Фишинг – одна из самых популярных и распространенных форм атак социальной инженерии. Будучи кибератакой, направленной на использование человеческого интеллекта, фишинг в прошлом успешно атаковал несколько малых и крупных компаний. По данным исследования, в 2020 году более 80 % организаций пережили хотя бы одну успешную попытку фишинговой атаки. Более того, в отчете Phishing Activity Trends Report говорится о том, что в период с 2019 по 2022 год число фишинговых атак значительно выросло – на 150 %, и в 2022 году будет зарегистрировано рекордное число атак – 4,7 миллиона. Хотя фишинг – это широкая категория кибератак, под которую попадают и другие типы фишинговых атак: вишинг, фишинг электронной почты, целевой фишинг, фишинг клонов и другие. Среди них целевой фишинг – одна из самых распространенных и сложных кибератак, являющаяся началом или отправной точкой для более чем 91 % кибератак. Но чем фишинг и spear phishing отличаются друг от друга? Какие ключевые элементы отличают эти две кибератаки и как вы можете уберечь свою организацию от них? В этой статье мы подробно рассмотрим фишинг и целевой фишинг, а также ключевые особенности, которые отличают эти фишинговые атаки друг от друга. Поехали!
Что такое фишинг?
Фишинговая атака – это вид кибератаки, в ходе которой мошенники распространяют мошеннические сообщения по электронной почте, направленные на случайных людей, по различным каналам и средствам, таким как текстовые сообщения (smishing), электронные письма (email phishing) или телефонные звонки (vishing). Злоумышленники массово и в больших объемах рассылают фишинговые письма, чтобы получить конфиденциальную информацию о пользователях и деталях бизнеса, надеясь, что из тысяч попыток фишинга хотя бы одна или несколько окажутся успешными. Современные фишинговые злоумышленники широко и грамотно разрабатывают такие письма и сообщения, выдавая их за легитимные из авторитетных источников, таких как компании или банки. Хакеры рассылают такие письма пользователям в произвольном порядке, обманывая и манипулируя ими, чтобы заставить их перейти по вредоносным ссылкам или документам, содержащимся в письме, или выполнить определенные действия, которые провоцируют дальнейшие атаки. В ходе фишинговой атаки злоумышленники чаще всего используют тон голоса, вызывающий чувство страха у получателей и заставляющий их загружать зараженные документы или переходить по вредоносным ссылкам, что ставит под угрозу их личную информацию, например банковские реквизиты или учетные данные для входа в систему. Таким образом, как следует из названия, фишинг относится к случайным и широким кибератакам на электронную почту, которые используют невинных пользователей или получателей электронной почты для компрометации конфиденциальных данных и информации.
Однако под понятие “фишинг” попадают различные кибератаки, в зависимости от средства или тактики. Различные механизмы фишинговых атак включают в себя:
- Смишинг: Также известный как SMS-фишинг, смишинг – это атака, осуществляемая через SMS или текстовые сообщения с целью заражения телефона или мобильного устройства пользователя вредоносным ПО.
- Вишинг: Вишинг – это фишинговая кибератака, осуществляемая через телефонные звонки или загруженные интернет-протоколы, такие как VoIP или Voice Over Internet Protocol.
- Фишинг всплывающих окон: эта атака осуществляется путем инициирования на экране пользователя срочных всплывающих окон или сообщений в виде всплывающих окон о безопасности устройства.
- Фишинг факса: в ходе этой фишинговой атаки злоумышленник отправляет пользователю фишинговое письмо с сообщением о том, что он получил факс во вложении к письму. Обычно пользователи попадают на поддельные или подложные веб-сайты, где им предлагается ввести свои учетные данные для входа в систему.
- Фишинг банковских переводов: эта атака включает в себя банковские переводы для совершения мошеннических действий.
Итак, если это различные типы фишинговых атак, давайте разберемся, что такое spear phishing и чем он отличается от вышеперечисленных.
