85% фишинга имитирует финдокументы и письма от госорганов

Около 85% фишинговых сообщений приходят в компании под видом финансовых документов и официальных писем от государственных органов, выяснили аналитики BI.ZONE. 

В 2023 году с фишинговых рассылок начинались 68% атак на компании России и других стран СНГ. В первом полугодии 2024 года этот показатель вырос до 76%. При этом 79% фишинга злоумышленники маскируют под финансовую документацию, например счета и платежные документы. 8% фишинговых писем мимикрируют под договоры и соглашения, а 5% — под резюме. Еще 4% подобных рассылок приходит под видом сообщений от регуляторов. 

Фишинговые письма якобы от лица государственных органов нередко отличаются высоким уровнем юридической грамотности и могут содержать ссылки на настоящие официальные сайты. Так злоумышленники стараются усыпить бдительность пользователей. 

Наряду с этим они могут использовать редкое вредоносное ПО, которое сложнее распознать с помощью стандартных инструментов. Это повышает вероятность того, что атакующий проникнет в инфраструктуру незамеченным, успеет в ней закрепиться и нанести серьезный ущерб.  

«Эти тренды прекрасно иллюстрирует недавняя серия атак на компании Казахстана. Группировка Bloody Wolf не просто рассылала жертвам очень правдоподобные фишинговые письма от имени регуляторов, но и размещала свои вредоносные программы на домене, который имитировал сайт одной из государственных структур Республики Казахстан. Под видом официального документа жертва скачивала вредоносный JAR-файл. Такие файлы используются злоумышленниками нечасто, что позволяет им обойти некоторые средства защиты», — прокомментировал результаты исследования Олег Скулкин, руководитель BI.ZONE Threat Intelligence. 

PDF-файл во вложении письма от Bloody Wolf достоверно имитировал официальное уведомление о необходимости устранить нарушения. Кроме ссылок на вредоносные файлы, документ содержал инструкции по установке интерпретатора Java, который необходим для работы ВПО. Еще одна ссылка вела на легитимный сайт госоргана Республики Казахстан, где также опубликована такая инструкция — Java обеспечивает корректную работу государственного портала.