Oт phishing к vishing и smishing: основные векторы развития социальной инженерии

Социальная инженерия до сих пор остается одной из самых эффективных форм атак, так как активно использует человеческий фактор. Специалисты манипулируют жертвой, играя на ее чувствах: жадности, страхе, сочувствии или доверии. Используя слабости человеческой психологии, злоумышленники вынуждают людей раскрывать конфиденциальную информацию, предавать мошенникам доступ к данным и финансовым ресурсам. Но также злоумышленники используют своих жертв и для осуществления противоправных деяний, например, поджогов в реальном мире.

В 2023 году 53% хакерских группировок, нацеленных на российский сектор, достигали своих целей с помощью фишинга. Фишинг – это вид интернет-мошенничества, целью которого является получение идентификационных, корпоративных, банковских и других видов данных пользователя или распространение вредоносного программного обеспечения (ВПО). Для мошенников фишинг остается привлекательным из-за своей экономической эффективности. Создание и распространение фишинговых схем зачастую не требует больших затрат, а потенциальная прибыль может быть значительной.

Наиболее типичный пример фишинга – отправка поддельного письма, например, от имени банка или крупной компании. Письма могут быть основаны только на социально инженерии, т.е. отправитель может вас шантажировать или мимикрировать под вашего коллегу, который не может найти документы. Кроме того, письма могут содержать QR-коды, ссылки на фишинговые сайты, имитирующие легитимные организации или сервисы, и/или вредоносное ПО, замаскированное под документы. Конечная цель злоумышленника может быть разной: от простого финансового обогащения, до полного проникновения в инфраструктуру компании. По данным Angara SOC, атаки с использованием фишинга составляют 30% от общего числа атак. В 2024 году число таких атак выросло на 41%.

Как работает фишинг?

Классический пример — письмо от «банка», сообщающее, что аккаунт заблокирован. Далее следует просьба «подтвердить» свои данные. Под действием стресса жертва переходит по ссылке, вводит учетные данные, тем самым предоставляя злоумышленникам доступ к своему счету. Однако со временем эта форма атаки стала настолько массовой, что люди начали распознавать очевидные мошеннические сообщения.

При целевых атаках на компанию злоумышленники тратят гораздо больше времени на подготовку, изучая свою жертву, ее привычки и интересы. Поэтому такие письма злоумышленников не всегда являются настолько очевидным примером фишинга, как массовая рассылка поддельных посланий. Но компании внедряют системы для распознавания фишинговых писем, а пользователи все чаще обращают внимание на подозрительные сигналы (например, странные email-адреса или грамматические ошибки). Это заставило злоумышленников искать новые пути для достижения своих целей. В частности, phishing породил новые ответвления, например, vishing или smishing.

Vishing (от анг. voice phishing) — голосовой фишинг, т.е. злоумышленники все еще используют социальную инженерию, но уже в формате звонков по телефону, чтобы достичь своих целей. Мошенники звонят от имени банковских представителей, правоохранительных органов, технической поддержки и много еще от кого. Несмотря на то, что процент успешных звонков относительно низкий, это не мешает злоумышленникам ежемесячно выкачивать из своих жертв миллиарды рублей. Данный вид фишинга по-прежнему работает, так как голосовая коммуникация более убедительная, чем текстовая, и давление на жертву, принуждение срочно выполнить требования манипулятора, ощущаются гораздо сильнее. Такой подход является персонализированным из-за использования мошенниками конфиденциальной информации из утечек данных, например, данных паспорта.

Smishing (от анг. sms phishing) — фишинг посредством смс сообщений. Задача злоумышленника все та же – выманить у жертвы конфиденциальные данные путем отправки поддельных сообщений. В распространенных сообщениях могут сообщать о выигрыше приза, подтверждении доставки товаров и так далее.

С развитием новых технологий будет эволюционировать и инструментарий злоумышленника. В частности, уже сейчас при звонках в мессенджерах злоумышленники используют дипфейки, чтобы вынудить жертву исполнить их требования. Если раньше необходимо было хоть немного разбираться в психологии, чтобы составить фишинговый текст, то сейчас это все могут сделать нейросети.

Самая надежная защита от фишинга почти во всех его проявлениях – не переходить по подозрительным ссылкам и не скачивать неизвестные файлы. Также стоит помнить и о том, что важно использовать двухфакторную аутентификацию везде, где она предусмотрена.

Если вам кажется, что вам звонят или пишут представители правоохранительных органов, и никто другой не мог знать о вас конфиденциальной информации, вспомните, что последнее вы публиковали о себе и своей жизни в социальных сетях. Возможно, кто-то из ваших знакомых опубликовал имя и фото вашей кошки, о которой вам говорили мошенники.

Для блокировки подобных звонков можно использовать специальные приложения или голосовые помощники, которые помогут защититься от нежелательных звонков.

Автор: Мария Михайлова, эксперт по защите бренда Angara SOC.