Удивительно, но даже самые простые и грубо организованные спам-рассылки, фишинговые атаки и уловки социальных инженеров находят жертв. Из тысячи адресатов найдется десяток (а то и сотня) самых доверчивых. По данным The Anti-Phishing Working Group, ретейл — в эпицентре угрозы. Но не массированные, а таргетированные киберпреступления приносят бизнесу главные проблемы. Цель их — атаковать организации отдельной отрасли или даже конкретную компанию.

Таргетированная атака, как понятно из прямого перевода термина, — прицельные действия. Это значит, что злоумышленник проводит разведку, выискивает слабые места в организации и планирует действия. Таргетированные мошенничества, как правило, комбинированные. Начинаются они с поиска проблемных мест в IT-инфраструктуре организации. Самые частые атаки направлены на то, чтобы заразить компьютеры вирусами-шифровальщиками, «подселить» программу-шпион, в том числе клавиатурную (собирает пароли, платежную информацию и пр.), получить удаленный доступ извне.

Как организованы
Первый вариант — это массированная атака на технику: по массе обнаруженных уязвимых серверов (реже компьютеров) распространяется специальный вирус, определенный скрипт, шпион и т.п. Далее злоумышленники в ручном режиме разбираются, насколько полезен «урожай».

А полезным для них может оказаться доступ не только к компьютерам бухгалтера или директора, с которых можно подобраться к платежной информации. Пригодится даже компьютер в call-центре, ведь из него можно вынуть информацию о внутренней структуре компании, почту того же директора или бухгалтера.

Второй вариант реализуется через инсайдера, который подсказывает злоумышленнику, кто и за что отвечает в компании, когда готовит отчет, оплачивает счета и т.д. Это очень ценная информация для таргетированной атаки: мало кто усомнится в реальности сообщения от мошенника, который знает нюансы работы организации.

Источником информации для таргетинговой атаки может быть утечка персональных данных. Вот почему так опасна недавняя утечка данных из Ozon, например. После нее может последовать волна фишинговой рассылки: клиентам может прийти электронное письмо, которое внешне будет напоминать стандартное сообщение из организации. Для достоверности в нем будут использоваться узнаваемый фирменный стиль, личные данные клиентов. Жертва наверняка будет заинтересована только содержанием корреспонденции, полагая, что информация, указанная в ней, известна лишь магазину. Если утечка произошла в банке, даже если это всего лишь почты сотрудников, мошенникам будет просто соорудить рассылку, адресованную конкретным подразделениям банка или конкретным должностям.

«Срочно погасите задолженность»
Самыми действенными атаками являются те, которые эксплуатируют «точечные» темы, созданные специально под ту или иную компанию, ту или иную ситуацию. В июне 2014 года пара московских банков поймала в сеть вирус-шифровальщик. Именно в июне вступил в силу новый стандарт по ИБ от Центробанка РФ. Он не обновлялся 2 года, и многие его ждали, а еще больше — пояснение, которое ЦБ традиционно выпускает через месяц-другой. Именно о выпуске пояснения и рассказывало троянское письмо, сами «пояснения» были прикреплены тут же. Понятное дело, файл был завирусован.

Несмотря на то что данная техника давно известна, она остается актуальной — пользователи продолжают слепо кликать по любым из предложенных вложений. Причем если к макросам в Word пользователи стали относиться настороженно, то про компрометацию PDF еще не все в курсе.

Один из самых действенных способов украсть деньги — это рассылка счетов. Простой и эффективный метод, особенно если мошенник по-настоящему озаботился тем, чтобы мимикрировать под реального контрагента. На такую схему попадаются и мелкие компании, и корпорации вроде Facebook и Google.

Самый простой вариант такого письма — требование «срочно оплатить задолженность». Найти перечень контрагентов при желании мошенникам несложно.

Другой вариант мошенничества, который приводит к прямым финансовым потерям, — это призыв перейти на какой-нибудь ресурс для плановой замены пароля от личного кабинета в банке. Схема подходит как для частных лиц, так и для бухгалтерий компаний. Редкий раз жертвы придают значение тому, что ссылка ведет не на сайт банка, особенно когда злоумышленники проявляют смекалку — регистрируют похожий домен. На поддельной странице «банк» просит клиента ввести свой старый пароль и логин от личного кабинета. При этом могут попросить ввести новый — для отвода глаз. Но как только будет нажата кнопка «ОК», информация мгновенно попадет к злоумышленникам, дальше они выводят деньги.

Как быть?
Таргетированные атаки, которые опираются на человеческие слабости (у профессионалов это называется социальной инженерией), — это настоящий бич и самая большая киберугроза. Задачу злоумышленникам облегчает низкий уровень цифровой грамотности пользователей. Более того, процент информатизации стал обратно пропорционален ИБ-грамотности. Часто пользователи не имеют представления, как работает тот или иной сервис, плохо отличают настоящий сайт от фишингового. Поэтому даже ломовые, довольно кустарно сооруженные атаки находят своих жертв.

В этой ситуации работает только комплексная защита. В компании должны быть настроены спам-фильтры, чтобы отсечь основную волну фишинговых писем. Чтобы пресечь таргетинговые атаки, нужно обучать сотрудников их распознавать. Для этого нужно разъяснять, что спам открывать нельзя, а при подозрении на фишинг нужно обращаться к системным администраторам, которые проверят вложения и ссылки на безопасность. Большие компании могут себе позволить киберучения, когда службы безопасности рассылают специальные письма для того, чтобы проверить бдительность сотрудников. Некоторые даже разрабатывают специальные обучающие игры.

Актуальность таких мер очень высока, ведь как минимум 30% пользователей верят фишинговым письмам. А если они созданы максимально похожими на важные — цифра стремится к 100%. Например, Сбербанк делился цифрами, что «таргетинговые» письма от Германа Грефа открывали 80% сотрудников.

Но компаниям впору проводить просветительскую работу не только среди сотрудников, но и среди контрагентов, указав им перечень официальных адресов организации. Например, мошенники часто рассылают фишинговые письма от лица ФинЦЕРТ. Первые атаки начались спустя полгода после создания службы. В марте 2016-го мошенники разослали банкам письма с вредоносным вложением для взлома банковской системы с поддельного адреса info@fincert.net. Официальный e-mail ФинЦЕРТа (fincert@cbr.ru) банковские работники на тот момент еще не запомнили, поэтому вложение в фишинговом письме открыли более 70 раз.

Когда подозрительное письмо пришло вам, свяжитесь с организацией, которая якобы его выслала, по альтернативным каналам связи. И уточните, действительно ли вам отправляли это письмо. Не используйте телефоны, которые указаны в реквизитах письма. Мошенники найдут способ убедить вас, что все чисто. Последним рубежом оказываются системы защиты от утечек данных — DLP-системы. Их функционал очень широк, и они позволяют предотвратить опасные действия, на которые пользователя провоцирует мошенник.