Что такое фишинговое письмо? Будьте бдительны и научитесь распознавать фишинговые письма

Фишинговое письмо — это как самозванец, замаскировавшийся в вашем почтовом ящике. Оно выдаёт себя за надёжный источник, стремясь обманом и манипуляциями заставить вас раскрыть конфиденциальную информацию или совершить опасные действия. За прошедшие годы фишинг по электронной почте эволюционировал от простых розыгрышей, подобных тем, с которыми сталкивались первые пользователи AOL в середине 90-х годов и которые включали генераторы случайных номеров кредитных карт, до сложных и чрезвычайно прибыльных операций хакеров по всему миру, использующих передовые тактики подражания. Это цифровой мошенник, который охотится на человеческие слабости и доверчивость.

Они могут привести к разрушительным последствиям, таким как кража личных данных, финансовые потери или несанкционированный доступ к вашим счетам. Согласно отчету Verizon о расследовании утечек данных за 2019 год, около 32 % утечек данных, произошедших в этом году, были связаны с фишингом и социальной инженерией. Будьте осторожны и скептичны, ведь единственная цель фишингового письма - обмануть и использовать вас в своих целях.

Что такое фишинговое письмо?

Фишинговое письмо — это мошенническое электронное письмо, цель которого — обманом заставить получателей раскрыть конфиденциальную информацию, перейти по вредоносным ссылкам, загрузить вредоносное ПО или дать согласие на несанкционированные действия.

В таких письмах злоумышленники часто выдают себя за авторитетные организации, такие как банки, коллеги, ИТ-специалисты, курьерские службы или руководители. Они используют знакомый фирменный стиль, формулировки, создающие ощущение срочности, и реалистичное оформление, чтобы сообщение выглядело достоверно.

Современные фишинговые письма становится все сложнее распознать, поскольку они персонализированы, учитывают контекст и созданы так, чтобы имитировать настоящую деловую переписку.

Упростите защиту от фишинга с помощью PowerDMARC!

Как работают фишинговые письма?

Методы фишинговых писем не являются секретом. Они тщательно описаны, изучены и постоянно становятся предметом обучения, но при этом по-прежнему действуют, поскольку не используют уязвимости программного обеспечения. Они используют особенности того, как люди обрабатывают информацию в стрессовых ситуациях.

1. Злоумышленник выдаёт себя за доверенного отправителя

Каждое фишинговое письмо начинается с подделки личности. Имя отправителя выглядит правдоподобно, домен на первый взгляд не вызывает подозрений (большинство людей никогда не проверяют полный адрес, не говоря уже о заголовках, и злоумышленники строят целые кампании, исходя из этого предположения). Форматирование, тон и логотип подобраны так, чтобы выглядеть достаточно знакомыми, и вы даже не задумывались об их подлинности.

2. Сообщение подчеркивает срочность

В фишинговых письмах создается ощущение срочности, при этом в качестве тактики используется страх. Речь может идти о неудавшемся платеже или о приостановке доступа к важному аккаунту. Такое давление призвано заставить вас пропустить этап проверки и действовать немедленно. 

Иногда это срабатывает даже на опытных специалистов по безопасности, на тех, кто прошел курсы по противодействию фишингу. Реакция страха возникает быстрее, чем скептицизм, и злоумышленники точно знают, как её вызвать.

3. Основную работу выполняет социальная инженерия

Фишинг полностью обходит техническую инфраструктуру, воздействуя на то, что невозможно исправить: на реакцию людей на давление, авторитет и ощущение нехватки времени.

Злоумышленники используют ваше имя, название вашей компании, а иногда и имя вашего руководителя, найденное на LinkedIn. Они выдают себя за вашего генерального директора или поставщика, с которым вы действительно сотрудничаете. Они ставят вам ультиматум: примите решение в течение часа, иначе потеряете доступ, или подтвердите сейчас, иначе платеж не пройдет. FOMO — это искусственный страх, но тревога, которую он вызывает, реальна

4. Вред причиняют мошеннические ссылки или вложения

Вложения и URL-адреса выглядят точно так же, как подлинные. При нажатии на них вы попадаете на поддельную страницу входа, которая настолько точно копирует настоящий сайт, что может обмануть того, кто не присмотрелся внимательно. Как только вы вводите свои учетные данные, они сразу же перехватываются в режиме реального времени, и вы даже не успеваете понять, что что-то пошло не так.

5. Происходит сбор конфиденциальных данных

Часто они пытаются заполучить ваши логины, пароли, данных кредитных карт, номера социального страхования или любой другой информации, имеющей ценность при перепродаже или обеспечивающей прямой доступ. Часть этой информации используется сразу для взлома учетных записей или финансового мошенничества, а остальная — продается. В любом случае, одно успешное фишинговое письмо может послужить источником атак, которые будут продолжаться в течение нескольких месяцев.

6. Эти похищенные данные находят применение

Как только злоумышленники получают ваши учетные данные, они сразу же приступают к действиям. Взлом учетной записи происходит в течение нескольких часов, а порой и минут. За этим следуют финансовое мошенничество, массовая перепродажа учетных данных на торговых площадках даркнета, а также последующие целевые фишинговые атаки с использованием личных данных, которые они только что похитили из вашего почтового ящика. 

