Звонки с предупреждениями о подозрительных операциях по счету или последнем дне обслуживания мобильного номера — уже классика фишинга. Но если вы думаете, что фантазия и способности мошенников на этом заканчиваются, то нет. 2024 год «подарил» нам несколько потрясающих случаев, когда жертвами фишинга стали гигантские и, казалось бы, хорошо защищенные компании.
Привет, меня зовут Матвей, я сотрудник службы безопасности вашего банка в этой статье я расскажу о самых дерзких и масштабных фишинговых схемах, которые сработали в 2024 году. Подробности под катом!
Используйте навигацию, если не хотите читать текст полностью:
→ Олимпийская афера Ticket Heist: как мошенники похитили мечты и миллионы
→ Как хакеры проникли в сердце Twilio
→ Petya вернулся и требует биткоины
→ Атака на Snowflake: масштабная утечка данных
→ Тенденции и статистика
→ Как защититься от фишинга
Олимпийская афера Ticket Heist: как мошенники похитили мечты и миллионы
Лето 2024 года. Париж готовится принять Олимпийские игры, а миллионы болельщиков по всему миру мечтают стать частью этого грандиозного праздника спорта. Именно в этот момент группа восточноевропейских киберпреступников запускает одну из самых масштабных и изощренных фишинговых кампаний в истории — операцию Ticket Heist.
За считанные недели мошенники создали впечатляющую инфраструктуру обмана: более 700 поддельных доменов, таких как paris2024-tickets.com и olympic-entry.net, каждый из которых был практически неотличим от официальных сайтов. SSL-сертификаты, идеальное копирование дизайна, многоязычный контент на 12 языках — все это создавало иллюзию подлинности. Преступники даже установили цены чуть ниже официальных, чтобы привлечь больше жертв.
Распространение ссылок на фейковые сайты осуществлялось через таргетированную рекламу в социальных сетях, массовые рассылки (более пяти миллионов электронных писем) и даже SEO-оптимизацию для попадания в топ поисковой выдачи. Технические уловки включали использование динамической системы доменов и ботнетов, что позволяло обходить блокировки и усложняло обнаружение мошенничества.
Результаты аферы оказались ошеломляющими: за два месяца кампании пострадало около 180 000 человек, а общая сумма похищенных средств достигла 15 миллионов евро. Кроме того, были скомпрометированы данные тысяч кредитных карт.
Типичный сценарий обмана выглядел так. Иван, менеджер из Москвы, всегда мечтал попасть на Олимпиаду. Увидел сайт с билетами со скидкой 40%, не раздумывал, заплатил 500 евро. А потом понял, что его обманули.
Международная операция полиции привела к аресту 23 подозреваемых и блокировке более 500 банковских счетов, связанных с мошенниками. Олимпийский комитет был вынужден выпустить специальное предупреждение для болельщиков.
Ticket Heist стала горьким уроком для тысяч болельщиков и напоминанием о том, что даже в погоне за мечтой нельзя терять бдительность. Всегда проверяйте источник информации, особенно когда речь идет о крупных покупках в интернете. Ведь, как показала эта история, цена доверчивости может оказаться слишком высокой.
Как хакеры проникли в сердце Twilio
Февраль 2024 года. Сан-Франциско. В офисах Twilio, гиганта облачных коммуникаций, царит обычная рабочая атмосфера. Никто из 500 сотрудников, получивших в этот день SMS-сообщения от якобы корпоративного IT-отдела, не подозревает, что вот-вот станет участником одной из самых изощренных фишинговых атак года.
Злоумышленники тщательно подготовились. Они создали поддельные сайты, до мельчайших деталей имитирующие систему единого входа Twilio. Использовали технику подмены номера отправителя (SMS spoofing), делая SMS неотличимыми от легитимных корпоративных сообщений. Каждое нажатие на ссылку в этих сообщениях открывало дверь в святая святых компании — ее внутренние системы.
В результате 76 сотрудников попались на удочку, а их учетные данные оказались в руках хакеров. Но истинный масштаб бедствия стал ясен позже. Под угрозой оказались данные 163 клиентов Twilio — компаний, доверивших свои коммуникации этому технологическому гиганту.
