Практически каждый сотрудник крупной компании время от времени сталкивается с письмом, в котором у него пытаются выудить корпоративные учетные данные. Чаще всего это так называемый массовый фишинг — атака, во время которой письма рассылаются наобум, в надежде, что хоть какой-то процент получателей попадется на удочку. Но изредка среди потока фишинговых посланий попадаются и более опасные, целевые письма, содержимое которых адаптировано под сотрудников конкретных компаний.
Наличие в почтовом ящике таргетированного фишингового письма — признак того, что злоумышленники интересуются вашей компанией. И не факт, что фишинг — единственный метод, которым они решили воспользоваться. Сотрудникам, отвечающим за информационную безопасность, необходимо знать о факте получения такого письма, чтобы своевременно подготовить контрмеры и предупредить персонал.
Поэтому мы считаем, что корпоративным безопасникам время от времени имеет смысл просматривать отфильтрованный фишинг в поисках целевых писем, да и прочим сотрудникам полезно знать признаки целевого фишинга (на случай, если они все-таки столкнутся с письмом подобного рода). Ниже приводим несколько наиболее распространенных уловок с примерами из свежепойманных атак.
Искаженное название компании
Человеческий мозг далеко не всегда воспринимает написанное слово целиком — он видит знакомое начало и достраивает слово самостоятельно. Злоумышленники часто пытаются воспользоваться этой особенностью и регистрируют домен, отличающийся от настоящего сайта вашей фирмы всего на одну-две буквы.
Поскольку домен принадлежит атакующим, они могут корректно настроить даже DKIM-подпись, так что письмо будет успешно проходить проверку.
Добавление слов к названию компании
Еще один способ создать у получателя впечатление, что ему пишет коллега, — зарегистрировать домен из двух слов. Например, для имитации отправителя из какого-нибудь регионального отделения или определенного отдела. В последнем случае преступники чаще всего пытаются выдать себя за сотрудников техподдержки или службы безопасности.
В реальности сотрудники других отделов должны иметь стандартный корпоративный адрес. Никто не заводит отдельный домен для безопасников. С локальными офисами возможны варианты, так что если вы не знаете точно, то лучше проверить существование отдельного локального домена в корпоративной адресной книге.
Конкретика в теле письма
Если в фишинговом письме упоминается конкретно ваша компания, а тем более — к получателю обращаются по имени, то это однозначно признак целевого фишинга и повод бить тревогу.
Письмо на узкоспециализированную тематику
Строго говоря, это не всегда признак именно целевого фишинга — это может быть и вариация массового. Иногда злоумышленники добывают какую-то тематическую базу адресов (например, участников конференции) и стараются сыграть на тематике этой конференции. Однако бывает, что они пытаются аналогичным образом атаковать именно сотрудников конкретной компании, так что довести этот случай до сотрудников ИБ будет нелишне.
Ну а чтобы спокойно изучать пришедшие послания, не опасаясь за реальную безопасность компании, мы рекомендуем устанавливать защитные антифишинговые решения как на уровне почтового сервера, так и на рабочих станциях сотрудников.