безпеки електронної пошти, які виходять за межі базових фільтрів спаму. Ці інструменти можуть виявляти та блокувати фішингові електронні листи, аналізуючи вміст, відправника й інші метадані на наявність підозрілих шаблонів. Рішення, які інтегрують машинне навчання й штучний інтелект, можуть виявляти навіть найскладніші спроби цільового фішингу, визначаючи аномалії в поведінці, повʼязаній із електронною поштою, або використанні мови. Відстеження індикаторів порушення (ІП), таких як незвичайні вкладення в електронних листах або підозрілі доменні імена, може допомогти організаціям швидко виявляти спроби цільового фішингу й реагувати на них до того, як вони завдадуть значної шкоди.
Система керування ідентичністю та доступом. Упровадження надійних практик керування ідентичністю та доступом (IAM) може суттєво зменшити ризик цільового фішингу, оскільки лише авторизовані особи матимуть доступ до конфіденційних систем і даних, тим самим обмежуючи вплив потенційних порушень
Крім того, платформи безпеки електронної пошти можуть допомагати з оповіщеннями в реальному часі й надавати адміністраторам практичні відомості, щоб вони мали змогу швидко реагувати на потенційні загрози.
Керування захистом інформації. Інтеграція систем керування захистом інформації (SIEM) може посилити виявлення цільового фішингу, забезпечуючи моніторинг у реальному часі, виявлення підозрілих дій і сповіщення команд безпеки про потенційні загрози до того, як вони загостряться
Аудити безпеки та планування реагування на інциденти. Регулярні аудити безпеки мають вирішальне значення для виявлення вразливостей у системах і процесах вашої організації. Ці аудити можуть виявити ділянки, у яких заходів із запобігання фішингу може бути недостатньо, даючи змогу вжити коригувальних дій до того, як станеться цільова фішингова атака.
Окрім аудитів, вкрай важливо мати надійний план реагування на інциденти. Цей план має описувати кроки, які слід виконати у разі фішингової атаки, зокрема як ізолювати уражені системи, повідомити зацікавлені сторони й відновити уражені дані. Що швидше організація може виявити атаку й відреагувати на неї, то менше шкоди вона завдасть.
Архітектура нульової довіри.Нульова довіра – це сучасна модель кібербезпеки, що працює за принципом "ніколи не довіряй, завжди перевіряй". В архітектурі нульової довіри кожен запит на доступ розглядають як потенційно шкідливий, незалежно від того, надходить він ізсередини мережі чи ззовні. Користувачі та пристрої мають постійно проходити автентифікацію, а доступ надається на основі принципу найменших привілеїв.
Нульова довіра може значно зменшити вплив цільового фішингу: навіть якщо зловмисники отримають доступ до мережі, їхні можливості будуть обмежені. Впровадження нульової довіри може передбачати сегментацію мережі, моніторинг поведінки користувачів і застосування суворих засобів керування доступом, особливо для цінних цілей.
Інформаційна гігієна в соціальних мережах для керівників і цінних цілей. Керівники й важливі особи часто стають основними цілями цільового фішингу, тому що мають доступ до конфіденційної інформації і право ухвалювати рішення. Ключова стратегія для цих осіб – підтримувати сувору інформаційну гігієну в соціальних мережах.
Це передбачає:
- Обмеження поширення персональних даних. Не публікуйте назви посад, відомості про проєкти або плани відпустки, які зловмисники можуть використати для соціальної інженерії.
- Перевірка параметрів конфіденційності. Переконайтеся, що облікові записи в соціальних мережах приватні, а конфіденційну інформацію можуть бачити лише надійні контакти.
- Обережність стосовно підключень. Якщо приймати запити на підключення від невідомих осіб, це може підвищити ризик цільового фішингу, особливо коли зловмисники використовують соціальні мережі для збирання даних під час інформаційної розвідки.
Особи, цінні для зловмисників, також мають розглянути можливість обмежити свою присутність у соціальних мережах, щоб не стати легкою ціллю для зловмисників, які збирають особисті відомості для кампаній цільового фішингу.
Виявляйте цільовий фішинг і запобігайте йому
Microsoft пропонує широкий набір ефективних продуктів і засобів безпеки, щоб допомагати організаціям виявляти й запобігати цільовим фішинговим атакам.
Microsoft Entra ID підсилює захист ідентичності завдяки умовному доступу, політикам на основі ризику та БФА, щоб запобігати зловживанню обліковими даними. У поєднанні з Microsoft Sentinel для централізованого моніторингу й реагування на інциденти забезпечується краща видимість загроз, пов’язаних із фішингом, і швидше усунення наслідків. Використовуючи інтегровані рішення Microsoft для захисту та запобігання фішингу, ви можете побудувати стійкий захист від цільового фішингу й водночас покращити загальну захищеність.
Дізнайтеся більше про Захисний комплекс Microsoft
Запитання й відповіді
Запитання й відповіді
- Цільовий фішинг – це спрямований різновид кібератаки, у межах якої хакери видають себе за довірених людей або організації, щоб обманом змусити певних осіб надати чутливу інформацію. На відміну від звичайного фішингу, який націлений на багатьох людей, цільовий фішинг є персоналізованим для конкретної особи: для нього часто використовуються такі відомості, як посада або особисті інтереси, щоб атака здавалася правдоподібною.
- Фішинг – це широкий, загальний вид атаки, спрямований на багатьох людей, і часто для викрадення даних використовують підроблені електронні листи. Цільовий фішинг має більш точне спрямування, і зловмисники персоналізують електронні листи для конкретних осіб або організацій. Полювання на велику здобич – це вид цільового фішингу, що націлений на важливих осіб, наприклад керівників, і використовується для того, щоб викрасти конфіденційну бізнес-інформацію або спричинити фінансові втрати.
- Прикладом є ситуація, коли зловмисник видає себе за генерального директора й надсилає персоналізований електронний лист працівнику компанії з проханням виконати банківський переказ або надати доступ до конфіденційних файлів. Щоб лист здавався правдоподібним, у ньому може згадуватися поточний проєкт або використовуватися ім’я працівника. Якщо працівник відповідає, зловмисник отримує доступ до коштів або даних компанії.
- Щоб виявити цільовий фішинг, звертайте увагу на підозрілі адреси відправників, неочікувані вкладення або посилання, терміновість чи незвичну мову. а також запити на конфіденційні дані, як-от облікові дані для входу або грошові перекази. Завжди перевіряйте автентичність електронних листів, особливо коли вони здаються нетиповими або вимагають негайних дій.
- Щоб захиститися від цільового фішингу, навчайте працівників розпізнавати фішингові листи, використовуйте багатофакторну автентифікацію (БФА) та впроваджуйте розширені засоби безпеки для електронної пошти. Проводьте регулярні аудити безпеки, впроваджуйте архітектуру нульової довіри й заохочуйте інформаційну гігієну в соціальних мережах, особливо для важливих осіб організації, щоб зменшити ризик атаки.
Підпишіться на новини про Захисний комплекс Microsoft