В ходе расследования выяснилось, что хакеры использовали фишинговые сообщения, информируя сотрудников о «просроченных паролях» и «изменениях в расписании», которые указывали на домены, содержащие слова «Twilio», «Okta» и «SSO».
Атака была частью более масштабной кампании, названной экспертами «0ktapus». Целью злоумышленников было получение идентификационных данных Okta и кодов двухфакторной аутентификации. Эта схема позволила хакерам не только проникнуть в системы Twilio, но и потенциально получить доступ к данным множества других компаний, использующих ее услуги.
Двенадцать часов потребовалось команде безопасности Twilio, чтобы обнаружить вторжение. Начался настоящий кибер-блицкриг: блокировка скомпрометированных аккаунтов, усиление систем аутентификации, масштабный внутренний аудит. Каждая минута была на счету, ведь на кону стояла не только репутация Twilio, но и безопасность данных миллионов пользователей их клиентов.
Этот инцидент стал холодным душем для всей технологической индустрии. Если даже Twilio, компания, специализирующаяся на безопасных коммуникациях, может стать жертвой фишинга, то кто тогда в безопасности?
В июле 2024 года произошло еще одно значительное событие для Twilio, когда хакеры использовали уязвимость в API приложения Authy — популярного инструмента двухфакторной аутентификации. В результате этой атаки было раскрыто 33 миллиона телефонных номеров пользователей Authy. Злоумышленники смогли получить доступ к данным через незащищенный API-эндпоинт, что повысило риск фишинговых атак на пользователей.
Petya вернулся и требует биткоины
В марте 2024 года мир кибербезопасности вновь столкнулся с угрозой, напоминающей о печально известном вирусе-вымогателе Petya. Новая версия, получившая название Petya 2.0, начала распространяться с ужасающей скоростью и вскоре привела к серьезным последствиям для многих компаний по всему миру.
Атака началась с фишинговых писем, которые злоумышленники тщательно замаскировали под важные корпоративные уведомления. Эти письма содержали вложения с вредоносным ПО, которое активировалось при открытии. Как только вирус попадал на компьютер, он начинал шифровать файлы и требовать выкуп в биткоинах для восстановления доступа. В отличие от предыдущих версий, Petya 2.0 также использовал уязвимости в протоколе SMB (Server Message Block), что позволяло ему быстро распространяться по корпоративным сетям.
Способы распространения включали фишинговые письма с вложениями — более 500 000 таких писем было отправлено по всему миру. Злоумышленники использовали уязвимости в системах безопасности, такие как EternalBlue, и распространяли вирус по локальным сетям через зараженные компьютеры.
В результате атаки пострадали более 100 крупных организаций в Европе и США, включая финансовые учреждения и компании из сферы здравоохранения. Оценки убытков варьировались от 5 до 50 миллионов долларов для отдельных компаний. Вирус не только шифровал данные, но и мог повредить системы резервного копирования, что усложняло восстановление.
По данным киберэкспертов, за первую неделю атаки было зафиксировано более 1 000 зараженных компьютеров в разных странах. Например, одна из крупных медицинских организаций сообщила о том, что из-за атаки были потеряны критически важные данные пациентов, что поставило под угрозу их здоровье.
После обнаружения вируса многие компании начали немедленно отключать свои системы от сети и проводить аудит безопасности. Были приняты меры по усилению защиты: обновление антивирусного ПО и систем безопасности, а также проведение тренингов для сотрудников по распознаванию фишинговых писем и других угроз. Некоторые компании также обратились за помощью к экспертам по кибербезопасности для анализа инцидента и предотвращения повторных атак.
Эксперты из компании Positive Technologies отметили, что Petya 2.0 использует как хакерские методы, так и стандартные утилиты системного администрирования для обеспечения высокой скорости распространения внутри сети. Специалисты из Group-IB также подчеркивают, что этот вирус был создан с целью максимального ущерба для организаций.