Что такое Spear Phishing?
Spear phishing – это более продвинутая и сложная форма фишинговой атаки, которая направлена на конкретных или целевых людей, организации или жертв, в отличие от фишинговых атак, направленных на широкие массы людей. Как правило, фишинговые атаки не направлены на группу людей, а на конкретное предприятие или организацию с использованием тактики социальной инженерии, например поддельных электронных писем. При spear phishing злоумышленники часто выдают себя за сотрудников, коллег или деловых знакомых организации, чтобы скомпрометировать ее конфиденциальную информацию. При этом целью может быть не только кража личных данных человека, но и взлом сервера компании для выполнения целенаправленной вредоносной деятельности. Киберпреступники часто используют методы социальной инженерии, такие как поддельные электронные письма, отправляя жертвам персонализированные письма, собирая личные данные, такие как имя и компания, через их профили в социальных сетях, чтобы поддельные письма выглядели более подлинными, легитимными и правдоподобными. Это помогает злоумышленникам завоевать доверие жертв, увеличивая вероятность того, что получатели писем совершат желаемое действие. Помимо подмены электронной почты, злоумышленники могут использовать динамические URL и drive-by-downloads, чтобы нарушить меры безопасности компании и осуществить фишинговую атаку. Киберпреступники часто используют два типа атак при проведении spear phishing:
- Китобойный промысел: Эта фишинговая атака направлена в основном на руководителей высшего звена, обладающих властью или полномочиями для доступа к конфиденциальной информации компании. Нападение на таких людей позволяет злоумышленникам получить доступ к конфиденциальным данным, инициировать перевод средств или осуществить утечку данных.
- Мошенничество генерального директора: В то время как атаки “китов” направлены на старших сотрудников, фишинговые атаки “мошенничество CEO ” в основном направлены на младших сотрудников, выдавая себя за руководителей высшего звена, например за генерального директора компании; злоумышленники могут легко убедить младших сотрудников в необходимости несанкционированных действий или оказать на них давление. Эта атака также называется атакой Business Email Compromise (BEC).
Теперь, когда мы поняли основное определение и идею фишинга и spear phishing, давайте разберемся в деталях, чтобы понять, чем эти две атаки отличаются друг от друга по ключевым факторам.
Фишинг против целевого фишинга: Краткий обзор
| Факторы | Фишинг | Целевой фишинг |
|---|---|---|
| Стиль атаки | Масштабные атаки, направленные на более широкую и случайную группу людей. | Атакует конкретную организацию или человека с помощью тактики социальной инженерии. |
| Уровень персонализации | Встречается часто и отнимает меньше времени. | Очень персонализированный, поскольку злоумышленник проводит глубокое исследование своей жертвы, включая имя, организацию, профиль работы и т. д. |
| Уровень срочности | Использует убедительные и срочные формулировки, чтобы заставить жертву принять немедленные меры, не раздумывая. | Содержит минимальный элемент срочности или не содержит его вовсе, так как в первую очередь стремится завоевать доверие жертвы, прежде чем заставить ее выполнить желаемое действие. |
| Основная цель | Чтобы скомпрометировать конфиденциальные данные жертвы, например учетные данные для входа в систему, и получить к ним доступ. | Хотя при целевом фишинге также можно попытаться получить доступ к таким данным, как реквизиты кредитной карты или логин, конечная цель может быть гораздо выше, например, выведать коммерческие секреты компании и т. д. |
| Частота | Банки рассылают обычные письма с просьбой обновить пароль. | Встречается не так часто, поскольку требует много времени, усилий и исследований. |
| Уровень усилий | Низкий, так как сообщения довольно общие и шаблонные. | Высокий, поскольку сообщения составляются тщательно, с повышенной персонализацией. |
| Тональность содержания сообщения | Общие и формальные (иногда незнакомые жертве). | Знакомые и персонализированные, часто включающие в поздравления имя жертвы. |
| Примеры | Банки рассылают обычные электронные письма с просьбой обновить пароль. | Высокий или высокопоставленный сотрудник, запрашивающий перевод денег на проект. |
| Профилактические меры | Фильтрация электронной почты и обучение основам кибербезопасности. | Усовершенствованные брандмауэры, фильтрация электронной почты и постоянное повышение осведомленности о кибербезопасности с помощью симуляторов фишинга. |
Фишинг и целевой фишинг: особенности объяснены
Хотя фишинг и spear phishing могут иметь схожие характеристики, они отличаются друг от друга по основной цели, тактике или методологии атаки, мерам безопасности, принимаемым для защиты, и другим факторам. Давайте рассмотрим каждую из них по отдельности.
