Что такое китобойная атака?

Блог

В атаке "Китобой" злоумышленники нацеливаются на лиц, занимающих авторитарные или директивные позиции в организации, чтобы обмануть компанию.

ЮнесТарада

Последнее обновление:
5 Время чтения: 5 минут
Что такое китобойная атака?
Оглавление-

Атаки китов являются синонимом мошенничеством с участием генерального директора, который является популярной тактикой, используемой киберпреступниками для обмана компаний. В ходе атаки «китобойного промысла» злоумышленники выбирают в качестве мишеней лиц, занимающих авторитарные или руководящие должности в организации, таких как высшие руководители и высокопоставленные чиновники. Это мощная, высокоцелевая форма фишинга или специфического фишинга , направленная на то, чтобы обманом заставить высокоценные цели (HVT) раскрыть корпоративную информацию, учетные данные, перейти по вредоносным ссылкам, открыть вредоносные файлы или инициировать банковские переводы. Цель часто заключается в краже конфиденциальных данных, получении доступа к критически важным системам (например, системам с финансовыми данными) или использовании скомпрометированных учетных данных для дальнейшей вредоносной деятельности. Фишинговые атаки по-прежнему представляют серьезную угрозу; CISCO обнаружила, что 86% компаний имели хотя бы одного сотрудника, который попался на фишинговую аферу, а Рабочая группа по борьбе с фишингом (APWG) зафиксировала более миллиона уникальных фишинговых атак только в первом квартале 2022 года.

Ключевые выводы

  1. Атаки "китов" используют сложные исследования, чтобы нацелить высокопоставленных руководителей на получение конфиденциальных корпоративных данных или доступа к системам.
  2. Фишинг отличается от обычного фишинга своей специфической направленностью, большей изощренностью и потенциально более разрушительными последствиями (финансовыми, репутационными).
  3. Эффективная защита требует многоуровневого подхода, сочетающего аутентификацию электронной почты (DMARC при p=reject), лучшие практики безопасности (2FA, обновления) и обучение сотрудников.
  4. Злоумышленники часто изучают цели, используя социальные сети и публичную информацию, чтобы создать убедительные персонализированные электронные письма.
  5. Внедрение DMARC, SPF и DKIM очень важно для блокирования подмены доменов в атаках и мониторинга угроз.

Как происходит китобойная атака?

Чтобы понять, как происходит китобойная атака, давайте сначала попробуем понять разницу между китобойными атаками, фишингом и spear phishing:

Что такое обычный фишинг?

Социальная инженерия, или обычный фишинг, заключается в том, чтобы обманом заставить людей раскрыть конфиденциальную информацию, такую как учетные данные для входа в систему или финансовую информацию. Злоумышленник часто выдаёт себя за надежную организацию, например банк или государственное учреждение, и отправляет электронное письмо или сообщение с просьбой предоставить информацию или ссылкой на поддельный веб-сайт. Обычные фишинговые атаки часто направляются большим группам людей в надежде, что небольшой процент из них попадется на уловку.

Китобойный промысел VS фишинг

  • Таргетинг: Обычная фишинговая атака не направлена на конкретных высокопоставленных лиц; она забрасывает широкую сеть, нацеленную на широкую аудиторию. Фишинговая атака направлена на руководителей высшего звена и высокопоставленных чиновников ("китов" или "крупную рыбу").
  • Изощренность: Обычные фишинговые атаки часто бывают простыми. Фишинговые атаки, как правило, более сложны, хорошо проработаны и персонализированы, часто используют официальные логотипы, язык и, казалось бы, законные адреса электронной почты после тщательного изучения роли, обязанностей и привычек объекта атаки.
  • Целевая информация: В обычном фишинге часто ищут учетные данные для входа в систему или личную финансовую информацию. Цель фишинга - ценная конфиденциальная корпоративная информация, например, коммерческие тайны, конфиденциальные документы или доступ к финансовым счетам и системам компании.
  • Тактика: Обычный фишинг может использовать обычную тактику запугивания. Фишинг может использовать более сложные тактики, например, создание поддельных сайтов, зеркально отражающих законные, или создание ложного ощущения срочности, связанного с деловыми вопросами.
  • Последствия: Хотя любой фишинг может нанести вред, успешная "китовая" атака часто оказывается более разрушительной из-за доступа к конфиденциальным данным высокого уровня, что может привести к значительным финансовым потерям и репутационному ущербу. Фишинговая атака вдвойне успешнее и опаснее, поскольку она использует надежность и авторитет уже существующего человека, чтобы обмануть жертву.
  • Способ нападения: Оба часто используют электронную почту, но китобойный промысел может также включать целевые телефонные звонки или другие способы связи.

Китобойный промысел VS Спирфишинг

  • Фишинговые атаки Spear Phishing также являются узконаправленными фишинговыми атаками, которые нацелены на конкретных людей или группы в организации для запуска мошеннических кампаний.
  • Whaling отличается от обычного spear phishing тем, что в качестве основной цели выбираются только самые высокопоставленные руководители компаний ("киты").

При китобойной атаке злоумышленник отправляет фишинговое письмо руководителю высшего звена, выдавая себя за его менеджера, генерального или финансового директора, а иногда - за сотрудника низшего звена, выдавая себя за руководителя. В этом письме будет предложено перевести деньги компании или запросить корпоративные учетные данные, которые помогут злоумышленнику получить доступ к системе организации.