Повторный спир-фишинг — это, по сути, повторная атака, при которой злоумышленники используют данные из одного успешного фишингового письма, которые затем повторно применяются в следующей, более целенаправленной атаке. 

Признаки фишинговых писем и как их распознать

Фишинговые письма стали настолько убедительными, что могут обмануть даже тех, кто точно знает, на что нужно обращать внимание. Что вы можете сделать, так это не торопиться и проверить достоверность письма, прежде чем открывать его или переходить по ссылкам.

1. В первую очередь следует обратить внимание на адрес отправителя. 
2. Проверьте фактический домен. 
3. Обратите внимание на формулировки в теме письма и тексте, которые звучат не совсем правильно, например, на грамматические ошибки, неуклюжие конструкции и выражения, которые звучат почти правильно, но не совсем. 
4. Будьте осторожны с письмами, которые выглядят настолько срочными, что подталкивают вас к действию, не давая времени на то, чтобы сначала все проверить.

Контрольный список критических сигналов тревоги

Некоторые из них очевидны, а о других стоит знать

• Несоответствия в дизайне: несоответствующая версия логотипа, незначительные отклонения в шрифтах, цвета, не совпадающие с теми, что использует реальный бренд 
• Неожиданные запросы на оплату: срочные счета или уведомления о выставлении счетов, особенно с указанием новых банковских реквизитов
• Выдача себя за руководителя: запросы на банковский перевод или предоставление конфиденциальных данных, которые, как кажется, поступают от высшего руководства 
• QR-коды: Неожиданные QR-коды обходят большинство фильтров безопасности электронной почты, поскольку URL-адрес назначения не виден при автоматическом сканировании. Ваш телефон переходит по ссылке без той же проверки, которую проводит браузер 
• Deepfake/мошенничество с использованием видео: активно используются запросы с синтезированным голосом или видео; в ходе атаки 2020 года был использован клонированный голосовой звонок для авторизации перевода на сумму 35 млн долларов 
• Атака MFA с многократными запросами: повторяющиеся запросы на аутентификацию в надежде, что вы утвердите хотя бы один из них, чтобы они прекратились. 
• Уведомления о подозрительной активности: уведомления о подозрительных входах в систему с просьбой перейти по ссылке для «защиты вашей учетной записи»  

• Общие приветствия или приветствия

Примеры: «Уважаемый клиент», «Уважаемый пользователь». Любая компания, у которой у вас есть аккаунт, знает ваше имя. Стандартные обращения означают, что это письмо было написано не лично для вас, а для широкой аудитории. 

• Запросы на получение личной информации

Банки не запрашивают ваш пароль по электронной почте. ИТ-отделы не просят вас «подтвердить свои учетные данные» по ссылке. Если обычно запрос проходит через безопасную процедуру, а кто-то просит вас обойти эту процедуру с помощью электронного письма, это явный признак мошенничества. 

• Необычный адрес электронной почты отправителя

Любой может указать в поле «Отображаемое имя» что угодно. Важен именно домен: сверьте его с тем, что вы ожидаете увидеть в официальных сообщениях данной организации. Достаточно одной переставленной буквы, дефиса или другого домена верхнего уровня. Это легко упустить из виду, когда спешишь, а именно в такие моменты эти письма и поступают чаще всего. 

• Неожиданные вложения или загрузки

Особенно от знакомых. В вредоносное вложение , отправленное с взломанной учетной записи, опаснее, чем от незнакомца, потому что вы с меньшей вероятностью будете его подвергать сомнению. Если вы не ожидали получения файла, проверьте его перед открытием. Оповещения PowerDMARC в режиме реального времени сигнализируют о попытках неавторизованных отправителей использовать ваш домен, выявляя попытки подделки личности до того, как они достигнут почтовых ящиков. 

Виды фишинговых атак (с примерами писем)

Спуфинг, spear phishing, whaling, pharming и BEC - вот некоторые распространенные типы фишинговых писем. Несмотря на то, что профиль жертвы или способ действия могут несколько отличаться, они могут причинить вред организациям и частным лицам.

Сравнительная таблица: типы фишинговых атак

1. Подделка электронной почты

В сентябре 2019 года Toyota потеряла 37 миллионов долларов из-за того, что злоумышленник подделал адрес электронной почты. Достаточно было одного сотрудника и одного убедительного письма. Отправитель выглядел достоверно, запрос казался правдоподобным, и никто не позвонил, чтобы проверить информацию, прежде чем перевод был осуществлен.

При подделке адреса отправителя электронного письма его подделывают так, чтобы оно выглядело как сообщение от банка, государственного учреждения или, в некоторых случаях, от одного из руководителей компании — от того, на чьё письмо адресат с наибольшей вероятностью отреагирует, не задавая лишних вопросов. Письмо не обязательно должно быть идеальным. Достаточно, чтобы оно выглядело достаточно убедительно, чтобы занятый человек во вторник днём не стал тратить время на проверку полного домена отправителя.

Применение DMARC предотвращает это на уровне протокола. Если для домена установлен параметр DMARC p=reject, неавторизованные письма, якобы отправленные с этого домена, отклоняются еще до того, как попадают в почтовый ящик. PowerDMARC обеспечивает эту защиту и дает вам полную видимость всего, что отправляется от имени вашего домена.

