Несмотря на регулярную борьбу с фишинговыми атаками, их количество продолжает расти, а сами атаки становятся все более сложными и изощренными. В этом исследовании мы проанализировали методы распространения фишинговых атак, рассмотрели, какие темы используют злоумышленники, какие инструменты для фишинга популярны на рынке киберпреступности. На основании тенденций 2024 года мы сделали прогнозы о том, какими будут фишинговые атаки в 2025 году, и дали основные рекомендации для защиты от них.
В статье мы использовали информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, данных экспертного центра безопасности PT Expert Security Center (PT ESC) и Threat Intelligence (PT ESC TI), результатах расследований, а также на данных авторитетных источников. Также для исследования использовались данные, полученные с помощью сервиса для оценки защищенности электронной почты PT Knockin и песочницы PT Sandbox.
Этой статьёй мы хотели бы обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также выявить основные тенденции в изменении ландшафта киберугроз.
Для удобства навигации по статье
Почему фишинг все еще эффективен
Границы между целевым и массовым фишингом стираются
Искусственный интеллект повсюду
Использование скомпрометированных аккаунтов в фишинговых атаках
Злоумышленники в мессенджерах, социальных сетях и корпоративных платформах
Заражение ВПО через проекты с открытым исходным кодом
Использование мер безопасности во вредоносных целях
Архивы и статические веб-страницы как самые популярные типы вложений
Применение доверенных сервисов в фишинговых атаках
Интересы фишеров направлены на кражу информации и длительную разведку
Почему фишинг всё еще эффективен
Все чаще в атаках на организации злоумышленники стремятся прибегать не к технически сложным методам, а к эксплуатации человеческого фактора. Для этого они используют социальную инженерию — различные методы психологического воздействия, побуждающие жертву совершить небезопасные действия. Согласно отчету Verizon, 68% атак связаны с человеческим фактором, а время, за которое жертва попадается на фишинг, составляет менее 60 секунд.
Казалось бы, цифровая грамотность населения растет, а технологий защиты развиваются, но люди по‑прежнему становятся жертвами такого рода атак. Ведь злоумышленники используют различные психологические манипуляции, а также эксплуатируют личностные качества. Например, в научной статье, опубликованной в 2023 году, был сделан вывод о том, что восприимчивость к фишингу можно предсказать по следующим факторам:
уровню экстраверсии,
импульсивности,
возрасту,
скорости реакции,
а также уровням сознательности и открытости опыту.
Даже зная, что перед нами может находиться фишинговое письмо, мы не всегда можем его опознать. В результате одного из исследований фишинга, никто из участников не справился с поставленной задачей на 100%, а средний процент верных ответов составил 68%.
И чем реже жертва сталкивается с такого рода атаками, тем выше вероятность на них попасться. В подтверждение этой гипотезы американские исследователи провели эксперимент, в котором участникам попадались письма с вредоносными вложениями с разной вероятностью: 1%, 5% и 20%. Это исследование опирается на известный в психологии эффект распространенности, который заключается в том, что люди склонны пропускать или не замечать сигналы, встречающиеся реже, по сравнению с теми, которые появляются чаще.
В общем, фишинг — это угроза, с которой нам неизбежно придется иметь дело. Но это не означает, что борьба с ним бессмысленна: можно значительно снизить риски такого рода атак.
Ландшафт фишинговых кибератак
В 2024 году половина всех успешных атак на организации (50%) была проведена с применением социальной инженерии. При этом количество инцидентов с ее использованием растет: в 2024 году наблюдался рост на 33% по сравнению с 2023 годом и на 72% по сравнению с 2022-м. Одной из техник социальной инженерии является фишинг — вид кибератак, в ходе которого злоумышленники используют различные каналы связи для кражи конфиденциальной информации или заражения жертвы вредоносным ПО. Согласно итогам проектов по расследованию инцидентов, фишинг является вторым по популярности вектором проникновения в корпоративную инфраструктуру.
Жертвами фишинговых атак становятся компании самых разных масштабов и отраслей. Но самыми востребованными у злоумышленников в 2024 году были государственные учреждения (15%), промышленные предприятия (10%) и ИТ‑компании (9%).
Последние несколько лет государственные учреждения пользуются популярностью у злоумышленников. В условиях роста темпа цифровизации объем хранимых и обрабатываемых данных и сложности систем госорганизаций постоянно увеличиваются, что делает их особо уязвимыми. При этом кибератаки становятся частью геополитического противостояния. Они нацелены не просто на кражу данных, а на дестабилизацию социальных и экономических структур, на подрыв репутации государственных органов.
Промышленный сектор (занимающий вторую строчку среди категорий жертв) имеет ключевую роль в развитии стран не только с точки зрения финансов, но и в части государственных интересов и ценной информации, такой как разработки и ноу‑хау.
💼 Злоумышленники Librarian Ghouls ведут промышленный шпионаж за российскими компаниями, нацеливаясь на файлы, связанные с программами для моделирования и разработки промышленных систем. В ходе атаки преступники рассылают вредоносные архивы с файлами формата SCR, маскирующимися под офисные документы; при их запуске загружается дополнительная вредоносная нагрузка, позволяющая украсть конфиденциальную информацию.
Замыкают тройку лидеров по количеству фишинговых атак ИТ‑компании (9%) — эта тенденция характеризует весь 2024 год и продолжится в 2025-м. Эта отрасль является стратегически важной для злоумышленников: помимо финансовой выгоды, она является трамплином для взлома других организаций — атак на цепочку поставок или атак через доверительные отношения, — поскольку дает доступ к важным ресурсам, исходному коду, конфигурациям и системам автоматизации.
💼 Одним из ярких примеров 2024 года стала фишинговая атака на разработчиков расширений Chrome, в ходе которой вредоносный код был внедрен как минимум в 36 расширений и затронул не менее 2,6 млн человек. Вредоносное расширение крадет данные учетных записей в популярной соцсети, в том числе рекламных и бизнес‑аккаунтов. Сообщается, что бизнес‑аккаунт может быть использован злоумышленниками в широком спектре вредоносных действий: для прямых платежей с кредитных счетов жертв, проведения фишинговых кампаний от лица аккаунта на платформе и для продажи доступа третьим лицам.