Определение китобойной атаки

Термин "китобой" используется для обозначения руководителей компаний или крупных рыб, таких как генеральный и финансовый директора. Поскольку эти люди занимают высокие посты в компании, они имеют доступ к конфиденциальной информации, как никто другой. Именно поэтому выдавать себя за них или обманывать их может оказаться губительным для бизнеса и репутации компании, что приведет к потенциальным финансовым потерям, утечке данных, снижению производительности и даже юридическим последствиям.

Примеры нападения на китовПример письма о нападении китов, в котором генеральный директор просит финансового менеджера срочно перевести деньги

В приведенном выше примере Джон, менеджер финансовой группы, получил электронное письмо от Гарри, генерального директора организации, с просьбой срочно перевести деньги. В этом случае, если Джон не проверит запрос по другому каналу или не распознает признаки фишинга, он переведет все средства, к которым имеет доступ, и тем самым станет жертвой атаки китов.

Как остановить "китовые атаки": защита организации и данных

Чтобы сделать эти атаки еще более эффективными в качестве тактики социальной инженерии, злоумышленники часто тщательно и детально прорабатывают свои домашние задания. Они используют общедоступную информацию, собранную с таких социальных сетей, как Facebook, Twitter и LinkedIn, а также с сайтов компаний, чтобы получить представление о повседневной жизни руководителя, его деятельности, обязанностях и профессиональных связях. Это позволяет им выглядеть правдоподобно и законно, что помогает им легко обмануть своих жертв.

Есть ли способ остановить нападения китобоев? Да, есть! Ниже приведены некоторые проактивные меры, которые помогут вам бороться с фишингом, спуфингом, китами и другими формами атак социальной инженерии. Лучше всего использовать многоуровневый подход:

  1. Протоколы аутентификации электронной почты:
    • Sender Policy Framework (SPF) помогает авторизовать законные источники отправки. Если вы используете несколько доменов или третьих лиц для отправки электронной почты, запись SPF поможет вам указать их, чтобы вредоносные домены, выдающие себя за ваши, могли быть идентифицированы.
    • DomainKeys Identified Mail или DKIM - это протокол аутентификации электронной почты, который использует криптографические подписи, чтобы гарантировать неизменность ваших сообщений на протяжении всего их пути.
    • И наконец, DMARC (Domain-based Message Authentication, Reporting, and Conformance) помогает согласовать идентификаторы SPF или DKIM и указать серверам, принимающим почту, как вы хотите обрабатывать фальшивые сообщения, отправленные с вашего домена (например, отклонять их). Политика DMARC, установленная на `p=reject`, может эффективно бороться с подменой прямого домена, используемой в китобойном бизнесе. Она позволяет отклонять письма, не прошедшие проверку, требовать аутентификации для исходящей почты и не допускать доставки поддельных писем.
  2. DMARC Reporting: После применения режима политики включите сводные и криминалистические отчеты DMARC чтобы отслеживать источники электронной почты, понимать доставляемость и быстро обнаруживать попытки атак на ваш домен. Инструмент DMARC-анализатора поможет управлять этими отчетами и безопасно обновлять политики.
  3. Обучение и подготовка сотрудников: Убедитесь, что сотрудники, особенно руководители высокого уровня и финансовые специалисты, осведомлены о рисках, связанных с киберпреступностью, и обучены распознавать подозрительные электронные письма, проверять запросы (особенно финансовые) по отдельному каналу связи, а также избегать перехода по незнакомым ссылкам или открытия неожиданных вложений. Регулярное обучение кибербезопасности имеет решающее значение.
  4. Надежная аутентификация: Внедрите двухфакторную (2FA) или многофакторную (MFA) аутентификацию везде, где это возможно, особенно для электронной почты и доступа к важным системам.
  5. Безопасность паролей: Обеспечьте соблюдение политик, предусматривающих использование надежных, уникальных паролей для всех учетных записей.
  6. Программное обеспечение для фильтрации и защиты электронной почты: Используйте надежные решения для фильтрации электронной почты, чтобы блокировать подозрительные письма или отмечать их для проверки. Используйте средства защиты конечных точек, такие как антивирусы и брандмауэры.
  7. Регулярное обновление программного обеспечения: Поддерживайте все программное обеспечение, операционные системы и браузеры в актуальном состоянии с помощью последних исправлений безопасности, чтобы предотвратить использование уязвимостей.
  8. Сетевая безопасность: Применяйте строгие меры сетевой безопасности, в том числе сегментацию сети и строгий контроль доступа.
  9. План реагирования на инциденты: Четкий план реагирования на инциденты безопасности, такие как фишинговые или китовые атаки, чтобы минимизировать ущерб и обеспечить быстрое восстановление.

Применяя эти меры безопасности, вы сможете значительно снизить процент успеха атак социальной инженерии, направленных на сотрудников вашей организации. Сочетание технических средств контроля, таких как DMARC, с постоянным обучением и повышением осведомленности является ключом к созданию надежной защиты от "китов". Внедрение DMARC также может проложить путь для таких технологий, как BIMIпозволяющих прикреплять к электронным письмам логотип вашего проверенного бренда, что еще больше повышает доверие и узнаваемость.

Призыв к действию PowerDMARC

Последние сообщения Юнеса Тарады (см. все)
Последнее обновление:
Повышение безопасности домена с помощью анализа DMARCанализ дмаркаЧто такое уязвимость DMARCЧто такое уязвимость DMARC?