2. Spear Phishing

Обычный фишинг охватывает широкий круг людей. Специализированный фишинг — это противоположность: здесь цель одна, заранее изученная, и электронное письмо создается специально для нее.

Злоумышленники находят ваше имя, должность, имя вашего руководителя, а также проект, с которым вы публично ассоциируетесь, — через LinkedIn, веб-сайт вашей компании или пресс-релизы, то есть из любых доступных источников. Затем они составляют сообщение, в котором упоминается достаточно реальных деталей, чтобы оно выглядело как будто оно пришло из вашего ближайшего окружения. Не «Уважаемый клиент», а ваше настоящее имя, название вашей компании, а иногда и имя коллеги, которому вы доверились бы без раздумий.

Именно эта персонализация делает электронные письма, используемые в целевом фишинге, сложными для предотвращения с помощью обучения. Стандартные тренинги по повышению осведомлённости учат людей распознавать типичные атаки. Целевой фишинг не выглядит типично — он выглядит как обычное письмо от человека, который вас знает, и именно поэтому он постоянно превосходит широкие фишинговые кампании по показателям кликабельности.

3. Нападения китобоев

Компания Nikkei Inc. понесла убытки в размере 29 миллионов долларов , когда сотрудник их американского офиса перевел средства по указанию человека, выдававшего себя за руководителя. Никакого вредоносного ПО или взлома системы не было. Просто пришло электронное письмо, которое выглядело так, будто оно пришло от нужного человека, с просьбой, которая казалась вполне нормальной в рамках рабочих процедур.

«Китобойный» — это целевой фишинг, направленный на руководителей или сотрудников, обладающих финансовыми полномочиями или доступом к конфиденциальным данным. Выбор целей является преднамеренным. Злоумышленники уделяют этим атакам больше времени, поскольку выгода оправдывает затраты. Тщательно подготовленное электронное письмо от имени финансового директора, члена совета директоров или доверенного контактного лица поставщика может авторизовать транзакции, которые в противном случае потребовали бы прохождения нескольких уровней утверждения.

В схеме «Vendor Email Compromise» (VEC) используется тот же приём, но с другим углом зрения: злоумышленники взламывают учетные записи сотрудников компании-поставщика или выдают себя за них, а затем используют существующие деловые отношения, чтобы мошеннические запросы на оплату выглядели вполне обычными. 

4. Фарминг

Фарминг — это атака, при которой вы делаете все правильно, но все равно попадаете на поддельный сайт.

Злоумышленники используют уязвимости в системе DNS или изменяют настройки DNS с помощью вредоносного ПО, в результате чего даже правильно введенный URL-адрес приводит к поддельному сайту. Адресная строка браузера может выглядеть вполне нормально. Здесь нет подозрительной ссылки, на которую можно навести курсор, и нет явных признаков в электронном письме, поскольку в некоторых случаях письма вообще нет. Вы просто заходите на сайт, который посещали десятки раз, и попадаете туда, куда не собирались.

Фарминг обнаружить сложнее, чем поддельную ссылку, а научить систему противостоять ему — тем более

5. Компрометация деловой электронной почты (BEC)

Город в Колорадо потерял более 1 миллиона долларов после того, как злоумышленник отправил поддельный запрос на обновление платежных данных местной строительной компании. Сотрудник обновил платежные реквизиты, и средства были перенаправлены. К тому времени, когда кто-то это заметил, деньги уже исчезли.

BEC — это либо взломанная учетная запись легитимной электронной почты, либо достаточно убедительная имитация такой учетной записи, которая используется для авторизации транзакций, перенаправления платежей или похищения конфиденциальных данных. Отчет ФБР о киберпреступлениях за 2019 год указано, что убытки от BEC в том году составили более 1,7 миллиарда долларов, что составляет более половины всех зарегистрированных убытков от киберпреступлений, и с тех пор эти цифры только растут.

Эффективность BEC заключается в том, что запрос поступает через канал, которому люди уже доверяют, например, с известного адреса электронной почты, от поставщика, с которым у них уже налажены отношения, или от человека, чьё имя им знакомо. Одобрение происходит до того, как кому-либо приходит в голову проверить информацию через другой канал.

Применение DMARC устраняет вектор прямого подражания: злоумышленник не сможет отправлять электронные письма, проходящие аутентификацию как отправленные с вашего домена, без доступа к вашим ключам подписи. Мониторинг PowerDMARC в в режиме реального времени выявляет сбои аутентификации и необычные модели отправки, прежде чем они превратятся в инциденты.

В отличие от устаревших решений, PowerDMARC специально разработан как для крупных предприятий, так и для MSP и предлагает: расширенные возможности отчетности, автоматизированное управление SPF и многопользовательские информационные панели. Узнайте, почему наши клиенты ставят нас на первое место на G2.

Узнайте, как мы помогли компании Digital Infinity IT Group предотвратить фишинговые атаки

Полный перечень типов фишинговых атак

Чаще всего основное внимание уделяется электронной почте, но она — не единственный канал атак. 

