Исследование Microsoft: за 2018 год число фишинговых атак выросло на 350%

Безопасность Стратегия безопасности
мобильная версия

Microsoft представила 24-ый отчет об угрозах информационной безопасности Security Intelligence Report (SIR). Для подготовки отчета эксперты проанализировали 6,5 трлн сигналов, которые проходят через облачные ресурсы Microsoft каждый день. Данные были предоставлены корпоративными и частными пользователями, которые согласились поделиться ими с привязкой к геолокации.

В отчете выделены четыре основные типа атак: фишинг, программы-вымогатели, ПО для скрытого майнинга и атаки на цепочку поставок ПО. Согласно документу, самым быстрорастущим типом атак остается фишинг, количество атак вирусов-вымогателей снижается, но вместо них злоумышленники перешли к более скрытным методам, а именно, майнингу криптовалют. Также эксперты отметили снижение на треть количества программ-вымогателей в России.

Популярность фишинга стремительно растет, за 2018 г. среднемесячный показатель числа атак вырос более чем на 350%. Microsoft ежемесячно анализирует и сканирует более чем 470 млрд электронных писем на предмет фишинговых и вредоносных атак. За 2018 г. среднемесячный показатель фишинга вырос с 0,14% (644 млн писем в месяц) до 0,49% (2,254 млрд) в месяц. Microsoft ожидает продолжения этой тенденции в обозримом будущем, поскольку действия злоумышленников направлены не на поиск технических уязвимостей, а на человеческие слабости.

Злоумышленники изменили тактику в ответ на более сложные инструменты и методы, которые были внедрены для защиты пользователей. От быстрых атак, которые активны на протяжении всего нескольких минут, мошенники перешли к долгосрочным кампаниям. Фишинговые атаки усложнились, злоумышленники используют одновременно несколько векторов атак, они присылают письма с разных IP-адресов и используют подделку доменных имен для того, чтобы электронные письма выглядели так, будто отправлены от имени известных компаний или коллег, а также тщательно продумывают тему письма, чтобы заставить пользователя его открыть.

Подтверждение этому – двухэтапная фишинговая атака, произошедшая в одной организации. На первом этапе злоумышленники разослали сотрудникам письма со ссылкой на поддельный лэндинг, где нужно было ввести учетные данные для доступа к «важному документу». С помощью этой информации мошенники получили доступ к аккаунтам Office 365. На втором этапе киберпреступники попытались через фишинговые письма получить доступ к ценным активам компании. На этом этапе Microsoft связалась с клиентом и заблокировала доступ злоумышленников к ранее скомпрометированным аккаунтам Office 365.

Снижение количества атак вирусов-вымогателей в 2018 г. демонстрирует, как меры компьютерной безопасности заставляют злоумышленников менять свои подходы. В 2017 г. вирусы-вымогатели представляли собой серьезную угрозу, именно поэтому так примечательно снижение числа их атак: среднемировой показатель снизился на 73%. Microsoft считает, что злоумышленники перешли от этого весьма заметного метода к более скрытным атакам, поскольку пользователи стали более грамотно реагировать на угрозы: отказываются платить злоумышленникам, применяют резервное копирование данных.

В некоторых странах, таких как Эфиопия (0,77%), Монголия (0,46%), Камерун (0,41%) эта угроза остается актуальной из-за низкой культуры кибербезопасности. Самая благоприятная ситуация с программами-вымогателями в Ирландии (0,01%), Японии (0,01%), США (0,02%), Великобритании (0,02%) и Швеции (0,02%).

Ситуация в России отвечает мировым тенденциям, среднемесячный показатель атак снизился на треть — с 0,12% в 2017 г. до 0,08% в 2018 г.

По среднемесячному числу атак в 2018 г. программы-вымогатели уступили майнингу криптовалют (0,05% против 0,12%). Злоумышленники стали активно внедрять скрытый майнинг и начали использовать вычислительные мощности компьютеров своих жертв для генерации криптовалют. Вторжение не только снижает производительность системы, но может нанести и более значительный вред.

Можно проследить зависимость числа подобных атак от стоимости криптовалют. Количество вирусов для майнинга выросло почти в 2,5 раза. Например, в марте зафиксирован резкий рост подобных атак по всему миру. В России в марте их число составило 1,9% против общемирового показателя 0,28%. В результате среднемесячное количество случаев майнинга криптовалют в России в 2018 г. также превышает среднемировой показатель: 0,43% против 0,12%.

Самые опасные вирусы работают через браузеры, мошенникам не нужно заставлять жертву скачивать какое-либо дополнительное ПО. Некоторые сервисы рекламируют браузерные приложения для майнинга как способ монетизации трафика веб-сайтов. В этом случае владельцам ресурсов уже не нужно полагаться на доход с рекламы. Когда пользователь заходит на страницу со встроенным вирусом, у него сильно сокращается производительность компьютера и растет расход электричества. Мошенники таким образом получают доступ к мощностям тысяч компьютеров.

Страны, в которых специалисты чаще всего сталкивались с вирусами-майнерами, это Эфиопия (5,58%), Танзания (1,83%) и Пакистан (1,47%). Реже всего этот тип вредоносного ПО проявлялся в Ирландии (0,02%), Японии (0,02%) и США (0,02%).

Атаки на цепочку поставок ПО – это еще одна тенденция, которую Microsoft отслеживает последние несколько лет. Злоумышленники внедряют вирус в исходное приложение или пакет обновлений. Пользователи доверяют вендорам и самостоятельно устанавливают вредоносную программу на свои компьютеры, воспринимая ее за продукт известного поставщика.

В 2018 г. первой (и самой крупной) атакой данного типа стал троян Dofoil, за первые 12 часов действий которого Windows Defender Antivirus блокировал более 400 тыс. атак, направленных на пользователей России (73%), Турции (18%), Украины (4%) и других стран. Кроме того, было несколько атак, компрометирующих облачные сервисы, например, зараженные расширения Chrome, которые устанавливали вредонос clickfraud, различные скомпрометированные репозитории Linux, вредоносные плагины WordPress, которые в том числе позволяли злоумышленникам публиковать контент на сайтах WordPress и т.д.

Среднемесячный показатель числа вредоносных программ в мире за 2018 г. снизился с 6,29% до 5,07%. Однако, в некоторых странах, например в Эфиопии (26,3%) и Пакистане (18,94%) все еще наблюдается высокий показатель атак вредоносных программ, это является результатом низкого уровня цифровой культуры: осведомленности пользователей о принципах безопасности. Использование нелицензионного программного обеспечения также может быть источником вредоносного ПО. Кроме того, причиной часто выступают площадки, незаконно предлагающие бесплатное программное обеспечение или контент, например потоковое видео. Некоторыми потенциальными причинами общего снижения числа случаев заражения вредоносными программами в 2018 году являются рост использования Windows 10 и более широкое использование Windows Defender.

В России среднемесячный показатель числа вредоносных программ вырос с 8,83% в 2017 г. до 9,23% в 2018 г.

Страны, в которых специалисты чаще всего сталкивались с вредоносным ПО, это Пакистан (18,94%), Палестина (17,5%), Бангладеш (16,95%) и Индонезия (16,59%). Реже всего вредоносное ПО проявлялось в Ирландии (1,26%), Японии (1,51%), Финляндии (1,74%), Норвегии (1,79%) и Нидерландах (1,82%).