Не отвечайте начальнику: зачем вам звонят и пишут «фейк-боссы» и что делать, чтобы не попасться на фишинг

Если вам звонит ваш начальник или вдруг на рабочую почту приходит письмо от важной компании — возможно, на вас и вашего работодателя открыли охоту мошенники. Такой метод, когда кто-то выдает себя за другого человека, чтобы получить доступ к устройству или данным, называется «фишинг». Количество таких атак увеличивается до невероятных размерах. Вместе с экспертами разбираемся, почему мошенники используют такой способ обмана и как с этим бороться.

Цель мошенников, которые используют фишинг, получить доступ к вашему устройству, к учетным записям и персональным данным. Мошенники могут выдавать себя за человека, говорить от имени организации, а также, среди прочего, заразить вашу технику вирусом и подделать сайт. Разнообразие атак бесконечно и каждый раз хакеры становятся креативнее.

От фишинга страдают крупные и не очень компании. Многие мошенники нацелены именно на организацию — они хотят украсть ее данные, подорвать работу или лишить доходов.

Исследование компании Positive Technologies, которая специализируется на кибербезопасности, показывает, что количество фишинговых атак постоянно растет. В 2024 году атак стало больше на 33% по сравнению с 2023 годом, а с 2022 годом — на 72%.

«За последние лет 5−6 я не припомню, чтобы количество атак вообще падало. Они будут продолжать расти», — считает Ирина Зиновкина, руководитель направления аналитических исследований в Positive Technologies

Атаки есть двух видов: целевые и массовые. Массовые не такие проработанные и часто это какая-то рассылка писем, в которых есть приложения или ссылки.

Целевые же намного интереснее — они направлены на конкретные группы лиц. Такой фишинг требует от мошенников больше времени и вложений, но зато они более успешны. Ими обычно занимаются целые компании мошенников — их называет АПТ-группировки.

По количеству больше массовых атак. Хакеры надеются, что хотя бы небольшой процент от тех, кто получил ссылку, «купится» на это. Во время таких атак мошенники обычно притворяются, что письма пришли от известных брендов — Microsoft, Apple, Google.

«При этом грань между массовым и целевым фишингом будет всё больше стираться, прогнозируют эксперты. Фишинговых сообщений станет больше, а их содержание будет становиться всё более качественным и правдоподобным», — рассказали в компании Positive Technologies.

Атаки обычно направлены на все отрасли, но чаще всего письма получают государственные учреждения — 15%. На втором и третьем месте промышленные предприятия (10%) и IT-компании (9%).

Атаки на организации приводят к разным последствиям. В 63% — это кража конфиденциальной информации. Также мошенники нарушают деятельность организации (28%), приносят ущерб интересам государства (6%) и приводят к прямым финансовым проблемам (5%).

«Из-за фишинговой атаки компания может потерять работоспособность на несколько суток», — добавила Ирина Зиновкина.

По данным Positive Technologies, 84% всех фишинговых атак совершается через электронную почту. У остального большой отрыв — 23%, атак через сайты и 4% через социальные сети и мессенджеры.

У АПТ-группировок в запасе много стандартно действующих схем, но хакеры продолжают развиваться и внедрять новые технологии. Как отмечают эксперты, в последнее время падает количество утечек личных данных, но при этом растет их объем.

Сейчас большие компании защищают почты, и злоумышленники пытаются придумать, как прислать вредоносную ссылку так, чтобы никто не заметил. Вредоносность хакеры начали скрывать, используя QR-коды.

Плюс снизился порог входа для злоумышленников: стало проще — создавать контент для атак, покупать и продавать данные, получать информацию. Если раньше фишинговые атаки требовали много времени и знаний, то теперь хакерские схемы можно купить в интернете.

Еще один большой тренд — это использование ИИ. С помощью него мошенники генерируют фишинговый контент и делают атаки более персонализированными.

Сейчас сотрудников разных компаний часто атакуют «фейк-боссы». По этой схеме вам якобы звонит или пишет ваш начальник. Он даже может использовать видеозвонок или «кружочек» в телеграме. От общего количества атак эта схема занимает примерно 10%. Такой показатель держится с 2022 года.

В 2024 году произошел бум использования дипвойсов и дипфейков. Эксперты ссылаются на исследование международной аудит-консалтинговой корпорации KPMG. В материалах сравнивают первый квартал 2023 года и первый квартал 2024 года. И за это время дипфейки и дипвойсы замечают на 245% чаще.

«Человек может быть максимально занят, у него много дел. И тут приходит голосовое или видео от руководителя. „Срочно! Отправляй!“. Человека может текстовое сообщение заставить задуматься в том, что оно настоящее, но вот видео может убедить сомневающегося», — объяснила Ирина Зиновкина.

Ирина Телехина, руководитель направления развития и контроля информационной безопасности Positive Technologies, рассказала, что одному из топ-менеджеров компании позвонил ненастоящий генеральный директор. Они поговорили по видеозвонку и топ-менеджер быстро понял, что это дипфейк и отключился. Но за эти несколько секунд мошенники собрали все необходимые данные топ-менеджера — мимику, цвет волос, глаз. Так они создали новый дипфейк, с помощью которого попробовали осуществить новую атаку. Помогло то, что в компании сотрудников постоянно готовят к возможности атаки.

«Фишинговые атаки осуществляются разнообразными способами, цель каждого из которых — уязвимость человека. Независимо от уровня подготовки сотрудников, будь то специалисты по ИТ, ИБ или другие работники, именно человеческий фактор остается слабым звеном, игнорировать который чревато», — рассказала Ирина Зиновкина.

Мошенники, чтобы ввести вас в стрессовое состояние, говорят о срочности и важности, пугают ФСБ и другими органами. Им важно создать эмоциональный фон, при котором отключается критическое мышление. Если это очень срочно и важно, то человек может не задумываться и ткнуть на письмо или отправить пароль.

Компаниям в первую очередь надо активно обучать своих сотрудников, говорят эксперты Positive Technologies. Нужно разъяснять, что происходит. А еще устраивать тренировки. То есть команда безопасности может сама проводить ненастоящие фишинговые атаки, чтобы сотрудники не попались, когда будет реальная атака.

Со ссылкой на исследования Hoxhunt (компания также занимается кибербезопасностью), спикеры уверяют, что обучение помогает. После полугода тренировок 50% сотрудников способны распознать реальную угрозу. А без подготовки это лишь 13%.

Также необходимо использовать программы для киберзащиты. Чтобы убрать опасность с электронных почт, нужно использовать почтовый шлюз, который будет обрабатывать информацию и «прятать» то, что приходит от мошенников. Также есть программы-песочницы, которые изучают письма на содержание вредоносных элементов.

«А это точно ты?» Мошенники освоили дипфейки и притворяются вашими друзьями и близкими — как распознать обман.

Даже прослушка не нужна. Алгоритмы знают о нас всё — как они собирают информацию о людях и можно ли от них спрятаться.

«Они ведь наверняка догадывались, что это мутная схема». За дропперство теперь будут сажать в тюрьму.