Фишинг с использованием коммуникационных каналов

• Вишинг (голосовой фишинг): Вишинг — это мошенничество по телефону, при котором злоумышленник звонит, представляется сотрудником банка, службы ИТ-поддержки или государственного учреждения и побуждает вас устно сообщить свои учетные данные. Здесь нет ссылок, на которые можно навести курсор, или адреса отправителя, который можно проверить. Только голос и правдоподобная история.
• Смишинг (SMS-фишинг): Смишинг — это SMS-версия вишинга, включающая короткий текст, создающий ощущение срочности, и вредоносную ссылку. Этот метод особенно эффективен в отношении пользователей мобильных устройств, поскольку люди переходят по ссылкам в SMS-сообщениях быстрее и менее внимательно, чем в электронных письмах, а большинство телефонов не отображают полный URL-адрес до нажатия на ссылку.
• «Клонированный фишинг»: этот вид фишинга ловит в свои сети тех, кто считает себя осторожным. Злоумышленник берет настоящее письмо, которое вы уже получили, точно его копирует, заменяет ссылки или вложения на вредоносные версии и отправляет его заново в качестве продолжения переписки. 

Веб-фишинг

• HTTPS-фишинг: поддельные сайты с действительными SSL-сертификатами. Значок замка означает, что соединение зашифровано. Он ничего не говорит о том, является ли сайт на другом конце подлинным. 
• Всплывающий фишинг: всплывающие окна в браузере, маскирующиеся под предупреждения о безопасности или системные уведомления, с просьбой войти в систему или что-то скачать
• «Злой близнец»: поддельная сеть Wi-Fi с таким же названием, как и у легитимной, созданная в кафе, аэропорту или холле отеля. Вы подключаетесь, не проверив. Ваш трафик попадает туда, куда не должен.
• Атаки типа «водопой»: вместо того чтобы нацеливаться непосредственно на жертв, злоумышленники взламывают веб-сайты, которые регулярно посещают сотрудники целевой организации. Заражение происходит с сайта, которому вы уже доверяете. Для этого не требуется отправлять подозрительные электронные письма, и именно это затрудняет обнаружение атаки.

Современные методы фишинга

• Подделка доменов: злоумышленники регистрируют домены, которые выглядят практически идентично легитимным, заменяя rn на m, 1 за l, добавление дефиса, изменение TLD. Например, paypa1.com. arnazon.com. Визуально достаточно похоже, чтобы спутать с первого взгляда, особенно в мобильном браузере, где полный URL едва помещается на экране. 
• Фишинг с использованием изображений: вредоносный контент, встроенный не в текст, а в изображения, из-за чего автоматические фильтры, сканирующие текст на наличие подозрительных ключевых слов или ссылок, ничего не обнаруживают. 
• Фишинг через поисковые системы: поддельные сайты, созданные с целью занять высокие позиции в результатах поиска по запросам, которые люди вводят, когда им нужна срочная помощь. «Страница входа в систему банка», «портал оплаты налогов», «скачивание программного обеспечения». Люди доверяют результатам поиска так, как их приучили не доверять электронным письмам. 
• «Человек посередине»: злоумышленник располагается между вами и легитимным сайтом, перехватывая сессию в режиме реального времени. Вы думаете, что находитесь на настоящей странице, и с технической точки зрения это так, но все введенные вами данные сначала попадают к кому-то другому 

Распространенные шаблоны фишинговых писем

Эти шаблоны продолжают циркулировать, потому что они по-прежнему работают. Наверняка большинство людей видели те или иные варианты всех этих шаблонов. 

Расширенные примеры из реальной жизни: В приведенных ниже примерах представлены типичные шаблоны фишинговых сообщений и указаны конкретные признаки, на которые следует обратить внимание в каждом из сценариев.

1. «Ваша учетная запись была помечена»

В теме письма указано, что произошла какая-то проблема, например попытка несанкционированного доступа или подозрительный вход с неизвестного устройства. «Ваша учетная запись будет заблокирована через 24 часа, если вы не подтвердите свою личность немедленно».

Вы нажимаете на ссылку, не дочитав текст до конца. К моменту, когда вы попадаете на страницу входа в систему, вы уже не можете отступить. Ссылка ведет на сайт, который выглядит вполне достоверно. Вы вводите свои учетные данные, и злоумышленник получает доступ к вашей учетной записи. 

Обратите внимание на следующее: в тексте сообщения отсутствуют конкретные данные учетной записи (в настоящих уведомлениях обычно указывается ваше имя пользователя или последние четыре цифры какого-либо номера), домен отправителя похож, но не совпадает, а на странице входа требуется ввести больше данных, чем обычно.

Дополнительные типичные шаблоны фишинговых сообщений

Несколько шаблонов, которые постоянно встречаются в различных отраслях: 

• Мошенничество с поддельными счетами: счет от поставщика, которого вы вроде бы знаете, или счет, который на первый взгляд выглядит вполне достоверно, с просьбой произвести оплату на новые банковские реквизиты. Отделы по работе с кредиторской задолженностью получают такие письма регулярно. Сумма, как правило, находится в пределах, не требующих дополнительного утверждения. 
• Мошенничество с «обновлением» учетной записи: предложение обновить используемый вами сервис с просьбой предоставить платежные данные для завершения процедуры. Иногда мошенники выдают себя за инструмент, на который ваша компания действительно подписана. 
• Мошенничество в сфере управления персоналом: поддельные письма по поводу заработной платы или льгот, в которых вас просят обновить банковские реквизиты или подтвердить личные данные. Такие письма рассылаются в период адаптации новых сотрудников или во время ежегодной регистрации, когда подобные запросы являются ожидаемыми и люди реже подвергают их сомнению. 
• Мошенничество с облачными хранилищами: «Кто-то поделился с вами документом». Ссылка ведет на поддельную страницу входа в Google Drive, OneDrive или Dropbox. Вы вводите свои учетные данные, чтобы просмотреть файл, которого на самом деле там никогда не было. 

