Атаки на основе электронной почты были основной угрозой для предприятий с тех пор, как электронная почта стала широко использоваться. Хотя изначально это был способ доставки вредоносного ПО для саботажа или порчи корпоративных активов, злоумышленники быстро поняли, что можно получить больше. Когда учетные данные для доступа были в пределах досягаемости, а также данные платежных карт и ценные идентификационные данные, атаки по электронной почте превратились в фишинговые атаки по электронной почте.
Фишинг лучше всего определить как попытку получить доступ к информации или учетным данным от конечных пользователей, выдавая себя за потенциально законный источник электронной почты или звонка. Фишинговая атака электронной почты часто осуществляется путем имитации, спуфинга или захвата домена, чтобы адрес источника электронной почты отображался из законного источника, такого как Microsoft или AWS. Злоумышленник надеется, что пользователь перейдет по ссылке в письме и либо предоставит учетные данные, либо загрузит прикрепленное вредоносное ПО.
Загрузка вредоносного ПО может дать злоумышленнику небольшой плацдарм в сети, который он будет продолжать расширять или разворачивать для перемещения по сети без предварительного уведомления. Оказавшись внутри, злоумышленник может получить конфиденциальную информацию или развернуть что-то гораздо более опасное, например, программу-вымогатель.
Электронный фишинг возвращается
Поскольку фишинг по электронной почте существует уже некоторое время, многие предполагают, что сейчас он представляет меньшую угрозу, чем когда-то. Верно и обратное. Как и все остальное в кибербезопасности, борьба с фишингом электронной почты — это игра в кошки-мышки, где защитники почти всегда реагируют на атакующих. По мере того как команды, инструменты и исследовательские группы по кибербезопасности выявляют шаблоны, помогающие защитить организацию, злоумышленники пытаются обойти эту защиту, придумывая новые методы атак.
В последние годы наблюдается всплеск фишинговых атак. Многие инструменты, в том числе G-suite и O365, предлагают ресурсы, помогающие снизить риск фишинговой атаки. Эти инструменты отлично подходят для обнаружения низкотехнологичных массовых фишинговых кампаний с помощью машинного обучения и стадных знаний, но они не являются пуленепробиваемыми. Злоумышленники стали более изощренными, с методами, которые могут избежать первоначального обнаружения с помощью этих инструментов, оставляя сотрудников на передовой, чтобы защитить предприятие. Единственный реальный способ для организаций защитить себя — убедиться, что конечные пользователи полностью информированы и уделяют пристальное внимание каждому входящему электронному письму.
Понимание воздействия
По мере того, как организации улучшали состояние безопасности и возможности предотвращения, доступ злоумышленников становился все труднее. Из-за этого злоумышленники вернулись к использованию фишинга в качестве основного способа проникновения в организации.
Согласно исследованию фишинга Ponemon 2021, средняя стоимость фишинга для организаций увеличилась почти в 5 раз с 2015 года. Кроме того, за то же время удвоилась потеря производительности для сотрудников. Потеря производительности может быть вызвана блокировкой учетных данных, необходимостью повторного создания образов систем или невозможностью работы пользователей во время расследования.
Поскольку самые большие затраты связаны с работой, необходимой для восстановления и повторного развертывания активов затронутых пользователей, затраты возрастают по мере того, как сотрудники переходят на более удаленные позиции.
Когда осведомленности о безопасности недостаточно
Для борьбы с фишингом по электронной почте многие компании проводят обучение по вопросам безопасности, которое помогает сотрудникам обнаруживать и избегать распространенных атак. Но доказательства его эффективности неоднозначны. Опросы показывают, что многие сотрудники не уделяют должного внимания тренингам по безопасности. Кроме того, длительные сеансы могут вызвать разочарование и негативные ассоциации с методами, необходимыми для обеспечения безопасности.
Исследования показали, что тренировки должны быть короткими и регулярными, чтобы быть эффективными. Поскольку фишинговые атаки быстро совершенствуются, сотрудники должны практиковаться в обнаружении самых современных видов мошенничества. Но даже несмотря на то, что это известно, многим организациям не хватает стимула или бюджета для инвестирования в обучение высокого уровня осведомленности, необходимое для снижения их общего риска.
Лучшая защита
Проблема фишинга электронной почты не исчезает. Как частные лица и компании могут защитить себя от фишинговых атак? Далеко не простое решение, лучшая защита — это комплексный подход.
Для начала предприятиям необходимо внедрить инструменты, помогающие обнаруживать и устранять фишинговые атаки, легко идентифицируемые из почтовых ящиков. Этот метод эффективен, поскольку снижает вероятность человеческой ошибки. Даже если отсутствует обучение безопасности, организация может пережить атаку, если она никогда не попадет в почтовый ящик сотрудника.
Следующим шагом является реализация надежной программы обучения и обучения сотрудников тому, как выявлять фишинговые атаки и сообщать о них. Последнее имеет решающее значение и легко упускается из виду. Наличие активного цикла обратной связи, позволяющего организации анализировать неудачные попытки фишинга, может помочь ИТ-специалистам защитить сеть от подобных атак в будущем. Обучение сотрудников безопасности должно включать презентации и практические занятия посредством моделирования.
Организации должны объяснить, что симуляция обучения фишингу предназначена не для того, чтобы поймать человека, а чтобы помочь ему понять, как идентифицировать фишинг, и продолжать оттачивать свои навыки безопасности. Наконец, организация должна рассмотреть возможность внедрения дополнительных инструментов и протоколов реагирования, которые включают мониторинг активности пользователей.
Что дальше для фишинга?
По мере того, как организации совершенствуют инструменты, возможности предотвращения и обнаружения, мы будем продолжать наблюдать развитие злоумышленников. Мы ожидаем увидеть больше низкотехнологичных фишинговых кампаний от организаций, которые надеются ускользнуть от обнаружения и поймать хотя бы одного человека.
Однако более вероятно, что злоумышленники обратятся к новой волне тактики и технологий. Эта эволюция происходит сейчас. Все больше и больше фишинговых атак осуществляется с помощью текстовых SMS (Smishing) для обхода корпоративного контроля. Согласно совету по кибербезопасности Сеть гарантирована, мы также увидим более широкое использование аналитики с открытым исходным кодом для имитации доверенных поставщиков или даже для компрометации поставщика, чтобы позволить проводить атаки на его клиентов.
Независимо от текущей тенденции атак, можно предположить, что фишинг останется одним из крупнейших первоначальных векторов компрометации для злоумышленников.
