Positive Technologies: количество фишинговых атак выросло на треть за год

В рамках международного киберфестиваля Positive Hack Days 23 мая состоялась пресс-конференция, где эксперты Positive Technologies и «СДМ-Банка» (ПАО) детально разобрали тему фишинга: какие инструменты и темы используют злоумышленники и какие средства защиты на их пути ставят специалисты по ИБ. Positive Technologies также анонсировала разработку собственного почтового шлюза (PT Email Gateway) — продукта, который является ключевым для защиты почты от нежелательных сообщений, в том числе фишинга. Первые пилотные проекты запланированы на конец 2025 года.

Согласно исследованию* Positive Technologies, количество фишинговых атак продолжает расти: в 2024 году, по сравнению с 2023 годом, их количество выросло на 33%, а с 2022-го — на 72%. Атаки направлены на все отрасли, но самыми популярными у злоумышленников в 2024 году были государственные учреждения (15%), промышленные предприятия (10%) и IT-компании (9%).

Фишинговые атаки на организации могут привести к разным последствиям: краже конфиденциальной информации (63%), нарушению деятельности организаций (28%), ущербу интересам государства (6%) и прямым финансовым потерям (5%).
Фишинговые атаки можно разделить на целевые и массовые. Целевые направлены на конкретные группы лиц. Такой фишинг более проработан, требует от атакующих больше времени и вложений, но и вероятность успеха гораздо выше. Зачастую этим методом пользуются APT-группировки. Основная часть атак — это массовый фишинг, когда атакующие рассылают письма большому количеству людей, надеясь, что хотя бы небольшой процент совершит требуемое действие. В таких атаках злоумышленники часто мимикрируют под известные бренды, такие как Microsoft, Apple, Google. При этом грань между массовым и целевым фишингом будет все больше стираться, как прогнозируют эксперты. Фишинговых сообщений станет больше, а их содержание будет становиться все более качественным и правдоподобным.

Тренды в фишинговых атаках

Участники пресс-конференции выделили несколько трендов, которые прослеживаются в фишинговых атаках на российские компании.

Искусственный интеллект (ИИ) будет все прочнее внедряться в инструментарий злоумышленников. C помощью ИИ хакеры уже сейчас не только генерируют фишинговый контент, но и делают атаки более персонализированными. Чат-боты, например, повышают адаптивность фишинга, когда язык и тактика письма меняются в зависимости от ответа пользователя. Среди прочего чат-боты помогают мошенникам проводить популярные атаки типа «фейк босс». В целом, по данным Positive Technologies, количество сообщений от «работодателя» составило 10% от числа всех инцидентов в 2022–2023 годах. В 2024 году прослеживалась аналогичная динамика.

В 2024 году наметился и бум использования дипвойсов и дипфейков. По данным KPMG, с первого квартала 2023 года по первый квартал 2024-го на 245% выросло использование этих технологий в киберинцидентах по всему миру. Ирина Телехина, руководитель направления развития и контроля информационной безопасности в Positive Technologies, рассказала про фишинговую атаку на Positive Technologies с использованием дипфейка. В 2024 году злоумышленники совершили видеозвонок топ-менеджеру компании от имени генерального директора. Нескольких секунд им было достаточно для того, чтобы собрать необходимый набор персональных данных: мимику, цвет волос, глаз — чтобы на основе звонка создать дипфейк. Впоследствии дипфейк использовался для фишинговой атаки на Positive Technologies, но существующий процесс по противодействию киберугрозам и повышению осведомленности сотрудников позволил избежать успешной атаки.

Ирина Телехина

Руководитель направления развития и контроля информационной безопасности Positive Technologies

Почтовый трафик Positive Technologies является примером того, что все тренды кибератак едины во всем мире. Как только мы отслеживаем, что набирают популярность дипфейки, дипвойсы, инструменты для обхода MFA, через некоторое время мы видим использование новых инструментов для проведения фишинга и у нас. При этом количество фишинга, которое доходит до сотрудников Positive Technologies, является незначительным, так как большую его часть блокирует песочница PT Sandbox. Фишинговые атаки осуществляются разнообразными способами, цель каждого из которых — уязвимость человека. Независимо от уровня подготовки сотрудников, будь то специалисты по ИТ, ИБ или другие работники, именно человеческий фактор остается слабым звеном, игнорировать который чревато.

Эксперты Positive Technologies и «СДМ-Банка» (ПАО) рассказали, что ведут активную работу по повышению качества базовой защиты почты как первоочередной технической меры, а также обучают сотрудников своевременному выявлению фишинга. Согласно исследованию Hoxhunt, обучение персонала формирует устойчивые навыки распознавания фишинга: уже через полгода тренировок 50% сотрудников способны распознать реальную атаку, тогда как без подготовки этот показатель составляет лишь 13%.

Владимир Солонин, директор по информационной безопасности «СДМ-Банка» (ПАО), рассказал, что благодаря проводимой в банке программе обучения удалось снизить количество сотрудников, попавшихся на учебную фишинговую рассылку, с десятков до единиц.

Владимир Солонин также поделился, как «СДМ-Банку» (ПАО) удалось выстроить защиту от фишинга и значительно изменить статистику по задержанным фишинговым сообщениям.