2. «Вы выиграли в лотерею»

Эти письма попадают в почтовые ящики с сообщением о выигрыше — иногда это денежная сумма, подарочная карта или нечто неопределённое под названием «выигрыш» — и содержат просьбу предоставить личные данные для оформления выплаты. Требуются имя, адрес, дата рождения, а иногда и банковские реквизиты для перечисления средств. Домен отправителя не соответствует ни одной реальной организации, грамматика в письмах, как правило, оставляет желать лучшего. Часто в письмах указан номер телефона за рубежом или общий адрес электронной почты для дальнейшей связи.

Это один из самых старых шаблонов фишинговых писем, но он по-прежнему работает — пусть и не на всех, но на достаточном количестве людей, чтобы его не прекратили использовать. Принцип его действия основан на массовом рассылке: достаточно отправить письмо по достаточному количеству адресов, и кто-нибудь обязательно откликнется.

Обратите внимание на следующие признаки: приз, в розыгрыше которого вы никогда не участвовали; требование предоставить личные данные до того, как что-либо будет «выдано»; настойчивые призывы воспользоваться предложением до истечения срока; контактные данные, не соответствующие никакой реальной организации.

3. «Требуется установка важнейшего исправления безопасности»

Это письмо выглядит так, будто оно пришло от поставщика программного обеспечения, услугами которого вы действительно пользуетесь, а в теме указано номер CVE или неопределенное упоминание о «критической уязвимости». В письме есть ссылка для скачивания и указан крайний срок, а также сообщение: «Установите исправление сейчас, пока ваша система не подверглась риску». 

Люди привыкли оперативно обновлять программное обеспечение. Именно этой привычкой и пользуется данная уязвимость. Ссылка ведет не на исправление, а на файл, устанавливающий вредоносное ПО, и в зависимости от его содержимого злоумышленник получает доступ различной степени к тому компьютеру, на котором оно было запущено.

Обратите внимание на следующее: отсутствие указания конкретной версии продукта, размещение ссылки для скачивания не на домене самого поставщика, а на стороннем ресурсе, а также использование призывов к немедленному действию, которые мешают внимательно ознакомиться с информацией перед нажатием.

4. "Запрос на срочный банковский перевод"

Часто бывают короткие электронные письма, которые якобы приходят от руководителя высшего звена, например от финансового директора, генерального директора, а иногда и от непосредственного начальника, с текстом: «Требуется срочный банковский перевод. Сейчас невозможно воспользоваться обычными каналами. Позаботьтесь об этом, а потом обсудим». 

Авторитетность и срочность — это искусственно созданные ощущения. И то, и другое призвано заставить вас действовать, не удостоверившись в достоверности информации по другому каналу, а ведь именно этот шаг помог бы выявить обман в любом случае.

Обратите внимание на: домен отправителя, который похож, но не совпадает; просьбу обойти стандартную процедуру утверждения; любые финансовые инструкции, сопровождаемые объяснением, почему вам не следует сначала их подтверждать.

5. "Конфиденциальная информация о приобретении"

Письма с текстом: «Вы были выбраны для получения конфиденциальной информации о предстоящем сделке по поглощению. Нажмите, чтобы открыть документ»

Это письмо рассчитано на любопытство и желание почувствовать себя причастным к чему-то важному, например к деталям слияния, аналитике конкурентов или инсайдерской информации. В число целевых получателей обычно входят финансовые отделы, помощники руководителей и все, чья работа связана с обращением с конфиденциальной деловой информацией и кто сочтет такое письмо правдоподобным.

Этого документа не существует. По этой ссылке загружается вредоносное ПО. К тому моменту, когда вы заметите неладное, оно уже запущено.

Обратите внимание на следующее: отсутствие каких-либо предыдущих контактов или контекста, объясняющих, почему вы получили это сообщение; необходимость скачивания файла для просмотра; отправитель, которого невозможно проверить по каким-либо другим каналам.

Как фишинговые атаки нацелены на предприятия

Для частных лиц успешная фишинговая атака означает кражу учетных данных или мошенничество с использованием личных данных. Для компаний ущерб распространяется сразу по нескольким направлениям, и общие затраты, связанные с фишинговой атакой на организацию, почти всегда превышают первоначальные финансовые потери.