Фишинговые атаки на организации могут привести к целому ряду серьезных последствий, затрагивающих различные аспекты их деятельности.
Более чем в половине (63%) фишинговых атак на организации в 2024 году была украдена конфиденциальная информация.
💼 В инциденте с медицинской компанией Ascension в руки злоумышленников попали данные около 5,6 млн человек. Украденные данные включали в себя медицинскую, платежную, страховую и другую личную информацию.
Кроме того, фишинговые атаки приводили к нарушению деятельности организаций (28%).
💼 В октябре 2024 года от сбоя в работе ИТ‑систем пострадала компания Casio, в результате чего на неделю задержала поставки продукции, а некоторые ее сервисы временно перестали работать. В качестве вектора первоначального доступа злоумышленники использовали фишинговые письма с вредоносными вложениями.
Несмотря на то, что прямые денежные потери составляют небольшую часть (5%) последствий, их размеры являются весьма существенными.
💼 Фишинговая атака вымогателей на округ Вашингтон привела к резкой остановке работы округа и суда. Как сообщается, понесены и серьезные финансовые потери — преступники получили выкуп в размере 350 000 долларов.
Можно отметить и происшествия, связанные исключительно с денежными потерями. Они относились в основном к BEC‑атакам (Business Email Compromise, компрометация корпоративной электронной почты): например, европейская розничная сеть Pepco от подобной атаки понесла ущерб в размере 15 млн евро, а промышленная компания Orion — 60 млн долларов.
Тенденции в фишинговых атаках
В этой главе подробнее рассмотрим, какие бывают фишинговые атаки и чего ждать от фишеров в будущем.
Границы между целевым и массовым фишингом стираются
Фишинговые атаки можно разделить на две большие категории:
🔹 целевые
🔹 массовые
Целевые направлены на конкретную группу лиц; такой фишинг персонализирован и более проработан. Он требует от атакующих больше времени и вложений, но и вероятность успеха такого подхода гораздо выше. Один из любимых методов APT‑группировок.
💼 Исследователями была обнаружена кампания, в которой группировка Kimsuky мимикрировала под южнокорейского государственного чиновника. Для этого злоумышленники создали поддельные аккаунты в соцсети, чтобы устанавливать контакт с экспертами по правам человека и безопасности Северной Кореи. После этого они распространяли вредоносные ссылки и документы.
К целевому фишингу также относят и компрометацию корпоративной электронной почты. В рамках такой кибератаки злоумышленник выдает себя за заслуживающее доверия лицо и вынуждает жертву отправить ему деньги или доверить конфиденциальную корпоративную информацию. Расцвет этого вида фишинга произошел благодаря распространению удаленной работы и цифровой коммуникации, в особенности по электронной почте. BEC является прибыльным для злоумышленников: как сообщает рабочая группа по борьбе с фишингом (Anti‑Phishing Working Group), в первом квартале 2024 года средняя запрашиваемая сумма в атаках на банковские переводы BEC составила 84 059 долларов, во втором квартале она увеличилась до 89 520 долларов.
И всё‑таки основную часть атак представляет собой массовый фишинг: атакующие рассылают письма большому количеству людей, надеясь, что хотя бы небольшой процент получателей совершит требуемое действие. В таких атаках злоумышленники часто мимикрируют под известные бренды.
В четвертом квартале 2024 года в атаках чаще всего имитировали Microsoft, Apple и Google. Например, исследователями было обнаружено более 5000 поддельных уведомлений Microsoft, выглядящих правдоподобно: в них нет грамматических ошибок, стиль письма и качественная верстка похожи на настоящие.
Такая правдоподобность в последнее время все чаще встречается в массовом фишинге.
🔮 Использование элементов целевого фишинга в массовых атаках в 2025 году продолжит набирать обороты, и грань между массовым и целевым фишингом будет все больше стираться: таких сообщений не только станет больше, но и содержание их будет становиться более убедительным.
Искусственный интеллект повсюду
Социальная инженерия — самая развитая область применения ИИ в кибератаках. С ее помощью злоумышленники могут не только генерировать фишинговый контент, но и делать атаки более персонализированными. Для этого атакующие будут использовать инструменты OSINT с модулем ИИ.
🔮 Хакеры будут более активно использовать чат‑ботов в фишинговых атаках.
💼 На примере использования LLM Mistral AI исследователи из F‑Secure продемонстрировали, как при помощи чат‑бота можно выманить у жертвы учетные данные при помощи самых простых инструкций. Кроме того, отмечалось использование чат‑ботов в рамках фишинговой атаки, в ходе которой создавалась рассылка сообщений в мессенджерах от лица руководителей компаний.
Возможности чат‑ботов экономят атакующим время и ресурсы на проведение фишинговой атаки, и в будущем злоумышленники будут тратить время на развитие их адаптивности: язык и тактика письма будут меняться в зависимости от ответа пользователя.
Стоит отметить и бум использования дипвойсов и дипфейков в 2024 году: по данным компании KPMG, с начала 2023 года по первый квартал 2024-го использования дипфейков в киберинцидентах по всему миру выросло на 245%. В 2025 году активное использование этих технологий продолжится. Особенно эффективным для злоумышленника будет их применение в целевых и BEC‑атаках.
💼 В начале 2024 года одна гонконгская фирма заявила о краже 25 миллионов долларов в ходе атаки с использованием дипфейков. Атакующий отправил сообщение от лица якобы финансового директора компании, базирующегося в Великобритании. Сначала работник заподозрил, что это фишинговое письмо, поскольку в нем говорилось о необходимости проведения секретной транзакции. Но после видеозвонка сомнения рассеялись — все присутствовавшие выглядели и звучали точь‑в-точь как знакомые ему коллеги.
Использование скомпрометированных аккаунтов в фишинговых атаках
Целевой фишинг может исходить от законного отправителя: злоумышленники используют аккаунт легитимного пользователя, имеющего связь с жертвой. Такая тактика выгодна злоумышленникам: можно ведь не только обмануть жертву, но и обойти меры безопасности.