Возрождение Petya в 2024 году стало напоминанием о том, что киберугрозы продолжают эволюционировать. Эта атака подчеркнула важность постоянного обновления систем безопасности и обучения сотрудников для минимизации рисков в условиях постоянно меняющегося киберландшафта.
Атака на Snowflake: масштабная утечка данных
В мае 2024 года произошла одна из самых значительных утечек данных, затронувшая облачную платформу Snowflake. Хакерская группа ShinyHunters осуществила атаку на несколько клиентов Snowflake, в результате которой было украдено огромное количество конфиденциальной информации. Атака была организована с использованием украденных учетных данных, которые были получены через инфостилеры — вредоносные программы, предназначенные для кражи логинов и паролей. Злоумышленники использовали учетные данные, которые были ранее скомпрометированы на других системах, и не имели многофакторной аутентификации, что значительно упростило доступ к аккаунтам.
По данным исследования от Mandiant, хакеры получили доступ к аккаунтам Snowflake клиентов, используя украденные учетные данные, которые были проданы на черном рынке. Эти учетные данные были получены из различных источников, включая зараженные компьютеры и системы третьих лиц. Утечка данных затронула более 30 миллионов записей, включая 560 миллионов записей клиентов Ticketmaster, 30 миллионов записей клиентов Santander, 2,3 миллиона записей клиентов Advance Auto Parts и 28 миллионов номеров кредитных карт. Среди украденной информации оказались имена, номера социального страхования, номера водительских удостоверений, данные банковских счетов, а также контактная информация и даты рождения.
Snowflake не раскрыла подробности о том, как хакеры получили доступ к учетным записям клиентов, заявив лишь, что преступники не взламывали сеть компании напрямую. Организация Mandiant, принадлежащая Google и привлеченная Snowflake для расследования инцидентов, сообщила в своем блоге, что в некоторых случаях киберпреступники получали доступ через сторонних подрядчиков, не называя этих подрядчиков и не поясняя, как именно это происходило.
Однако в беседе с изданием Wired один из злоумышленников заявил, что одной из таких компаний-подрядчиков была EPAM Systems — компания по разработке программного обеспечения и оказанию цифровых услуг с годовым доходом около 4,8 миллиардов долларов. Хакер утверждает, что его группе удалось использовать данные, найденные в системе сотрудников EPAM, для получения доступа к некоторым учетным записям в Snowflake.
После обнаружения утечки Snowflake приняла меры для повышения безопасности своих систем. Компания начала требовать от клиентов внедрения многофакторной аутентификации для защиты аккаунтов. В своем официальном заявлении Snowflake подчеркнула важность соблюдения базовых стандартов кибербезопасности и необходимость защиты данных пользователей. В ответ на инцидент Advance Auto Parts сообщила, что начала расследование и приняла меры для предотвращения дальнейших несанкционированных доступов. В результате атаки компания подтвердила компрометацию данных более двух миллионов клиентов, что привело к необходимости уведомления соответствующих органов и пострадавших.
Тенденции и статистика
Согласно отчету Cybersecurity & Infrastructure Security Agency (CISA), количество фишинговых атак увеличилось на 33% в 2024 году по сравнению с предыдущим годом. Более 60% организаций сообщили о том, что они стали жертвами фишинга хотя бы один раз за последний год. Кроме того, исследование от Verizon показало, что 94% всех вредоносных программ приходят через электронную почту.
Использование технологий машинного обучения также становится все более распространенным среди злоумышленников: по данным McAfee Labs, количество атак с использованием ИИ увеличилось на 25% за последний год. Это свидетельствует о том, что киберпреступники активно используют новые технологии для повышения эффективности своих атак.
В 2024 году количество фишинговых атак в России увеличилось почти в четыре раза по сравнению с предыдущим годом. По данным TAdviser, рост числа фишинговых ресурсов составил 425%, а заблокировано было более 22 тысяч таких сайтов. Также отмечается, что около 80% кибератак начались с фишинговых рассылок, а использование мессенджеров для распространения фишинга стало особенно актуальным из-за растущей аудитории этих платформ.