Финансовые последствия фишинга для предприятий

• Прямой финансовый ущерб: мошенничество с использованием корпоративной электронной почты (BEC) приводит к мошенничеству с банковскими переводами, перенаправлению платежей и несанкционированным транзакциям: среди наиболее распространённых способов — поддельные счета-фактуры, мошенничество под видом руководителя компании и перенаправление платежей поставщикам.
• Штрафные санкции: Утечка данных, связанная с фишингом, может повлечь за собой штрафы в соответствии с GDPR в размере до 4 % годового оборота. Кроме того, за несоблюдение требований HIPAA и PCI DSS предусмотрены отдельные системы штрафных санкций.
• Расходы на восстановление: затраты на реагирование на инциденты, криминалистическую экспертизу и устранение неполадок в системе быстро растут. Организации, столкнувшиеся с фишинговым инцидентом, отмечают, что именно сумма расходов на восстановление удивила их больше всего.

Сбои в работе из-за фишинга

• Прерывание деятельности: простои системы на время устранения ИТ-специалистами утечки данных. Снижение производительности в подразделениях, лишенных доступа к затронутой инфраструктуре. Перебои в предоставлении услуг, которые клиенты замечают до того, как компания завершит внутренние меры по устранению инцидента.
• Утечки данных: раскрытие информации о клиентах, интеллектуальной собственности или того и другого, причем в каждом из этих случаев предусмотрены собственные обязательства по уведомлению о нарушении и правовые последствия.
• Ущерб репутации: его сложнее оценить количественно, но и восстановить гораздо труднее. Доверие клиентов после утечки данных, связанной с фишингом, восстанавливается не так быстро, как работают системы.

Как PowerDMARC защищает компании от фишинга по электронной почте

Подделка домена электронной почты является отправной точкой для большинства атак типа BEC. Большинство организаций либо не внедрили протокол DMARC, либо остановились на настройке p=none (режим только мониторинга), который обеспечивает видимость, но ничего не блокирует. PowerDMARC помогает организациям перейти к полному применение DMARC на уровне p=reject, где поддельные письма блокируются до доставки, не нарушая при этом легитимный поток электронной почты. Вот как это работает:

• Пошаговое внедрение принудительного применения DMARC: структурированный план перехода от p=none к p=quarantine и далее к p=reject с использованием постепенного ужесточения политики на основе процентных значений. Один клик публикация DNS и хостируемые записи DMARC позволяют командам обновлять политики прямо из панели управления без ручного редактирования DNS.
• Аналитика угроз на базе искусственного интеллекта: механизм искусственного интеллекта обрабатывает миллионы агрегированных (RUA) и криминалистических (RUF) отчетов DMARC , чтобы автоматически классифицировать неизвестные IP-адреса отправителей, отличая неправильно настроенную CRM-систему или маркетинговую платформу от злонамеренной попытки подделки. Время обнаружения сокращается с нескольких дней ручного анализа XML до нескольких минут.
• Полная поддержка протоколов аутентификации электронной почты: помимо DMARC, SPF и DKIM, PowerDMARC обеспечивает управление MTA-STS (принудительное шифрование TLS для входящей почты с целью предотвращения перехвата), TLS-RPT (отчетность о безопасности транспортного уровня) и BIMI (отображение проверенного логотипа вашего бренда в почтовых ящиках получателей). Все шесть протоколов из единой панели управления.
• PowerSPF для сложных сред отправки почты: организации, использующие несколько сервисов отправки электронной почты, регулярно сталкиваются с ограничением SPF в 10 запросов к DNS, что приводит к сбоям при аутентификации легитимных писем. Хостируемое сглаживание SPF от PowerDMARC решает эту проблему без необходимости постоянного ручного обслуживания.
• Отчетность, удобная для всех подразделений: необработанные XML-данные преобразуются в наглядные информационные панели с географическими картами, указанием источника (с указанием сервиса, за которым стоит каждый IP-адрес) и анализом тенденций. Экспорт в формат PDF одним щелчком мыши для проведения аудитов на соответствие нормативным требованиям и подготовки отчетов для руководства.

Для MSP/MSSP: Многопользовательская платформа PowerDMARC позволяет централизованно управлять всеми доменами клиентов и обеспечивать их защиту с помощью единой панели управления, а также предлагает полную поддержку белого лейбла и сертификаты соответствия стандартам SOC 2 Type 2, ISO 27001 и GDPR. Нам доверяют более 2000 организаций и государственных учреждений в более чем 100 странах.

В целом, эта система автоматизирует самую сложную часть процесса: безопасный переход в состояние «p=reject», благодаря чему защита вступает в действие до того, как следующий поддельный счет или попытка мошенничества под видом руководителя компании попадает в почтовый ящик.

Посмотрите, как работает PowerDMARC

Закажите индивидуальную демонстрацию, чтобы узнать, как PowerDMARC переводит ваши домены на полное соблюдение стандарта DMARC без ущерба для доставки легитимных писем.