В С

Владимир Солонин

Директор по информационной безопасности «СДМ-Банка» (ПАО)

Ранее мы вручную с помощью скрипта разбирали потенциально опасные сообщения, но с ростом объема таких писем потребовалась автоматизация. Так мы пришли к необходимости внедрения песочницы, стоящей „в разрыв“. После ухода зарубежных вендоров из России, после сравнительного тестирования отечественных решений выбор сделали в пользу PT Sandbox от Positive Technologies. Мы постоянно оцениваем уровень и эффективность отражения киберугроз, в том числе со стороны почты. Так, в апреле 2025 года продукт задержал 342 вредоносных письма, а мы получили лишь 0,36% потенциально вредоносных сообщений, которые обошли классические антивирусные средства. Пик по задержанным вредоносным письмам наблюдался в июне 2023-го — 880 писем и 0,39% полученных. Эта статистика показательна, так как буквально транслирует нам, как качественный продукт для информационной безопасности справляется с защитой организации от фишинга. Однако любая защита должна быть эшелонированной и комплексной: помимо песочницы, необходимо выстроить и базовую защиту почтового сервера с помощью почтового шлюза с антивирусными движками, защитить конечные рабочие станции и не забывать про повышение киберграмотности сотрудников.

Для того, чтобы повышать эффективность фишинга, усилия злоумышленников все больше будут направлены на обход защитных механизмов. Например, мошенники активно внедряют тест CAPTCHA, чтобы затруднить автоматическую блокировку сайта, а также создать иллюзию доверия у жертвы, поскольку обычно его используют легитимные порталы. Атакующие применяют вложения, ссылки и реже — QR-коды для распространения вредоносных программ и поддельных форм ввода данных. Но, хотя QR-коды встречаются лишь в одном из 500 электронных писем, 60% из них содержат спам или вредоносное ПО, согласно исследованию Cisco Talos. Продвинутые средства защиты уже учатся анализировать вредоносные QR. Например, песочница PT Sandbox умеет находить QR-коды на изображениях в теле или во вложениях письма, извлекает содержащиеся в них ссылки и проверяет их на вредоносность.

Развитие рынка даркнета повлияло и на фишинг: преступная деятельность превратилась в товар, открыв возможность даже неквалифицированным злоумышленникам получать доступ к инфраструктуре организаций, не прилагая значительных усилий. Если раньше фишинговые атаки требовали от атакующего затрат времени и сил, то сейчас эту проблему решили платформы PhaaS (Phishing-as-a-Service). Цена на готовые фишинговые проекты начинается всего от 10 $.

Ирина Зиновкина

Руководитель направления аналитических исследований в Positive Technologies

Платформы Phishing-as-a-Service действительно изменили ход игры. Как на маркетплейсе, злоумышленники могут выбрать необходимый набор инструментов: шаблоны для фишинга вместе с дашбордами метрик эффективности сообщений, использование CAPTCHA, инструменты для генерации или клонирования веб-сайтов. Поэтому компаниям остается выстроить максимальную защиту от фишинга, чтобы минимизировать его распространение в почте сотрудников.

Защита от фишинговых атак

По данным Positive Technologies, 84% всех фишинговых атак совершается через электронную почту, оставляя позади с большим отрывом сайты (23%), социальные сети и мессенджеры (4%). При этом эффективно обеспечить защиту почтового сервера можно с помощью использования связки продуктов для информационной безопасности: почтового шлюза (secure email gateway) и песочницы (sandbox). В 2025 году рынок продуктов по защите электронной почты в России Positive Technologies оценивает на уровне 6–7 млрд рублей**. При этом наблюдается тенденция к ежегодному устойчивому росту.

Елена Полякова

Менеджер продуктового маркетинга Positive Technologies

Ранее мы обеспечивали защиту почтовых серверов клиентов с помощью интеграции нашей песочницы PT Sandbox с другими средствами защиты почты. Однако в рамках опроса*** клиентов выяснили, что большинство хотели бы использовать в своей инфраструктуре моновендорную связку SEG и Sandbox. В ответ на потребности клиентов Positive Technologies с конца прошлого года разрабатывает продукт класса SEG — PT Email Gateway. Вместе с песочницей PT Sandbox он составит комплексное решение, доступное из единого интерфейса, которое покроет все векторы атак через почту, обеспечивая эшелонированную защиту от угроз разной сложности. MVP продукта и первые пилотные проекты запланированы на конец 2025 года.

Разработка почтового шлюза позволит Positive Technologies обеспечить комплексную защиту почты (в связке с PT Sandbox) для текущих и новых клиентов из крупного бизнеса, а также выйти на новые рынки, например в сегмент среднего бизнеса, где компаниям важно обеспечивать базовую защиту почты от массовых угроз.

* Разработка почтового шлюза позволит Positive Technologies обеспечить комплексную защиту почты (в связке с PT Sandbox) для текущих и новых клиентов из крупного бизнеса, а также выйти на новые рынки, например в сегмент среднего бизнеса, где компаниям важно обеспечивать базовую защиту почты от массовых угроз.

** Выводы

*** Опрос участников конференции Positive Security Day 2024, в котором более 60% клиентов выбрали моновендорный подход для защиты почты.

Источник: Positive Technologies