Современный фишинг

Именно поэтому современный фишинг стал гораздо опаснее. Он больше не выглядит как плохо переведенное письмо с нигерийским наследием или сообщение о выигрыше автомобиля. Напротив, он выглядит профессионально, внушительно и часто использует абсолютно легитимные сервисы Microsoft, Google или других крупных компаний. Для бизнеса это означает одну простую вещь: даже сотрудник, хорошо знающий правила кибергигиены, может стать жертвой современной атаки.

Почему фишинг изменился

Киберпреступники всегда идут по пути наименьшего сопротивления. Когда-то достаточно было украсть пароль. Затем компании начали внедрять двухфакторную проверку подлинности (MFA), менеджеры паролей и современные системы защиты электронной почты. Старые методы стали работать гораздо хуже. Поэтому преступники сменили тактику.

Вместо того, чтобы бороться с защитными системами, они стали использовать их в собственных интересах. Сегодня они не пытаются обмануть компьютер, а пытаются убедить человека. И именно человек добровольно подтверждает авторизацию, сканирует QR-код или запускает команду, думая, что выполняет требования службы поддержки.

QR-фишинг: когда телефон становится слабым звеном

Практически каждый из нас привык сканировать QR-коды.

  • Меню ресторана.
  • Оплата парковки.
  • Билеты.
  • Банковские приложения.

Именно поэтому QR-код вызывает гораздо больше доверия, чем обычная ссылка. Этим активно пользуются мошенники.

Представьте ситуацию. Работник получает электронное письмо от якобы IT-отдела компании. «Чтобы обновить политику безопасности, отсканируйте QR-код для повторной авторизации Microsoft 365.» Человек получает телефон. Сканирует. На смартфоне открывается страница, внешне почти не отличающаяся от настоящей.

Через несколько секунд аккаунт уже находится под контролем злоумышленников. Особенность QR-фишинга состоит в том, что он обходит многие традиционные механизмы проверки электронной почты. Защитные системы хорошо анализируют ссылки, но гораздо хуже — изображения со встроенными QR-кодами. Именно поэтому этот тип атак стремительно набирает популярность.

ClickFix: самая опасная атака, в которой все делает сама жертва

Если QR-фишинг использует доверие к смартфону, то ClickFix использует доверие к инструкциям.

Представьте, что вы открываете документ. Вместо него видите сообщение: «Для правильного открытия файла необходимо выполнить несколько действий.» Далее очень подробная пошаговая инструкция. Нажмите Windows + R. Вставить команду. Подтвердить исполнение. Всё смотрится логично. Человек уверен, что устраняет техническую проблему. На самом же деле она собственноручно запускает вредоносный код на своем компьютере. Именно это и есть главная опасность ClickFix.

  • Антивирус ничего не упустил.
  • Хакер ничего не сломал.
  • Пользователь сам выполнил все необходимые действия.

Device Code phishing: когда даже пароль никто не ворует

Эта техника сегодня считается одной из самых опасных. Вот почему это так. В этой схеме пользователь заходит… на настоящий сайт Microsoft. Не на поддельный. Не на фейковую страницу. Именно поэтому даже внимательные сотрудники часто не видят никаких признаков мошенничества.

Злоумышленник убеждает человека ввести специальный код подтверждения входа. После этого пользователь проходит обычную двухфакторную аутентификацию. Все смотрится абсолютно легитимно. Но в результате доступ к корпоративному аккаунту получает не владелец, а злоумышленник. Парадокс состоит в том, что пароль никто даже не видел.

  • Его не похитили.
  • Его не подбирали.
  • Его вообще не использовали.

Почему искусственный интеллект сделал проблему еще более серьезной

Еще несколько лет назад фишинговое письмо было относительно легко узнать. Грамматические ошибки. Удивительный стиль. Непонятные формулировки. Сегодня генеративный искусственный интеллект практически убрал эти признаки.

Современные инструменты могут через несколько минут написать безупречное письмо на украинском языке, найти информацию о компании, изучить стиль общения руководителя и создать сообщение, которое будет выглядеть совершенно естественно.

Фактически искусственный интеллект стал персональным помощником не только для бизнеса, но и киберпреступников. Именно поэтому количество успешных атак растет даже, несмотря на развитие средств защиты.

Проблема касается каждой компании

Многие руководители до сих пор считают, что их бизнес не интересен хакерам. Это одна из самых опасных иллюзий. Современные фишинговые кампании практически полностью автоматизированы. Их не создают под конкретную компанию. Они работают массово.

Тысячи писем.

Тысячи QR-кодов.

Тысячи сообщений.

Преступники не выбирают жертву.

Они ждут, пока кто один нажмет нужную кнопку.

И очень часто этого достаточно, чтобы получить доступ к корпоративной почте, финансовым документам, CRM-системе или внутренним чатам.

Что делать бизнесу

Современный фишинг уже невозможно остановить только антивирусом или двухфакторной аутентификацией.

Нужен другой подход.

Регулярное обучение сотрудников должно учитывать новые сценарии атак, а не только классические письма с подозрительными ссылками. Не менее важно постоянно контролировать подозрительные входы в корпоративные аккаунты, проверять нетипичные авторизации и быстро реагировать на любые признаки компрометации.

И самое главное — компания должна быть готова к инциденту еще до того, как он произойдет. Ведь в современном мире вопрос уже не в том, попытаются ли атаковать вашу организацию. Вопрос лишь в том, успеете ли вы обнаружить атаку до того, как она превратится в финансовые потери, утечку данных или остановку бизнеса.

Фишинг больше не ворует пароли.

Он ворует доверие.

А доверие сегодня стало самой ценной мишенью для киберпреступников.

Если вы подозреваете, что компания уже стала жертвой современного фишинга

QR-фишинг, ClickFix или Device Code phishing часто не оставляют очевидных следов. Работник может даже не подозревать, что предоставил доступ к корпоративной среде, а злоумышленник незаметно работать с почтой, документами или облачными сервисами еще несколько дней или недель.

Поэтому после любого подозрения важно не только изменить пароль, но и проверить активные сессии, токены доступа, журналы аутентификации и возможные признаки скрытого присутствия в инфраструктуре.