Векторы атаки
Стандартные фишинговые атаки охватывают более широкий круг людей с помощью атак социальной инженерии, таких как массовые электронные письма, вредоносные веб-сайты или SMS-сообщения. Таким образом, они часто пытаются нацелиться на широкую группу людей, используя несколько векторов атаки или тактик, пытаясь охватить большое количество потенциальных жертв. С другой стороны, целевой фишинг гораздо более целенаправлен, конкретны и персонализированы, они направлены на определенную организацию или группу лиц. Хотя в качестве вектора атаки в spear phishing часто используются поддельные электронные письма, для нападения на конкретных людей могут также использоваться социальные сети, телефонные звонки или личные встречи.
Тактика обмана
Фишинговые атаки используют и рассылают типовые и плохо написанные электронные письма или сообщения в массовом порядке, выдавая себя за законные организации или службы. Они используют тактику запугивания или создают в сообщениях ощущение срочности, обманывая жертв, чтобы те предоставили свои конфиденциальные данные, например учетные данные для входа в систему или реквизиты банковского счета. Таким образом, злоумышленники часто используют типовые шаблоны писем для обмана пользователей и применяют тактику страха, используя вредоносные ссылки, поддельные веб-сайты и вложения, вызывающие вредоносное ПО, чтобы заставить жертву выполнить желаемое действие для обеспечения безопасности устройства или учетной записи. В то время как фишинг использует общие тактики обмана, spear phishing применяет убедительные и очень персонализированные тактики, проводя тщательное исследование своих жертв для составления персонализированных и правдоподобных сообщений. Они содержат конкретные сведения о жертве, такие как ее имя, компания, должность и т. д., имитируя стиль и интонацию законного делового письма, что придает им более законный вид и отличает их от обычных фишинговых писем.
Таргетинг
В ходе фишинговых атак злоумышленники атакуют сразу несколько человек, используя типовые электронные письма, что делает их более широкой и оппортунистической целью. Таким образом, фишинговые атаки рассылают письма в массовом порядке, а не нацеливаются на конкретных людей или организации, надеясь, что хотя бы несколько процентов жертв попадутся на их обманную тактику. Напротив, в spear phishing используется целенаправленная социальная инженерия, а не простое везение. Злоумышленники очень четко, целенаправленно и точно определяют своих жертв и рассылают персонализированные электронные письма избранным лицам с высоты птичьего полета. Они выбирают или сосредотачиваются на высокопоставленных руководителях или старших сотрудниках, которых они хотят скомпрометировать, чтобы получить доступ к конфиденциальным бизнес-данным организации. Чем выше уровень руководителя, на которого они нацеливаются, тем больше потенциальный эффект от их компрометации. Таким образом, в фишинговой атаке жертва может рассматриваться как средство достижения цели, которая заключается в компрометации самой целевой организации.
