email security

Ваш корпоративний email-шлюз може аналізувати URL-адреси, запускати вкладення в пісочниці та позначати домени відправників, зареєстровані вчора. Він не може прочитати QR-код.

Це і є вся суть квішингу. Зловмисники вбудовують шкідливу URL-адресу в зображення QR-коду, вставляють його в електронний лист і дозволяють телефону отримувача зробити решту. Лист не містить клікабельного посилання. Немає підозрілого вкладення. Лише квадрат із чорно-білих пікселів, який ваші засоби безпеки сприймають як нешкідливий файл зображення.

Ця атака не нова, але вона швидко масштабувалась. Звіт про загрози Abnormal Security за 2024 рік показав, що кількість фішингових атак через QR-коди зросла більш ніж на 400% у другій половині 2023 року порівняно з аналогічним періодом 2022 року. HP Wolf Security задокументував корпоративні квішинг-кампанії, що імітували Microsoft 365, DocuSign та внутрішні HR-портали протягом 2024 року.

Що відрізняє квішинг від звичайного email-фішингу — це зміна пристрою. Жертва читає лист на ноутбуці, але сканує код телефоном. Цей телефон зазвичай знаходиться поза корпоративним периметром безпеки. Немає веб-проксі, немає DNS-фільтрації, немає виявлення на кінцевих точках. Зловмисник просто переніс усю атаку на некерований пристрій.

Фішинговий лист надходить у вашу поштову скриньку. Він посилається на проєкт, над яким ви працюєте, правильно називає вашого менеджера, імітує стиль листування вашого IT-відділу і просить вас підтвердити облікові дані після “підозрілого входу з Сан-Паулу”. Жодних друкарських помилок. Жодних незграбних фраз. Жодного загального “Шановний клієнте”. Він читається саме як легітимне повідомлення від вашої компанії.

Два роки тому написання цього листа вимагало від зловмисника-людини годин дослідження вашої організації, вашої ролі та ваших комунікаційних патернів. Сьогодні LLM виробляє його за секунди. Подайте кілька профілів LinkedIn та зразок корпоративного листа, і він генерує десятки персоналізованих варіантів, кожен адаптований для іншої цілі, будь-якою мовою.

Ось чому традиційні поради з виявлення фішингу про виявлення граматичних помилок та підозрілого форматування стають ненадійними. Сигнали, на які навчали шукати співробітників, зникають.

Перший день: лист від нового постачальника запитує, чи ви правильна людина для обговорення можливостей партнерства. Нічого підозрілого. Жодних посилань. Жодних вкладень. Ви відповідаєте, підтверджуючи свою роль.

Третій день: надходить продовження з “пропозицією” у вкладенні. Ви відкриваєте без вагань. Ви вже знаєте цього відправника.

Це бочковий фішинг. Перший лист мав одну мету: змусити вас довіряти другому.

Згідно з дослідженням Deloitte, 91% кібератак все ще починаються з електронного листа.

Це число мало змінилося за роки. Ми розгорнули спам-фільтри, безпечні поштові шлюзи, AI-виявлення аномалій та десяток інших технічних контролів. Зловмисникам все одно. Коли одну тактику блокують, вони пробують іншу. Коли виявлення ловить патерн, вони змінюють патерн.

Технологічна гонка озброєнь не може бути виграна сама по собі. Навчені співробітники додають інший вид захисту, який застосовує судження та розпізнає контекст. Добре створений спір-фішинговий лист може проскочити через кожен фільтр, але співробітник, який знає, що потрібно верифікувати неочікувані запити, все одно зупинить атаку.