💼 В одном из случаев атакующие скомпрометировали партнера ESET в Израиле, от лица которого разослали фишинговые письма; в них содержался вайпер, замаскированный под антивирусное программное обеспечение.
Злоумышленники могут использовать не только аккаунт, но и переписки жертвы во вредоносных целях. Например, есть такая техника email thread hijacking (перехват ветки сообщений). Ее суть заключается в том, что злоумышленники, получив доступ к учетной записи электронной почты пользователя, отслеживают текущую переписку, а затем вставляют свои вредоносные сообщения в эти ветки.
💼 Похожий случай описали специалисты наши коллеги из PT ESC TI: группировка Hive0117 воспользовалась взломанным аккаунтом и отправила ответ на настоящее письмо из прошлого.
Группа киберпреступников Hive0145 модифицировала эту технику: вместо добавления ответного сообщения в ветку они заменили вложение на вредоносную полезную нагрузку с использованием оригинального имени файла (без оригинального расширения). Таким образом группировка распространяла ВПО Strela Stealer.
В 2024 году особым интересом атакующих была кража учетных данных (22%), в том числе — от почтовых аккаунтов.
🔮 В 2025 году мы сможем наблюдать рост использования скомпрометированных почтовых аккаунтов в атаках, которые затронут не только целевую организацию, но их клиентов.
Злоумышленники в мессенджерах, социальные сетях и корпоративных платформах
Основным каналом социальной инженерии для организаций остается электронная почта, она уже долгое время используется как основное средство коммуникации между сотрудниками, партнерами и клиентами.
Альтернативой почте могут стать мессенджеры и социальные сети. Только в 2023 году 93% российских компаний использовали мессенджеры для корпоративного общения. Поэтому и здесь злоумышленники не стоят на месте.
💼 Кибершпионская группировка Core Werewolf осваивает Telegram для атак на оборонную промышленность, другие неназванные преступники распространяют DarkCrystal RAT через мессенджер Signal.
Еще одним альтернативным почте каналом служат различные корпоративные платформы, такие как Microsoft Teams и Slack. За последние два года число активных пользователей Microsoft Teams составило около 320 миллионов в день. Киберпреступники знают об этих изменениях и адаптируют под них свои атаки.
💼 С августа 2024 года группа вымогателей Black Basta стала использовать Microsoft Teams для выхода на связь с потенциальными жертвами.
🔮 В 2025 году электронная почта останется основным каналом социальной инженерии, но злоумышленники будут адаптировать фишинговые атаки под текущие реалии: часть атак перейдет в мессенджеры и социальные сети, а также корпоративные платформы.
Вредоносная реклама в тренде
В 23% фишинговых атаках в 2024 году злоумышленники использовали сайты. Число таких страниц продолжает расти: например, исследователи BI.ZONE отмечают, что их количество в 2024 году выросло в 1,5 раза по сравнению с 2023 годом. Кроме того, около 80% вредоносных сайтов используют протокол HTTPS, чтобы казаться легитимными.
Ранее мы подчеркивали, что нередко такие сайты продвигаются при помощи вредоносной рекламы. Исследователи Gen Digital также сообщают об этой тенденции: так, по данным на третий квартал 2024 года, отмечается рост использования вредоносной рекламы на 17,8% для настольных устройств и на 38,3% — для мобильных.
💼 Под видом популярного ПО для ИТ‑специалистов распространялся бэкдор MadMxShell. Поэтому можно утверждать, что в 2025 году эта тенденция сохранится.
Заражение ВПО через проекты с открытым исходным кодом
С первого квартала 2024 года мы наблюдали бум количества использований менеджеров пакетов, таких как PyPl и npm, и сервисов, таких как GitHub, в фишинговых атаках. Для их распространения преступники часто используют тайпсквоттинг — метод, при котором вредоносный пакет имитирует название легитимного, рассчитывая на невнимательность пользователя.
💼 Исследователей Socket обнаружили шесть вредоносных пакетов в npm, мимикрирующих под популярные для разработчиков библиотеки, имеющие десятки миллионов загрузок. Они содержали бэкдор, позволяющий злоумышленнику получить доступ к системе жертвы через SSH. На момент выхода исследования вредоносные пакеты были загружены более 700 раз и все еще находились в реестре npm.
🔮 В 2025 году злоумышленники продолжат распространять вредоносный код через менеджеры пакетов, поскольку это все еще эффективный способ компрометации систем. Это может позволить атаковать не только целевую организацию, но и вклиниться в цепочку поставок, тем самым затронув и другие компании‑партнеры.
Многоканальные атаки
Еще одной тенденцией, которую мы будем наблюдать чаще в 2025 году, станет использование сразу нескольких каналов связи в атаках. Этот тренд начал развиваться еще в 2024 году.
Исследователи из Trustwave SpiderLabs отмечали рост числа подобных кампаний в 1,4 раза в период с июля по сентябрь 2024 года.
⁉️ В чём секрет? Да просто многие организации стремятся внедрить различные меры предотвращения фишинговых атак по электронной почте и забывают про другие каналы. Атакующие естественно ожидают, что остальные каналы связи могут быть не так хорошо защищены.
Все чаще преступники прибегают к использованию стратегии mobile first, рассматривая мобильные устройства как основную точку входа для проникновения в корпоративные системы.
Злоумышленники активно интегрируют вишинг (голосовой фишинг) и смишинг (SMS‑фишинг) в многоканальные атаки.
💼 В одном из таких случаев атакующий под видом сотрудника службы поддержки или работника ИТ‑отдела компании звонил жертве, утверждая, что он помогает решить проблему входа в VPN. После установления доверия он отправлял SMS‑сообщение, содержащее ссылку на поддельную страницу входа в VPN целевой организации. После того как пользователь вводил свои учетные данные, он перенаправлялся на легитимный портал VPN, не заметив подмены.
Использование мер безопасности во вредоносных целях
🔮 Основным вызовом атакующих в фишинговых атаках в 2025 году будет обход мер безопасности: будут появляться новые, сложные и изощренные методы, основанные не только на технической составляющей, но и на эксплуатации человека.