Закажите бесплатную демонстрацию

Новые методы фишинга с использованием искусственного интеллекта и технологий

На протяжении многих лет плохо составленные письма, неловкие формулировки, явные ошибки и предложения, которые едва ли имели смысл, служили верным признаком фишинга. Вот как злоумышленники используют новые технологии для создания более изощрённых фишинговых писем: 

Фишинг с использованием искусственного интеллекта

• Письма, сгенерированные ИИ: Фишинговые письма, созданные с помощью ИИ, больше не содержат характерных признаков подделки, поскольку они грамматически правильны, выглядят правдоподобно в контексте и могут быть персонализированы в массовом масштабе с использованием общедоступных данных. 
• Аудио- и видео-дипфейки: Технологии создания аудио-дипфейков развиты гораздо дальше, чем думает большинство людей, и для этого не требуется даже электронной почты. Достаточно голоса, звучащего правдоподобно, и запроса, который выглядит вполне обычным. Синтетическое видео развивается по тому же сценарию (пока что оно реже используется в атаках, но сама возможность существует и постоянно совершенствуется). 
• Автоматизированный целевой фишинг: Раньше для проведения целевого фишинга требовалось ручное исследование, которое занимало несколько часов на каждую цель. ИИ сокращает это время до нескольких секунд. Атаки, которые раньше применялись только против особо ценных целей, теперь стали экономически выгодными в отношении любого пользователя. 

Передовые технические методы

• Обход систем машинного обучения: Фильтры безопасности все чаще используют машинное обучение для выявления подозрительных паттернов. В настоящее время злоумышленники разрабатывают фишинговые кампании, специально предназначенные для проверки и обхода этих фильтров, тестируя различные варианты на системах обнаружения перед их массовым развертыванием. 
• Состязательный ИИ: использование искусственного интеллекта для тестирования и повышения эффективности атак на системы безопасности
• Динамическая генерация контента: создание фишингового контента в режиме реального времени с учетом поведения жертвы

Новые тревожные сигналы, на которые следует обратить внимание

• Идеальная грамматика: письма, написанные слишком грамотно и слишком конкретно. 
• Гиперперсонализация: персонализация, выходящая за рамки информации, доступной стандартному списку рассылки. 
• Запросы на голосовую или видеосвязь: неожиданные голосовые или видеозвонки с просьбой выполнить какое-либо действие или предоставить разрешение. Запросы на многофакторную аутентификацию (MFA), которые вы не инициировали. Контент, который, как кажется, адаптируется к недавним событиям или ссылается на них таким образом, что это вызывает легкое чувство неловкости.
• Контент ИИ, зависящий от времени: быстро меняющийся или адаптивный фишинговый контент

Старые «красные флажки» никуда не делись: аномалии в адресе отправителя, чрезмерная срочность, необычные запросы. Просто к ним прибавились новые признаки, указывающие на противоположное: отточенность, персонализация и пугающая точность.

Система анализа угроз PowerDMARC на базе искусственного интеллекта непрерывно отслеживает схемы атак в различных доменах, выявляя аномалии в процессе аутентификации и попытки подделки личности в режиме реального времени, прежде чем рассылки, сгенерированные с помощью ИИ, попадают в почтовые ящики.

Защитите себя от фишинговых писем

Фишинг действует по слишком многим каналам, слишком быстро адаптируется и использует в своих целях ошибки в суждениях людей, находящихся под давлением, — и это невозможно исправить. Вот как защитить себя от фишинговых писем: 

Передовой опыт в области организации

• Обучение сотрудников: Начните с обучения сотрудников и не прекращайте его. Речь идет не о разовом просмотре видео, а о реальных симуляциях с отправкой сотрудникам поддельных фишинговых писем, отслеживанием их действий и целенаправленными последующими мерами в отношении тех, кто нажмёт на ссылку. Цель заключается не в том, чтобы поймать кого-то на ошибке, а в том, чтобы выработать рефлекс — сначала задуматься, а потом уже нажимать, — и этот рефлекс формируется только благодаря постоянной практике. Ежегодные тренинги по повышению осведомлённости о безопасности этого не обеспечат.
• Реагирование на инциденты: когда происходит прорыв (а он обязательно произойдет), большинство людей не сообщают об этом сразу из-за чувства неловкости, неуверенности или непонимания, кому именно об этом сказать. Процедура подачи сообщения должна быть максимально простой: достаточно одной кнопки, одного адреса — всего десяти секунд. Время, проходящее между нажатием кнопки и локализацией инцидента, имеет гораздо большее значение, чем думают большинство команд, пока они не окажутся в такой ситуации.
• Технические меры защиты: фильтрация электронной почты и защита конечных устройств позволяют выявлять известные угрозы. Тщательно подготовленная атака типа «спер-фишинг» электронное письмо с домена, зарегистрированного вчера, не попадет ни в один черный список. Однако это не означает, что фильтрация бесполезна, просто одной ее недостаточно.
• Порядок подачи отчетов: четкие схемы эскалации и протоколы взаимодействия.
• Аутентификация электронной почты (DMARC, SPF, DKIM): конкретный механизм контроля, которому стоит уделить приоритетное внимание. При полном применении DMARC не позволяет никому отправлять электронные письма, проходящие аутентификацию как отправленные с вашего домена. Большинство организаций слышали о DMARC, но лишь немногие перешли от настройки p=none к полному применению. PowerDMARC автоматизирует этот переход; подробную информацию см. в разделе выше.

