Увеличение фишинговых атак на университеты США с августа 2024
Источник: cloud.google.com
С августа 2024 года аналитики компании Mandiant зафиксировали значительный рост числа фишинговых атак, нацеленных на университеты США. Этот всплеск активности хакеров подчеркивает системный подход к использованию образовательных учреждений и предостерегает от повышенной уязвимости их студентов и персонала в критические академические периоды.
Рост фишинговых атак
Статистика показывает, что данные атаки совпадают с началом учебного года и предельными сроками финансовой помощи, что увеличивает восприимчивость жертв. Команда Google Workspace по обеспечению доверия и безопасности отметила, что такие попытки были зафиксированы уже в октябре 2022 года. Основными признаками этих атак стали:
- Постоянное использование общих имен файлов;
- Ежемесячное затрагивание тысяч пользователей образовательных учреждений;
- Распространение фишинговых форм, замаскированных под законные университетские сообщения.
Типы фишинговых кампаний
Mandiant выделила три ключевые фишинговые кампании, каждая из которых использовала разные тактики:
1. Использование скомпрометированных университетских ресурсов
Злоумышленники распространили вредоносные формы Google, выдаваемые за законные университетские сообщения. Несмотря на то, что жертвами стали как минимум 15 университетов, корректные действия по информированию привели к удалению обнаруженных фишинговых формуляров.
2. Клонированные страницы входа
В рамках второй кампании использовались клонированные страницы входа, которые перенаправляли пользователей с мобильных устройств через сложную цепочку перенаправлений с использованием JavaScript. Данная методика позволяла злоумышленникам эффективно перехватывать учетные данные.
3. Двухэтапная фишинговая операция
Третья операция сосредоточилась на преподавателях и персонале. Обманные письма запрашивали регистрационные данные под предлогом получения информации о повышении заработной платы, а затем использовались для дальнейших фишинговых атак на студентов.
Методы обхода безопасности
Хакеры применяли уязвимости в системе взлома деловой электронной почты (BEC), перенаправляя законные платежи на свои собственные счета. Тактика включала:
- Малые поэтапные переадресации средств для маскировки транзакций;
- Использование успешного фишинга для первоначальной компрометации.
Рекомендации для защиты
Чтобы противостоять этим угрозам, Mandiant предлагает несколько стратегий:
- Внедрение многофакторной аутентификации (MFA) для усиления защиты учетных записей;
- Регулярное обучение сотрудников распознавать фишинг;
- Строгие протоколы проверки платежей;
- Передовые решения для фильтрации и мониторинга электронных писем;
- Использование токенов canary для раннего обнаружения несанкционированной активности;
- Разработка мощных планов реагирования на инциденты в контексте сценариев BEC.
Также стоит рассмотреть ограничения на количество отправляемых сообщений электронной почты, что может помочь снизить риск от взломанных учетных записей. Контекстно-зависимый мониторинг доступа также повышает безопасность, анализируя поведение пользователей.
Заключение
Согласно аналитике Mandiant, сочетание осведомленности, проактивных мер и современных технологий является ключом к эффективной защите университетов от растущих киберугроз. Важно не только реагировать на инциденты, но и заранее предотвращать их.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