Мерами защиты электронной почты выступают безопасный шлюз электронной почты (SEG), средство аутентификации электронной почты DMARC, DKIM-подпись. Эти методы позволяют блокировать спам, фишинговые ссылки, опасные вложения и другие угрозы, связанные с почтовой коммуникацией. Поэтому главным вызовом для атакующих является борьба с защитными механизмами — работа в обход.
💼 С января по март 2024 года произошел всплеск числа атак на 52,2%, в которых злоумышленники успешно обходят обнаружение SEG, причем в 68,4% из них удалось пройти основные проверки аутентификации, такие как DMARC.
Злоумышленники используют и множество других способов. Например, для распространения ссылок стали применять технику Blob URL, которая позволяет не загружать данные из внешних URL‑адресов, поэтому традиционные инструменты фильтрации и сканирования URL‑адресов могут изначально не распознать содержимое как вредоносное. Используя этот метод, атакующие создают фишинговые страницы, при этом затрудняя блокировку вредоносного контента.
Случается использование во вредоносных целях методов, предназначенных для защиты электронной почты. Например, техника URL Rewriting, предназначенная для проверки ссылок в письмах. Метод работает следующим образом: когда пользователь кликает по ссылке, она перенаправляется на сервер службы безопасности для анализа. Если ссылка безопасна, пользователь попадает на целевой сайт, в противном случае — доступ блокируется. Атакующие также изучили внутреннюю работу метода и теперь активно эксплуатируют его.
Существуют платформы безопасности, работающие на основе методов ИИ и машинного обучения (МО). Отличительной чертой такого рода методов является выявление отклонений от «заведомо хороших» сигнатур, в отличие от традиционных мер безопасности, основанных на «заведомо плохих». Но и они находятся под ударом злоумышленников. Исследователи из SlashNext обнаружили способ, при котором преступники создают письма, состоящие из двух отдельных частей: видимой, предлагающей получателю перейти по ссылке или отправить информацию, и скрытой, содержащей безобидный текст, предназначенный для обмана алгоритмов ИИ или МО путем имитации «заведомо хорошего» общения. Злоумышленники делают ставку на то, что люди не прокрутят пустые страницы вниз, чтобы увидеть предназначенный только для ИИ и МО блок текста.
Кроме того, злоумышленники избегают обнаружения с помощью различных видов вредоносной нагрузки, о которых мы поговорим далее.
Что касается сайтов, то они могут проверяться автоматизированными мерами безопасности. Для их обхода злоумышленники внедряют тест CAPTCHA, что затрудняет автоматическую блокировку. Использование CAPTCHA может создать иллюзию доверия у жертвы, поскольку обычно его используют легитимные сайты.
💼 В ходе вредоносной кампании Uncle Scam, а также группировками Tycoon и Storm-1575 в атаках на школы США. Обход автоматизированных проверок также предлагают различные антибот‑сервисы, продаваемые в даркнете.
Атакующие прибегают и к более хитрым приёмам, рассчитанным на человека.
💼 В 2024 году Paste and Run вынуждала пользователей копировать, вставлять и запускать вредоносный код на своих устройствах. Жертве отправляли файлы, при открытии которых появлялось сообщение об ошибке, для исправления которой было необходимо выполнить ряд команд. Компания Hornetsecurity обнаружила кампанию, в которой с 17 доменов, контролируемых злоумышленниками, было отправлено в общей сложности 105 640 фишинговых писем, использующих этот прием социальной инженерии.
Вредоносные QR-коды
Атакующие применяют вложения, ссылки и QR‑коды для распространения вредоносных программ и поддельных форм ввода данных. Вложения и ссылки являются основным способом распространения для преступников, реже применяются QR‑коды. Но нечастое применение QR‑кодов в атаках не совсем означает, что они не несут угрозу: согласно исследованию Cisco Talos, хотя QR‑коды встречаются лишь в одном из 500 электронных писем, 60% из них содержат спам или вредоносное ПО.
Злоумышленники часто комбинируют эти методы. По нашим данным, 9% вложений содержат в себе QR‑код — это в 2,5 раза больше, чем количество QR‑кодов напрямую в теле письма. Их внедрение в документы затрудняет средствам защиты анализ, выявление и блокирование этих сообщений до того, как они достигнут сотрудников. Кроме того, атака часто позволяет задействовать несколько устройств: сотрудники получают фишинговое письмо на одно устройство, но сканируют QR‑код с помощью другого, например личного мобильного телефона, который может не иметь того же уровня защиты, что и корпоративные системы.
Атакующие используют в QR‑кодах ASCII‑ и Unicode‑символы, позволяющие обойти инструменты, такие как оптическое распознавание символов (OCR), с помощью которых можно извлекать, проверять и блокировать вредоносные URL‑адреса в QR‑кодах.
🔮 В ближайшее время фишинговые атаки с использованием QR‑кодов продолжат нести все большую угрозу. В 2025 году появятся новые методы, подобные ASCII‑ и Unicode‑QR‑кодам, позволяющие маскировать их от средств защиты. Вредоносная нагрузка, в том числе и QR‑коды, будет мигрировать во вложения или ссылки, уходя из тела письма.
Архивы и статические веб-страницы как самые популярные типы вложений
Одними из наиболее часто используемых типов вложений в 2024 году остались архивные файлы (32%), и по нашей статистике, полученной из песочницы PT Sandbox, на территории России они чаще всех остальных типов оказывались вредоносными — 38% всех задетектированных вредоносных файлов относятся к архивам. Учитывая многолетнюю тенденцию к использованию вредоносных архивов среди злоумышленников, защитники активно противостоят им: согласно данным из отчетов продукта для проверки защищенности электронной почты PT Knockin, они доходят до конечного пользователя без изменений всего лишь в 5% случаев. Поэтому, чтобы избежать сканирования файлов средствами защиты, преступники используют различные техники.