Советы по предотвращению фишинга

• Будьте осторожны: Проверяйте фактический адрес отправителя, а не отображаемое имя. Наводите курсор на ссылки, прежде чем переходить по ним.
• Не переходите по подозрительным ссылкам: Если в электронном письме запрашиваются учетные данные, банковские реквизиты или любая конфиденциальная информация, а обычно такой запрос обрабатывается по другому процессу, то это несоответствие является сигналом тревоги.
• Не разглашайте конфиденциальную информацию: Ни один банк не присылает вам форму для ввода пароля, и ни один ИТ-отдел не просит вас «подтвердить свой логин», перейдя по ссылке.
• Проверяйте необычные запросы через отдельный канал связи: если в электронном письме содержится просьба о банковском переводе, обновлении платежных данных или предоставлении конфиденциальной информации, позвоните отправителю напрямую по номеру, который у вас уже есть в базе данных, а не по номеру, указанному в самом письме.
• Обновляйте программное обеспечение: Регулярно обновляйте операционную систему, антивирусное ПО и веб-браузер, чтобы устранять уязвимости в системе безопасности.
• Внедрение аутентификации электронной почты: развертывание SPF, DKIMи DMARC на вашем домене. Вместе они проверяют источники отправки и отклоняют неавторизованные электронные письма, прежде чем они достигнут любого почтового ящика. PowerDMARC упрощает этот процесс для нескольких доменов благодаря автоматическому сглаживанию SPF, хостингу DKIM и удобным панелям отчетности.

Сообщать о фишинговых сообщениях

Если вы подозреваете, что получили фишинговое письмо, вам следует:

1. Сообщите об этом своему почтовому провайдеру: у большинства почтовых сервисов есть функции для сообщения о фишинговых письмах. Найдите в настройках возможность пометить письмо как спам или сообщить о фишинге.
2. Сообщите об этом в антифишинговые организации: такие организации, как Рабочая группа по борьбе с фишингом (APWG) или Центр по борьбе с интернет-преступлениями (IC3), могут помочь принять меры против киберпреступников.
3. Сообщите об этом организации, от имени которой было совершено мошенничество: если в фишинковом письме указана авторитетная организация, сообщите ей об этом, чтобы она могла принять необходимые меры для защиты своих клиентов.

И, наконец, воспользуйтесь платформой, которая обеспечивает необходимую прозрачность, автоматизацию и квалифицированную поддержку для защиты вашей организации от постоянно меняющихся фишинговых угроз.

Свяжитесь с нами сегодня, чтобы получить надежную защиту от фишинга и многих других угроз, связанных с электронной почтой, и позвольте нам разработать для вас стратегию, которая принесет реальные результаты!

Часто задаваемые вопросы о фишинге

Каковы наиболее распространённые примеры фишинговых писем?

К наиболее распространённым фишинговым письмам относятся срочные запросы на подтверждение учетной записи, поддельные уведомления о выигрыше в лотерею, мошеннические сообщения об обновлениях безопасности, просьбы о банковских переводах и предложения о предоставлении конфиденциальной информации. В таких письмах обычно используются приемы, основанные на создании ощущения срочности, страха или жадности, чтобы склонить получателей к раскрытию конфиденциальной информации или переходу по вредоносным ссылкам.

Может ли мошенник получить доступ к вашему банковскому счету, зная ваш номер телефона?

Хотя сам по себе номер телефона не дает прямого доступа к вашему банковскому счету, мошенники могут использовать его для атак с подменой SIM-карты, социальной инженерии или в рамках попыток обойти многофакторную аутентификацию. Они также могут использовать ваш номер телефона для сбора дополнительной личной информации посредством вишинга (голосового фишинга), чтобы в конечном итоге получить доступ к вашим счетам.

Как организации могут защититься от мошенничества с использованием корпоративной электронной почты (BEC)?

Организации могут защититься от BEC с помощью протоколов аутентификации электронной почты (DMARC, SPF, DKIM), обучения сотрудников, процедур проверки финансовых транзакций и передовых систем обнаружения угроз. PowerDMARC обеспечивает комплексную защиту от BEC за счет мониторинга в режиме реального времени и автоматического реагирования на угрозы.

Что делать, если я перешел по фишинговой ссылке?

Если вы перешли по фишинговой ссылке, немедленно отключитесь от Интернета, запустите полное антивирусное сканирование, смените пароли ко всем важным учетным записям, следите за финансовыми счетами на предмет подозрительной активности и сообщите об инциденте в свой ИТ-отдел или в соответствующие органы. Рассмотрите возможность включения дополнительных мер безопасности, таких как двухфакторная аутентификация.

Чем фишинговые атаки с использованием искусственного интеллекта отличаются от традиционных?

Фишинговые атаки с использованием искусственного интеллекта отличаются повышенной изощрённостью: они характеризуются безупречной грамматикой, гиперперсонализацией на основе данных из социальных сетей и способностью адаптироваться в режиме реального времени. Они могут содержать аудио- или видеоэлементы, созданные с помощью технологии deepfake, и рассчитаны на обход традиционных фильтров безопасности с помощью методов обхода, основанных на машинном обучении.

• О сайте
• Последние сообщения

Ахона Рудра

Эксперт по безопасности доменов и электронной почты в PowerDMARC

Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.

Последние сообщения Ахона Рудра (см. все)

• Политика защиты от фишинга в Office 365: как ее настроить - 3 июня 2026 г.
• Безопасность ИИ-агентов: риски, передовой опыт и аутентификация электронной почты - 2 июня 2026 г.
• PowerDMARC теперь интегрирован с HaloPSA - 1 июня 2026 г.