BI.ZONE: 69% корпоративных электронных писем в 2023 году были нелегитимными
По данным BI.ZONE CESP, больше всего потенциально опасных писем в корпоративном почтовом трафике встретилось в сферах промышленности, транспорта и логистики, строительства и недвижимости, а также профессиональных услуг.
Эксперты BI.ZONE отмечают, что 68% целевых атак на российские компании начинается с письма. Через электронную почту распространяются и массовые нежелательные сообщения: как обычный рекламный спам и флуд с набором символов, так и фишинг, письма с вредоносным программным обеспечением (ВПО), а также спуфинг. В основном такие сообщения отправляют, чтобы похитить данные ради выкупа, продажи или публикации этой информации в даркнете, проверить, активны ли email-адреса получателей, и распространить рекламу. В прошлом году 2/3 всех писем в корпоративном трафике были нелегитимными.
Фишинг
Доля фишинговых писем в 2023 году выросла на 70% по сравнению с 2022-м. Одно из 137 относилось именно к такой категории. Главной мишенью стала сфера транспорта и логистики, где каждое 88-е письмо — фишинговое. Эта же отрасль — лидер по темпу роста фишинговых атак: их доля увеличилась в 2,4 раза по итогам года.
Злоумышленники постоянно адаптируют атаки, чтобы обходить средства защиты, но неизменно продолжают использовать электронную почту как основной метод получения первоначального доступа. Так, чтобы как можно дольше оставаться незамеченными в инфраструктуре взломанных компаний, в 2023 году киберпреступники впервые применили российские программы удаленного доступа. Чтобы доставить вредоносный файл, который устанавливал такое ПО, хакеры использовали электронную почту.
Письма с ВПО
По сравнению с 2022 годом, доля писем с вредоносными вложениями выросла в 2,4 раза. Абсолютным лидером стал промышленный сектор: в этой сфере процент писем с ВПО почти в 6 раз превышает средний показатель.
Атакующие чаще всего использовали ВПО, распространяющееся по модели MaaS (malware‑as‑a‑service). Его следы встречаются более чем в 80% вредоносного трафика, поступающего на корпоративные почтовые серверы. Такое ВПО часто приобретают на теневых форумах злоумышленники, которым не хватает компетенций для собственной разработки. Это повышает охват атак с его применением.
Спуфинг
Доля атак, в которых злоумышленник выдает себя за доверенный источник, сократилась в 2023 году по сравнению с прошлым в 1,5 раза. Специалисты BI.ZONE отмечают, что киберпреступники сместили фокус: чаще спам и рекламу (в том числе с непристойным контентом) рассылают не с поддельных email-адресов, а через взломанные легитимные учетные записи.
Несмотря на общий спад активности, связанной со спуфингом, к отдельным отраслям интерес злоумышленников увеличился. В частности, доля спуфинга выросла 2,2 раза в промышленном секторе, в 2 раза — в сфере транспорта и логистики и в 1,3 раза — в области финансов и страхования.
Одной из наиболее охватных спуфинг-кампаний стала рассылка якобы от лица органов власти. Злоумышленники подделывали email-адрес и отправляли письма с темами «Всеобщая мобилизация 2023», «Сверка документов Военкомат», «Призывники 2023 список» и пр. Это и текст сообщения побуждали пользователя открыть архив, доступный во вложении или по ссылке для скачивания. Там был вредоносный файл, который устанавливал ПО для получения полного контроля над скомпрометированной системой.
«В 2023 году мы стали свидетелями массовых кибератак на российский бизнес. В рамках кампаний злоумышленники рассылали около 300 000 электронных писем за день. Такие атаки оказываются успешными из-за человеческого фактора. Поэтому обеспечивать защиту от нелегитимных писем необходимо еще до того, как они попадут на корпоративный сервер», — отметил Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE.
Топ отраслей по доле нелегитимных писем в корпоративном трафике:
-
Промышленность — 74%.
-
Транспорт и логистика — 72%.
-
Строительство и недвижимость — 70%.
-
Профессиональные услуги — 70%.
Чтобы противостоять email-угрозам, эксперты BI.ZONE советуют обучать сотрудников принципам цифровой гигиены, регулярно проводить тренировочные атаки и использовать специализированные средства защиты электронной почты.