Классический пример техники атакующего — шифрование архивов при помощи пароля, который в основном содержится непосредственно в теле письма, — этот прием не дает сканерам безопасности заглянуть внутрь.
Злоумышленники экспериментируют, создавая новые методы. Так, в 2024 году исследователи Perception Point отметили новую технику обхода защиты, основанную на объединении ZIP‑архивов. Ее суть заключается в том, что атакующие создают несколько отдельных архивов, в одном из которых находится вредоносное ПО, а другие остаются пустыми или заполняются безобидными файлами. Подобно матрешке, архивы объединяются в единый, содержащий несколько ZIP‑структур. Вредоносная полезная нагрузка скрыта в частях архива, к которым некоторые считыватели ZIP не могут добраться или не имеют доступа.
Ежедневно в рабочих процессах человек сталкивается с PDF‑файлами и офисными документами: текстовыми файлами, электронными таблицами и файлами презентаций. Эти типы файлов часто не вызывают у пользователя подозрений, и поэтому регулярно используются преступниками (27%). По данным, полученным на основе аналитики из PT Sandbox, 14% всех задетектированных вредоносных файлов представляют собой PDF‑файлы и офисные документы. По данным, полученным из аналитики PT Knockin, атакующие успешно доставляют (37%) их, применяя множество методов для избегания обнаружения: использование умышленно поврежденных документов Word, устаревающих форматов.
💼 В марте 2024-го исследователи обнаружили 6755 атак с их использованием. В рамках этой кампании преступники использовали хитрую технику обфускации URL с использованием символа @. Рассмотрим ее на примере ссылки: https://microsoft[.]com@сайт злоумышленника[.]com/. Может показаться, что это легитимный сайт microsoft[.]com, но на самом деле браузер игнорирует все до символа @ и учитывает только то, что после него. Таким образом, мы попадем на сайт злоумышленника[.]com/. Еще одним интересным типом файлов, используемых хакерами в 2024 году, были OneNote, более 6000 образцов которых проанализировали Unit 42. Этот тип файлов позволяет доставить не только скрипты‑загрузчики, но и исполняемые файлы.
Сегодня многие знают о потенциальной опасности исполняемых файлов, и неспроста: 35% всех задетектированных PT Sandbox вредоносных файлов относятся к этому типу. Средства защиты также научились справляться с этой угрозой: по данным PT Knockin, лишь 7% доходят до конечного пользователя. Поэтому злоумышленники почти перестали рассылать их (1%).
Статические веб‑страницы в атаках стали применяться так же часто, как архивы (32%). С их помощью злоумышленники могут распространять формы для кражи учетных данных или ВПО. По данным из отчетов PT Knockin, этот тип файлов доходит до конечного пользователя в 9% случаев. Чтобы обойти проверки, злоумышленники используют различные методы избежать обнаружения, в числе которых особенно выделяется техника HTML Smuggling. Согласно исследованию Egress, за первые три месяца 2024 года в 16,2% случаев эта техника помогла пройти через безопасный шлюз электронной почты. Примечательно, что для написания HTML‑файлов, использующих эту технику, злоумышленники стали применять GenAI. Злоумышленники также создают и продают специальные инструменты для преобразования вредоносного HTML в форму, которую сложнее распознать системам безопасности.
Стоит отметить использование атакующими изображений в качестве вредоносных вложений (16%). В графический файл могут быть встроены вредоносный код или кликабельная вредоносная ссылка, при этом у пользователя он может не вызвать подозрений. Например, атакующие использовали формат SVG для отображения HTML и выполнения JavaScript при загрузке графики, таким образом создав форму для кражи учетных данных.
🔮 В 2025 году одними из самых используемых злоумышленниками типов вредоносной нагрузки будут оставаться архивы. Учитывая, что этот формат файлов все реже доходит до пользователя в неизменном виде, злоумышленники продолжат эксперименты над ними: появятся новые методы обхода защиты, подобные объединению ZIP‑архивов. В силу своей универсальности, а также широких возможностей обхода обнаружения вторым по популярности типом вложений останутся статические веб‑страницы. Замкнут тройку лидеров офисные документы и PDF‑файлы.
Применение доверенных сервисов в фишинговых атаках
Для распространения ссылок атакующие используют легитимные сервисы и сайты. Это позволяет не вызвать подозрений у пользователя и скрываться в большом объеме легитимного сетевого трафика. Этот подход называется Living Off Trusted Sites (LOTS), и в него включены популярные сайты и сервисы, используемые злоумышленниками. Он берет свое начало в методах living off the land (LoTL), которые направлены на использование стандартных служб, таких как, например, PowerShell и WMI, в кибератаках. Иногда LOTS‑атаки называют фишинговыми атаками с файлообменниками: в исследовании Abnormal Security отмечается рост использования таких сайтов в атаках на 350% за период с июня 2023 года по июль 2024-го.
В прошлом году в тройке лидеров поставщиков услуг, сервисы которых используются в фишинге с LOTS, были Google, Microsoft и GitHub. При этом среди сервисов Microsoft и Google самыми популярными оказались облачные хранилища (OneDrive, Google Drive) — например, они использовались в атаках группировок Earth Kasha, Earth Preta.
Что касается GitHub, то злоумышленникам даже не обязательно создавать свои вредоносные репозитории — в одном из случаев атакующие загружали ВПО прямо в комментарии к легитимным. Эти репозитории принадлежали UsTaxes, HMRC и Inland Revenue — организациям, отвечающим за составление ежегодных налоговых деклараций в отдел внутренних доходов. Для заражения жертв злоумышленники отправляли ссылки на загрузку через электронную почту.
В российских реалиях таким легитимным сервисом может выступать, например, Яндекс Диск. В этом году он был использован группировкой TaxOff, обнаруженной экспертами PT ESC, для рассылки вредоносного содержимого, а также для распространения ВПО Unicorn.
💼 В декабре 2024 года атакующие использовали Google Calendar для отправки приглашений на встречи. В эти приглашения встраивалась ссылка, ведущая на Google Forms или Google Drawings, где пользователю предлагается перейти по еще одной ссылке, обычно замаскированной под reCAPTCHA или кнопку получения поддержки. Злоумышленники могут удвоить количество фишинговых сообщений, отменив «встречу» в Google Calendar и включить в него сообщение, которое будет отправлено ее участникам. К этому сообщению можно прикрепить ссылку, ведущую на фишинговый сайт.