Цели
Основная цель фишинговых атак – собрать большой объем конфиденциальной и чувствительной информации, ориентируясь на широкий круг людей. Эта информация может включать номера кредитных карт, логины, пароли от банковских счетов или другие личные данные как можно большего числа людей. С другой стороны, цель фишинговых атак более целенаправленна и может сильно варьироваться в зависимости от конечной цели злоумышленника – как он хочет скомпрометировать конкретный бизнес или организацию. Цели Spear phishing могут включать в себя получение доступа к определенным бизнес-аккаунтам, утечку конфиденциальной информации, кражу собственных активов или данных, организацию внутренних кибератак в организации или целенаправленный корпоративный шпионаж.
Проблемы обнаружения
Организации могут обнаруживать фишинговые атаки с помощью черных списков доменов, фильтрации электронной почты, брандмауэров и антивирусного программного обеспечения. Однако обнаружение нескольких фишинговых писем может стать сложной задачей с развитием сложных атак социальной инженерии, которые манипулируют человеческим интеллектом и тактикой, например, выдают себя за авторитетных людей, используют HTTPS на поддельных сайтах, обфускацию URL, фарминг и многое другое. В то же время, по сравнению с фишинговыми атаками, обнаружение целевого фишинга может стать еще более сложной задачей, поскольку они разрабатываются более индивидуально. Поэтому традиционные меры безопасности, такие как брандмауэры, часто не могут их обнаружить. Таким образом, обнаружение целевого фишинга в значительной степени зависит от образованности и осведомленности пользователей, а также от острого глаза или способности замечать тонкие, обманчивые признаки в электронных письмах.
Меры профилактики
Сотрудники и организации могут предотвратить фишинговые атаки, используя брандмауэры, антивирусное программное обеспечение, фильтрацию электронной почты и веб-страниц, регулярно обновляя пароли, устанавливая патчи безопасности и т. д. Также очень важно распространять информацию о кибербезопасности и проводить обучение сотрудников, чтобы они были бдительны и легко распознавали попытки фишинга. Предотвращение спир-фишинга предполагает многоуровневый подход и требует сочетания надежных решений для защиты электронной почты и обучения пользователей. К ним можно отнести строгий контроль доступа, двухфакторную аутентификацию (2FA ), обучение и информирование сотрудников, надежные решения для защиты электронной почты, выявляющие подозрительные почтовые шаблоны, и аналитику угроз.
Примеры из реальной жизни
Поддельные и вредоносные письма, выдающие себя за известные организации и банки, такие как PayPal, или профили социальных сетей, являются распространенными примерами фишинговых атак.
- В сентябре 2020 года медицинская организация Spectrum Health System сообщила о вишинговой атаке, в ходе которой пациентам и членам организации звонили люди, маскирующиеся под сотрудников, чтобы выведать их личные данные, включая идентификатор члена и другие сведения, связанные с их учетными записями. Злоумышленники использовали угрозы и лесть, чтобы заставить жертв передать желаемые данные, доступ к личным устройствам или деньги.
- Еще один реальный пример фишинговой атаки – сообщение компании Tripwire о смишинг-атаке в сентябре 2020 года. Злоумышленник отправлял жертвам SMS-сообщения, замаскированные под почтовое отделение США (USPS). В сообщении жертвам предлагалось перейти по ссылке для просмотра важных деталей о предстоящей доставке USPS, которая направляла их на поддельные сайты для кражи учетных данных аккаунта Google.
Вот два реальных примера фишинговых кампаний.
- Один из самых известных реальных случаев фишинговой атаки – когда Google и Facebook были обманом вынуждены заплатить 122 миллиона долларов в период с 2013 по 2015 год в результате расширенной кампании фишинговой атаки BEC. Злоумышленник выдавал себя за Quanta, общего поставщика для обеих компаний, и рассылал электронные письма с поддельными счетами, которые Google и Facebook оплачивали. Однако впоследствии компании смогли вернуть 49,7 миллиона долларов из похищенной суммы.
