Электронная почта: как защитить основную точку входа для хакеров

46% компаний в 2020 году были атакованы через электронную почту, такие данные приводит в своем отчете американская компания Verizon. Российская группа киберкриминалистики Group-IB подтверждает высокое число инцидентов, связанных именно с фишинговыми рассылками.

По мнению аналитиков Group-IB, ситуация будет только ухудшаться. С одной стороны, в условиях увеличивающегося числа сотрудников на удаленном режиме, когда многие из них работают с личных устройств и часто со слабой примитивной защитой, инциденты неизбежны.

С другой стороны, компании массово внедряют облачные почтовые решения, спокойно полагаясь на встроенные в них системы защиты. Иногда стандартную защиту «прокачивают» традиционными песочницами, системами класса «антиспам» и облачными антивирусами. И все равно корпоративная почта остается одной из главных точек входа для мошенников.

Group-IB рассказали о некоторых метода хакерских атак на корпоративную почту, обнаруженных и остановленных системой Threat Hunting Framework.

Обход репутационного анализа отправителя

Первичная фильтрация системами защиты осуществляется на основе репутационного анализа отправителя. Если репутация отправителя не подтверждена, то при жесткой политике фильтрации, письмо с вложением не будет доставлено.

В то же время почтовые домены госучреждений, корпораций, известных поставщиков решений, если они прошли проверку подлинности отправителя, считаются защищенными и не представляющими угрозы, поэтому большинство таких писем доставляются без дополнительного анализа. Именно этим пользуются преступники, выбирая для своих атак адреса, прошедшие проверку подлинности отправителя.

Обход защиты с помощью нестандартного формата файла во вложении

Второй уровень защиты по классической схеме после проверки репутации, это проверка формата вложенных файлов. Тщательному исследованию подвергаются архивы и исполняемые файлы. А вот наличие в приложении файлов, не знакомых системе защиты, часто не рассматривается даже как угроза. Это еще один доступный вход для злоумышленников.

На практике была выявлена угроза, когда кибрепреступник решил воспользоваться эксплойтом в обычном файле справки Windows. Задачей исходного файла было

доставить троян TrueBot, также известный как Silence. Система Threat Hunting Framework классифицировала вредное программное обеспечение (ВПО) и атрибутировала угрозу до конкретной группировки – Silence. С 2016 года эта хакерская группа  атакует организации кредитно-финансовой сферы, преимущественно в России.

Обход защиты офисным документом

Вводя жесткую политику фильтрации, компания тем не менее не может обойтись без циркуляции офисных документов, рассчитывая на облачные антивирусы и песочницы. Практика показывает, что против новых видов угроз облачные антивирусы зачастую бесполезны. Хакеры «затачивают» активность ВПО под действия, характерные для человека, а не машины, что является проблемой для стандартных систем защиты. Защиту своей электронной почты можно проверить автоматической системой, когда на почтовый ящик на корпоративный домен отправляется более 40 тестовых сценариев различных атак. Любое письмо от системы проверки, которое, минуя систему защиты, окажется в этом почтовом ящике, станет подтверждением того, что корпоративная почта под потенциальной угрозой.

Читайте также
Читать

Минцифры уточнило условия штрафов для компаний за утечки данных

Регулятор предлагает ввести персональную ответственность. Меры будут применяться только в том случае, если взломанная информация позволит идентифицировать не менее 1 тыс. сотрудников или клиентов организации.
Читать

Хакер или свидетель: кто такой Артимович и почему ему не возвращают деньги

Суд Москвы отказал известному в России и за рубежом хакеру Дмитрию Артимовичу в вернуть денежные средства, изъятие которых произошло в рамках расследования уголовного дела в отношении основателя платежной системы Chronopay Павла Врублевского. Сумма в разы превышает ущерб по данному делу.
Читать

За кибератакой на Tata Power стоят операторы Hive

Об этом стало известно после того, как преступники начали публиковать украденные у компании данные. До этого они пытались договорится о выкупе, но переговоры не состоялись.