Злоумышленники также интегрируют в фишинговые атаки технологии, используемые доверенными сервисами. Так, компания Egress отметила рост использования технологии AMP для маскировки вредоносных ссылок. Техника направлена на обход проверки ссылок при наведении курсора: обычно, когда пользователь наводит курсор на ссылку, он видит ее настоящий URL, что позволяет оценить безопасность перехода. Но при использовании этого метода жертва видит легитимную ссылку на Google или TikTok, однако при переходе по ней происходит перенаправление на вредоносный сайт. Дополнительно это помогает обходить системы сканирования URL, поскольку первоначальный адрес выглядит доверенным.
🔮 Учитывая тенденцию 2024 года, будет наблюдаться рост применения доверенных сервисов в фишинговых атаках для доставки и размещения вредоносного контента, а также в качестве фишинговых приманок.
Интересы фишеров направлены на кражу информации и длительную разведку
В фишинговых атаках в 2024 году злоумышленники по‑прежнему сосредоточены на заражении жертв ВПО (63%) и краже их учетных данных (35%).
Формы для кражи учетных данных являются простым и эффективным способом получить доступ к аккаунту жертвы. Интерес преступников к учетным данным можно объяснить с нескольких сторон.
Первая причина — рост спроса на них на рынке брокеров первоначального доступа. В этом случае цель — заработок: как мы отмечали в нашем исследовании, 31% продаваемых в даркнете доступов находятся в ценовом диапазоне от 1000 до 5000 долларов, а 7% — от 5000 долларов и выше. При этом, как отмечают исследователи CYJAX, цены на рынке растут из квартала в квартал.
Вторая возможная причина — использование украденных данных для дальнейшего развития атаки.
💼 В одном из случаев, описанных Proofpoint Threat Research, атакующие рассылали SMS‑сообщения со ссылкой, ведущей на поддельные сайты Microsoft, на которых размещался бренд целевой организации. Эта страница проводила пользователей через процесс мультифакторной аутентификации (MFA) для сбора учетных данных. После этого преступники скомпрометировали учетные записи пользователей, выполнили ряд операций для поддержания постоянного доступа и сокрытия своих несанкционированных действий. В конечном итоге они вошли в бизнес‑приложение, чтобы создать поддельные подарочные карты.
Среди форм для кражи учетных данных злоумышленники чаще всего имитировали порталы входа в электронную почту (56%), по большей части — в продукты Office365, частью которых является Outlook (его доля составляет около 38% на рынке корпоративной почты).
💼 Недавно исследователи Unit 42 обнаружили рассылку, в ходе которой было успешно атаковано около 20 000 пользователей в различных европейских компаниях. Похитив данные, преступники получили доступ к облачной инфраструктуре Azure, а для сохранения контроля над ней добавили в учетные записи новые устройства.
В 39% случаев атакующих интересовала кража данных аккаунтов на порталах целевых организаций. Так, компания Resilience сообщила о фишинговой атаке APT‑группировки Kimsuky, нацеленной на сотрудников университетов, исследователей и профессоров в Южной Корее. Злоумышленники использовали скомпрометированные интернет‑узлы, на которых разместили веб‑шелл Green Dinosaur, позволяющий выполнять файловые операции. После настройки веб‑шелла атакующие загружали заранее подготовленные фишинговые страницы, созданные путем скрапинга. Они используются для похищения учетных данных пользователей. Как сообщают исследователи, целью кампании является сбор разведывательной информации.
Все же основной задачей злоумышленников в фишинговых атаках остается заражение жертвы ВПО. Именно благодаря ему атакующие могут украсть различную конфиденциальную информацию, нарушить работу систем или в течение длительного времени заниматься шпионажем. Что касается распределения типов вредоносного ПО, то оно соответствует общемировой тенденции: тройку лидеров последовательно занимают шифровальщики (41%), ВПО для удаленного управления (34%) и шпионское ПО (24%).
Минувший 2024 год привнес некоторые изменения в использование фишерами различных типов ВПО. Значительно снизился (на 15%) интерес атакующих к распространению шифровальщиков: злоумышленники фокусировались на распространении ВПО для удаленного управления (прирост 14%). Этот тренд коснулся не только фишинговых атак. Любовь преступников к этому виду вредоносного ПО можно объяснить его универсальностью: при помощи RAT атакующий может собирать данные, контролировать пользователя, вести разведку, длительное время оставаясь незамеченным. По нашим данным, в фишинговых атаках 2024 года самыми популярными среди киберпреступников инструментами стали Remcos RAT, SparkRAT и AsyncRAT.
💼 В одной из фишинговых атак, обнаруженной экспертами PT ESC в январе 2024 года, злоумышленники рассылали вредоносный PDF‑файл, имитирующий платежный документ SWIFT. Он содержал VBS‑макрос, приводящий в конечном итоге к заражению Remcos RAT.
В 2024 году шпионское ПО опустилось на третье место среди типов распространяемого ВПО, хотя доля его использования в фишинговых атаках почти не изменилась. Главенствующие позиции в арсенале преступников занимают:
▪️ Lumma Stealer
▪️Meta Stealer
▪️ RedLine Stealer
💼 Эксперты из PT ESC зафиксировали фишинговую кампанию, целью которой было заражение организаций Lumma Stealer и NetSupport RAT. Атакующие рассылали документы форматов LNK и DOCX, при открытии которых осуществлялась загрузка ВПО с GitHub‑репозитория и управляющего сервера. Кроме того, злоумышленники хорошо поработали над обфускацией Lumma Stealer: его семплы определялись как вредоносные всего лишь тремя антивирусными движками VirusTotal.
