Фишинг на теме COVID: как изменился ландшафт угроз за два месяца

В марте и апреле 2020 года несколько организаций, занимающихся мониторингом киберугроз, зафиксировали резкий рост числа фишинговых атак, использующих тематику COVID-19. Письма имитируют уведомления от государственных органов, медицинских организаций, банков, ВОЗ. Ссылки ведут на поддельные страницы или загрузку вредоносного ПО.

Это не новая техника. Злоумышленники всегда используют то, что занимает людей - крупные события, страхи, ожидания. Пандемия - исключительно удобный контекст: тема актуальна для всех, информационный фон меняется быстро, и люди находятся в состоянии стресса и пониженной критичности.

Что конкретно изменилось

Тематика приманок. Несколько месяцев назад типичное фишинговое письмо имитировало уведомление о посылке, счёт от контрагента или сообщение от банка. Сейчас добавились: "официальные рекомендации" по COVID, ссылки на "последние данные" о распространении, письма якобы от HR о правилах работы на удалёнке, "компенсационные" программы от государства.

Целевые атаки на удалённых сотрудников. Переход на удалёнку означает, что часть коммуникации переместилась из корпоративной почты в личные каналы. Сотрудник дома, в непривычной обстановке, менее сосредоточен и с большей вероятностью кликнет на что-то сомнительное, чем в офисе под наблюдением коллег.

Атаки на инфраструктуру удалённого доступа. VPN-шлюзы и системы удалённого рабочего стола стали приоритетной целью для атак методом перебора учётных данных. Компании, не включившие MFA, подвергаются значительно более высокому риску.

Мошеннические сайты. Регистрация доменов с ключевыми словами "covid", "coronavirus", "mask" выросла многократно. Большинство из них - мошеннические площадки или фишинговые страницы.

Почему традиционные меры работают хуже

В офисе есть несколько естественных барьеров: коллега рядом, которому можно показать подозрительное письмо. Корпоративное устройство с управляемыми настройками безопасности. Общий информационный фон, который снижает эффективность части приманок.

На удалёнке всего этого нет. Плюс к этому многие сотрудники работают с личных устройств, на которых нет корпоративных средств защиты.

Что делать практически

Несколько мер, которые работают без сложного технического внедрения:

Короткое предупреждение сотрудникам. Простое письмо или сообщение: сейчас активны фишинговые атаки на тему COVID. Признаки подозрительного письма - просьба перейти по ссылке, скачать файл, ввести учётные данные. Что делать - написать в ИТ или проигнорировать. Это занимает минуты и работает.

Проверить MFA на внешних точках входа. VPN, корпоративная почта, системы удалённого доступа. Если MFA нет - приоритет первого порядка.

Напомнить про обновления. Многие атаки используют уязвимости в браузерах и ОС, для которых патчи уже вышли. На личных устройствах обновления часто откладываются.

Создать простой канал для сомнений. Сотрудник получил подозрительное письмо - куда обратиться? Если ответа нет, он либо проигнорирует, либо сам решит кликнуть. Нужен очевидный адрес или чат.

Угрозы в этот период реальны, но управляемы. Задача - не создать панику, а дать людям конкретные ориентиры.