В 2024 году количество преступных схем с использованием дипфейков выросло на 3 000%, что делает эти технологии одним из самых серьезных инструментов для киберпреступников. Дипфейки позволяют злоумышленникам создавать высококачественные подделки видео и аудио, которые могут вводить в заблуждение даже самых внимательных сотрудников.
Например, мошенники могут использовать дипфейки для имитации голосов руководителей компаний, чтобы обманом заставить сотрудников передать конфиденциальные данные или перевести средства. По данным Сбербанка, убытки россиян от кибермошенничества в 2024 году могут составить 300 млрд рублей, и значительная часть этих потерь связана с использованием дипфейков в фишинговых атаках.
Интересно, что по прогнозам аналитиков, глобальный рынок дипфейков достигнет 79,1 миллиона долларов к концу 2024 года, что подчеркивает растущую популярность и доступность этой технологии для злоумышленников.
Как защититься от фишинга
Фишинг — одна из самых распространенных и опасных форм киберугроз. Для эффективной защиты от него необходимо применять комплексный подход. Он включает технологии защиты, обучение сотрудников и мониторинг.
SPF, DKIM и DMARC
Эти технологии помогают защитить корпоративную почту от подделки и фишинговых атак. SPF (Sender Policy Framework) позволяет владельцам доменов указывать, какие почтовые серверы имеют право отправлять почту от их имени. Это помогает предотвратить подделку адресов отправителей.
DKIM (DomainKeys Identified Mail) позволяет подписывать электронные письма криптографической подписью, что подтверждает их подлинность и целостность.
DMARC (Domain-based Message Authentication, Reporting & Conformance) строится на базе SPF и DKIM и позволяет владельцам доменов определять, как почтовые серверы должны обрабатывать сообщения, которые не прошли проверку подлинности. DMARC также предоставляет механизмы отчетности, позволяя организациям отслеживать попытки фишинга.
Двухфакторная аутентификация (2FA)
Внедрение 2FA существенно повышает безопасность. Даже если злоумышленник получит логин и пароль через фишинг, ему потребуется дополнительный код из SMS или приложения для доступа.
Для новых пользователей услуг Selectel 2FA включается автоматически. Проверьте, включена ли двухфакторная аутентификация у вас. Если нет, исправить это можно за пару минут, следуя простой инструкции. В компании также предусмотрены различные способы получения кода для аутентификации, что делает систему гибкой и удобной для пользователей.
Антифишинговые фильтры
Использование современных решений для фильтрации электронной почты помогает обнаруживать и блокировать фишинговые письма до того, как они попадут в почтовые ящики сотрудников. Фильтры могут распознавать фишинговые сообщения по URI-кодам и ключевым словам, а также использовать машинное обучение для выявления подозрительных писем.
Мониторинг DNS
Защита на уровне DNS блокирует доступ к опасным сайтам еще до того, как пользователь на них зайдет. Системы, такие как OpenDNS или Cloudflare, могут фильтровать DNS-запросы и автоматически блокировать подозрительные сайты.
Обучение сотрудников
Согласно исследованию, регулярное обучение может снизить вероятность успешного фишинга на 70%. Некоторые компании проводят регулярные тренинги и учения, направленные на повышение осведомленности о киберугрозах. Например, в рамках учений сотрудники получают фальшивые фишинг-сообщения, которые им необходимо распознать. Эти тесты помогают выявить уровень готовности к реальным угрозам и обучить их правильным действиям в случае подозрительных писем.
Антивирус и системы мониторинга
Внедрение систем мониторинга сетевой активности позволяет выявлять аномалии и подозрительную активность в сети, включая попытки перенаправления трафика на фишинговые сайты. Антивирусные программы могут сканировать письма и вложения на наличие вредоносных файлов, блокируя их или предупреждая пользователя при обнаружении угрозы. Системы предотвращения утечек данных (DLP) помогают обнаруживать и блокировать передачу конфиденциальной информации вне организации, что способствует предотвращению фишинговых атак.
Что думаете об этом? Поделитесь своим мнением в комментариях.
Автор: techno_mot