Резкое изменение интересов злоумышленников может говорить о том, что в 2025 году акцент будет сделан на длительной разведке, краже данных и перепродаже доступов. Кроме того, такой подход может быть использован и группами вымогателей: в последние годы среди них популярна стратегия exfiltration first — сначала извлечение конфиденциальных данных, а лишь потом шифрование. Это подтверждает появление в 2024 году гибридного ВПО — шифровальщиков с модулями для кражи информации, например Crystal Rans0m и Luxy. Такие вредоносы позволяют атакующим, помимо получения выкупа за расшифрование, дополнительно шантажировать жертву украденными данными.
Популярные темы фишинговых атак
Фишинг основан на психологических манипуляциях: атакующим нужно каким‑либо образом побудить жертву открыть вредоносное письмо, перейти по ссылке и т. д. Для этого они используют темы, которые вызывают у жертвы сильный эмоциональный отклик: манипулировать страхом, важностью и срочностью, жадностью человека и другими чувствами.
На первом месте нас встречают, конечно же, «письма от работадателя».
Злоумышленники активно распространяют сообщения, непосредственно связанные с рабочей деятельностью получателей: письма от контрагентов, работодателей, соискателей и других.
В одной из кампаний АРТ‑группировка SideWinder рассылала фишинговые письма об увольнении сотрудников, тем самым вызывая чувство тревоги у жертвы.
Среди сообщений якобы от работодателя в 2024 году особой популярностью пользовались письма от отдела кадров и ИТ‑отдела.
Сообщения от HR и ИТ‑отдела стали самыми «нажимаемыми» в фишинговых тестах в первом, втором и третьем кварталах 2024 года. Темы, связанные с работой, ожидаемо популярны в нашей истории, ведь они применимы практически для любых предприятий: такие письма выглядят обыденно и могут не вызывать подозрений у жертвы.
Еще одной темой, плотно закрепившейся в арсенале преступников, остаются сообщения якобы от органов власти.
Такие сообщения манипулируют страхом и срочностью, усиливая давление авторитетом отправителя.
💼 Эксперты PT ESC обнаружили письмо якобы от управления ФСТЭК России по СЗФО, послужившее началом многоступенчатой фишинговой атаки. В полученном письме содержался PDF‑файл, который является сканом информационного письма ФСТЭК. Документ был непригоден для работы из‑за низкого качества, но он не был вредоносным. Это вынуждало жертву спровоцировать диалог, в ходе которого ей отправлялась «улучшенная» версия. Ей был исполняемый файл с иконкой PDF, приводящий к созданию сессии удаленного управления, к которой может подключится злоумышленник.
Сообщения «от известных компаний» широко используются фишерами.
В таких случаях злоумышленники могут эксплуатировать, например, доверие к организации, от лица которой осуществляется фишинговая атака.
💼 Преступники отправляли на почту письма, имитирующие уведомления от платформы электронного документооборота Docusign. В письме жертве предлагалось пройти стандартную для Docusign процедуру — перейти по ссылке, чтобы посмотреть и подписать документ. При переходе жертва перенаправляется на фишинговую веб‑страницу, предназначенную для кражи учетных данных. Примечательно, что в рамках данной кампании злоумышленники были ориентированы только на мобильные устройства: при переходе по вредоносной ссылке с компьютера пользователь перенаправлялся на легитимные сайты.
Инфоповоды и праздники — отличная приманка!
Злоумышленники всегда остаются в курсе последних новостей — актуальные события, происходящие в мире, интегрируются (и будут интегрироваться) в фишинговые атаки.
Плановые мероприятия заранее известны широкой аудитории и повторяются с разной степенью периодичности. Они дают преступникам возможность заранее подготовить атаки и создать высокореалистичный контент. Например, они ежегодно готовятся к различным предпраздничным сезонам, концу года, черной пятнице и т. д. Также в календаре злоумышленников появляются и события, связанные с новостной повесткой: политические, спортивные мероприятия, конференции и форумы, выходы крупных продуктов.
💼 APT‑группировка Earth Lusca использовала документы, связанные с китайско‑тайваньскими отношениями, в качестве приманки для распространения вредоносного ПО. Операция предшествовала выборам в Тайване и продолжалась с конца декабря 2023 года по январь 2024-го.
«Чёрный лебедь» — события, которые можно отнести к этой категории, также оказывают значительное влияние на фишинговые атаки. Они редкие, неожиданные и трудно прогнозируемые, а потому вызывают у жертв панику и волнение и, соответственно, становятся подспорьем для атак.
💼 Одним из таких инцидентов в 2024 году был глобальный сбой CrowdStrike, затронувший 8,5 млн устройств Windows по всему миру. Всего через несколько дней были обнаружены фишинговые письма, замаскированные под руководство по восстановлению от Microsoft.
Рынок PhaaS
Фишинговые атаки требуют затрат времени и сил атакующего — эту проблему решили платформы PhaaS (phishing as a service). При этом цена на готовые фишинговые проекты в даркнете начинается всего от 10 долларов.
В основном платформы phishing as a service предоставляют следующие функции:
Шаблоны для фишинга, позволяющие имитировать сайты различных организаций. Например, среди появившихся в 2024 году решений можно отметить платформу Sniper Dz.
Инструменты для генерации или клонирования веб‑сайтов.
Обход MFA.
Использование CAPTCHA.
Различные методы избегания обнаружения.
Массовые рассылки по электронной почте.
Справка и поддержка.
Дашборды с различными метриками эффективности фишинговых кампаний.
Существуют и open‑source продукты, находящиеся на просторах GitHub. Одним из самых популярных таких решений является Evilginx. Для его настройки используются фишлеты — небольшие файлы конфигурации. Разработка фишлета может обойтись примерно в 200 долларов.
А на киберпреступных форумах существует достаточное количество уже готовых фишлетов, статей и консультаций по их разработке.
Сам по себе инструмент Evilginx не так прост в использовании, особенно для начинающих. Разработчики создали платный курс, но в октябре 2024 года этот курс стал раздаваться на даркнет‑форумах бесплатно.
