Виявлено новий клас корпоративних фішинг-атак

У Мережі з ’ явилася нова різновид фішинг-атак, які успішно обходять традиційні репутаційні фільтри і системи сигнатурного аналізу.

За півроку експерти Proofpoint, американського провайдера хмарних захисних рішень, зареєстрували десятки атак нового типу по всьому світу. У компанії їх називають «longlining» - атаки типу ярусного лову (знаряддя ярусного лову застосовуються при промислового видобутку риби цінних порід). Ці фішинг-атаки ефективно поєднують швидкість і масовість розсилок з високою варіативність контенту, що значно ускладнює виявлення атаки наявними засобами.

Proofpoint вдалося задокументувати ряд вторгнень нового типу. Одна з хвиль в жовтні минулого року пішла в Росії. В ході атаки всього за 3 години було розіслано 135 тис. повідомлень у більш ніж 80 компаній. Зловмисники використовували понад 28 тис. IP-адреси і хворий 35 тис. доменів відправників, посилання всередині повідомлень вели на десятки скомпрометованих легальних веб-сайтів, куди попередньо впровадили джерела drive-by завантажень та асоційованих з фішінговими URL. З-за різноманітного контенту, відправників та іншого ні в одній з цільових компаній було виявлено не більше трьох повідомлень з однаковими характеристиками, тому ідентифікувати вторгнення як цільові атаки не вдалося. За даними Proofpoint, на частку цієї розсилки в цільових організаціях довелося менше 0,06% сукупного поштового трафіку (тоді як спам-реклама склала 19%, листи з шкідливим вкладенням - 11%).

Експерти відзначають, що за такої масовості longline-розсилок їх ефективність викликає велику тривогу - понад 10% шкідливих URL не тільки пройшли всі корпоративні фільтри, але і були активовані. А кожен п'ятий фатальний «клік» (19%) був зроблений, коли службовець перевіряв корпоративну пошту, перебуваючи за межами захищеного простору, - з будинку, в дорозі або з мобільного пристрою