- Другой пример фишинговой атаки – потеря 19,2 млн евро компанией Pathe, ведущей киногруппой Франции, из-за мошенничества генерального директора. Злоумышленник отправил несколько электронных писем, выдавая себя за генерального директора Марка Лакана, с просьбой к голландскому офису перевести сумму в четырех ранчо на счет Towering Stars General Trading LLC в Дубае.
Показатель успешности
Хотя процент успеха фишинговых атак сильно варьируется, он сравнительно ниже, чем у атак с использованием копья, поскольку они являются общими и менее целенаправленными. Кроме того, успех фишинговой атаки в первую очередь зависит от качества и обманных тактик, используемых в сообщениях, осведомленности жертвы в области кибербезопасности и способности обнаружить поддельное сообщение. С другой стороны, фишинговые атаки с помощью копья имеют более высокий процент успеха благодаря своей убедительности и персонализированности. Получатели электронной почты с большей вероятностью доверяют поддельным письмам и поддаются на попытки фишинга с помощью копья, поскольку они выглядят более правдоподобно и содержат релевантную и конкретную информацию.
Способы защиты от фишинга и колючего фишинга
Опасность и потенциальное воздействие фишинговых атак и целевого фишинга более серьезны, реальны и очень сложны, что обходится организациям в миллионы долларов. Поэтому очень важно принять превентивные меры, чтобы остановить или хотя бы ограничить риски этих фишинговых атак. Вот несколько способов, с помощью которых вы можете защитить себя и свою организацию, чтобы не стать жертвой сложных фишинговых атак и атак типа spear phishing.
- Зашифруйте конфиденциальные данные и информацию на вашем компьютере и мобильных устройствах с помощью шифрования данных, чтобы злоумышленники не смогли получить доступ к ним без правильного пароля.
- Поддельные фишинговые письма – основной способ кражи учетных данных злоумышленниками. Поэтому проверяйте подлинность своего адреса электронной почты с помощью таких методов, как настройка SPF, DMARC и DKIM.
- Используйте многофакторную аутентификацию (MFA) для защиты доступа к конфиденциальным бизнес-аккаунтам, даже если ваши учетные данные или пароли будут скомпрометированы. Благодаря MFA злоумышленникам будет еще сложнее взломать ваши учетные записи.
- Установите последние исправления безопасности, защиту от вредоносных программ, антивирусное и антиспамовое программное обеспечение, чтобы все ваше внутреннее программное обеспечение, приложения, операционные системы и сетевые инструменты были обновлены и защищены.
- Обучайте своих сотрудников и распространяйте информацию о кибербезопасности, рассказывая о негативном влиянии и последствиях фишинговых атак, механизмах обнаружения и способах их предотвращения, а также поощряйте следование лучшим практикам для ограничения рисков.
- Регулярно проводите тренинги по кибербезопасности и моделированию фишинга, чтобы сотрудники были в курсе последних тенденций и угроз кибербезопасности и проверяли свою способность выявлять и сообщать о мошеннических и вредоносных сообщениях.
Таким образом, создание культуры организации, ориентированной на кибербезопасность, и внедрение лучших процедур и практик может существенно помочь снизить потенциальное воздействие фишинговых атак и атак целевого фишинга.
Заключительные слова
Фишинговые и целевой фишинг атаки – неизбежная и суровая реальность современного цифрового мира. Сегодня киберпреступники используют изощренные тактики для компрометации людей и организаций, что приводит к огромному финансовому и репутационному ущербу. Хотя обе атаки могут нанести урон авторитету организации, их можно предотвратить, если следить за последними тенденциями в области кибербезопасности и применять лучшие методы защиты – и начать с понимания и изучения самих атак. Эта статья поможет вам понять разницу между фишингом и spear phishing, а также то, как они различаются по основной задаче, цели, воздействию, степени успешности, тактике, векторам атак и методам предотвращения. Поэтому следуйте лучшим практикам безопасности, о которых говорилось выше, чтобы не стать жертвой вредоносных фишинговых кампаний и spear phishing.