Охота на ИТ-специалистов
Одним из опасных фишинговых инструментов, появившихся в 2024 году, стал GoIssue. С его помощью злоумышленники могут автоматически извлекать адреса электронной почты из профилей GitHub и отправлять на эти адреса массовые рассылки. Например, они могут использовать поддельные письма‑уведомления от GitHub, выдавая себя за сотрудников службы безопасности или рекрутеров. Этот инструмент позволяет оптимизировать процесс фишинговой атаки. Появление GoIssue перекликается с тенденцией нацеленности киберпреступлений на разработчиков, которые могут стать отправной точкой для атаки не только на отдельную организацию, но и на цепочку поставок; этот тренд может сохраниться и в 2025 году.
В конце прошлого года на преступных форумах появился инструмент DarkGPT. Это средство для генерации фишинговых сообщений и помощи при планировании фишинговых кампаний, которое позволяет злоумышленнику значительно упростить себе осуществление атаки.
На теневых ресурсах также появляются объявления о продаже deepfake as a service (DaaS). Злоумышленник может воспользоваться и open‑source версией с GitHub. Появление модели DaaS может дополнительно свидетельствовать о том, что вырастет количество киберинцидентов с использованием дипфейков.
Статья носит исключительно информационный характер и не является инструкцией или призывом к совершению противоправных действий. Наша цель — рассказать о существующем инструменте, используемом злоумышленниками для генерации вредоносных цепочек атак с целью взлома организаций, и предупредить об активном использовании подобных инструментов по всему миру.
Выводы
Фишинговые атаки будут оставаться одной из самых актуальных киберугроз как для организаций, так и для отдельных пользователей. С каждым годом они становятся все более изощренными и сложными, что требует постоянного внимания к вопросам безопасности. С развитием теневого рынка и появлением различных инструментов PhaaS стирается грань между профессиональным фишером и новичком, расширяется круг возможных злоумышленников. Фишинговые письма становятся более правдоподобными: грань между целевым и массовым фишингом стирается.
Главным каналом связи для фишинговых атак остается электронная почта, хотя злоумышленники комбинируют ее с другими средствами коммуникации, повышая вероятность успеха. Цели фишеров не изменились: они продолжают распространять вредоносное ПО и формы для кражи учетных данных. Что касается тематики фишинговых писем, самыми используемыми среди злоумышленников остаются темы, имеющие связь с работой: это позволяет привлекать внимание сотрудников, не вызывая подозрений. При этом злоумышленники также активно эксплуатируют темы, отражающие актуальную мировую повестку. По‑прежнему используются психологические рычаги давления — именно они позволяют убедить пользователя выполнить указанное действие.
Большая часть сил атакующих брошена на обход средств защиты. Благодаря этому фишинговые сообщения доставляются напрямую к жертвам, несмотря на существующие и постоянно развивающиеся барьеры. Это можно сравнить с игрой в пинг‑понг между злоумышленниками и решениями для кибербезопасности: одни находят лазейки, другие их закрывают, и все начинается заново. Поэтому в 2025–2026 годах преступники будут нацелены на повышение технической сложности атак.
Но выход есть!
О технических мерах защиты и организационных способах вы можете подробно прочитать в нашем исследовании на сайте.
В этой статье сразу перейдем к основным рекомендациям.
Базовые правила защиты от фишинговых атак
Несмотря на разнообразие методов фишинга, его можно распознать по ряду признаков. Мы составили правила, следуя которым вы сможете определить фишинговое письмо, а соответственно, и защититься от атаки.
Одним из самых важных правил защиты является ваше спокойствие: не поддавайтесь эмоциям, которые пытаются вызвать злоумышленники. Получив сообщение, ответьте себе на следующие вопросы:
Является ли письмо неожиданным?
Мне знаком отправитель письма?
В письме содержатся грамматические, орфографические ошибки? Соответствует ли дизайн письма и его качество уровню организации, от имени которой письмо отправлено?
Письмо вызывает эмоции: страх, любопытство, желание помочь? Создает ли сообщение ощущение срочности? Содержит ли предложение, которое слишком выгодно, чтобы быть правдой?
Есть ли в письме потенциальное оружие: ссылки, вложения или QR‑коды?
Письмо обезличено, нет обращения по имени и отчеству?
Является ли просьба в письме необычной или странной?
Если хотя бы на один из вопросов ответ «Да», перед вами может быть фишинговое письмо. Сделайте паузу и перепроверьте предоставленную информацию: перезвоните на официальный номер, проверьте данные через личный кабинет и т. д. Никогда не сообщайте конфиденциальную информацию третьим лицам.
Электронная почта
При получении электронного письма, помимо проверки по чек‑листу, приведенному выше, необходимо:
✅ Проанализировать отправителя: почтовый домен, имя и электронный адрес.
✅ Удостовериться, что ссылки ведут туда, куда нужно. Это можно сделать наведя на них курсор.
Сайты
Чтобы не стать жертвой фишинговых сайтов, необходимо обращать внимание на:
🔻 Адрес сайта и доменное имя. Необходимо осматривать внимательно: приемы злоумышленников, такие как тайпсквоттинг, рассчитаны на рассеянность и спешку пользователя. Например, вместо ptsecurity.com может быть написно plsecurity.com, pt‑security.com, pt.security.com, ptsecurity.link и т. д.
🔻 Наличие SSL‑сертификата (знак замка в браузере), а также владельца сертификата и дату регистрации доменного имени; например, это можно сделать с помощью сервиса WHOIS.
Социальные сети и мессенджеры
Для безопасной работы в мессенджерах и социальных сетях необходимо:
🔻 Не переходить по непроверенным ссылкам, не открывать подозрительные файлы.
🔻 Скрывать чувствительные данные. Чем меньше персональной информации доступно в вашем профиле, тем сложнее злоумышленникам составить фишинговое письмо, направленное против вас.
Не стоит использовать одинаковые пароли ко всем аккаунтам: получив доступ к одной из систем, атакующий сможет добраться и до остальных. Помните о том, что пароли необходимо регулярно обновлять. Кроме того, используйте двухфакторную аутентификацию. Это создаст дополнительный уровень защиты в случае, если атакующим удастся получить ваш пароль.
Валерия Беседина
Младший аналитик исследовательской группы Positive Technologies
