phishing

Ваш корпоративний email-шлюз може аналізувати URL-адреси, запускати вкладення в пісочниці та позначати домени відправників, зареєстровані вчора. Він не може прочитати QR-код.

Це і є вся суть квішингу. Зловмисники вбудовують шкідливу URL-адресу в зображення QR-коду, вставляють його в електронний лист і дозволяють телефону отримувача зробити решту. Лист не містить клікабельного посилання. Немає підозрілого вкладення. Лише квадрат із чорно-білих пікселів, який ваші засоби безпеки сприймають як нешкідливий файл зображення.

Ця атака не нова, але вона швидко масштабувалась. Звіт про загрози Abnormal Security за 2024 рік показав, що кількість фішингових атак через QR-коди зросла більш ніж на 400% у другій половині 2023 року порівняно з аналогічним періодом 2022 року. HP Wolf Security задокументував корпоративні квішинг-кампанії, що імітували Microsoft 365, DocuSign та внутрішні HR-портали протягом 2024 року.

Що відрізняє квішинг від звичайного email-фішингу — це зміна пристрою. Жертва читає лист на ноутбуці, але сканує код телефоном. Цей телефон зазвичай знаходиться поза корпоративним периметром безпеки. Немає веб-проксі, немає DNS-фільтрації, немає виявлення на кінцевих точках. Зловмисник просто переніс усю атаку на некерований пристрій.

Введіть “gogle.com” у ваш браузер. Ви помилились. Двадцять років тому ця помилка привела б вас на сторінку з рекламою. Сьогодні вона може привести вас на піксельно-точну копію сторінки входу Google, яка захопить ваше ім’я користувача та пароль перед перенаправленням на справжній сайт. Ви б ніколи не дізнались.

Це тайпосквотинг, і він існує з тих пір, як доменні імена стали цінними. Що змінилось, так це витонченість. Сучасні тайпосквотинг-кампанії не просто купують очевидні помилки. Вони реєструють домени з використанням символьних підстановок, які майже невидимі для людського ока, доповнюють їх дійсними HTTPS-сертифікатами та розгортають як частину цільових операцій зі збору облікових даних проти конкретних компаній.

Unit 42 від Palo Alto Networks виявив, що приблизно 13 857 сквотинг-доменів реєструвались щомісяця у 2023 році, причому тайпосквотинг та комбосквотинг становили більшість. Це не опортуністичні припарковані сторінки. Багато з них є активними фішинговими сайтами з терміном життя, виміряним годинами, достатнім для збору партії облікових даних перед виявленням та закриттям.

Фішинговий лист надходить у вашу поштову скриньку. Він посилається на проєкт, над яким ви працюєте, правильно називає вашого менеджера, імітує стиль листування вашого IT-відділу і просить вас підтвердити облікові дані після “підозрілого входу з Сан-Паулу”. Жодних друкарських помилок. Жодних незграбних фраз. Жодного загального “Шановний клієнте”. Він читається саме як легітимне повідомлення від вашої компанії.

Два роки тому написання цього листа вимагало від зловмисника-людини годин дослідження вашої організації, вашої ролі та ваших комунікаційних патернів. Сьогодні LLM виробляє його за секунди. Подайте кілька профілів LinkedIn та зразок корпоративного листа, і він генерує десятки персоналізованих варіантів, кожен адаптований для іншої цілі, будь-якою мовою.

Ось чому традиційні поради з виявлення фішингу про виявлення граматичних помилок та підозрілого форматування стають ненадійними. Сигнали, на які навчали шукати співробітників, зникають.

Ви отримуєте лист від “Norton LifeLock”, що підтверджує щорічне продовження підписки на $499,99. Ви не купували Norton LifeLock. Немає посилання для натискання, немає вкладення для відкриття. Лише номер телефону для дзвінка, якщо “ця оплата була зроблена помилково”.

Тож ви дзвоните. Людина, яка відповідає, звучить професійно, терпляче і щиро бажає допомогти. Вас просять відвідати сайт і завантажити “інструмент скасування”, щоб вони могли обробити повернення коштів. Те, що ви насправді завантажуєте, це програма віддаленого доступу. Протягом кількох хвилин людина на тому кінці контролює вашу машину.

Жодного шкідливого посилання не натиснуто. Жодне вкладення не відкрито. Ваша безпека електронної пошти нічого не спіймала, бо нічого ловити не було.

Це зворотний фішинг, і це один з найшвидше зростаючих типів атак у корпоративних середовищах.

Перший день: лист від нового постачальника запитує, чи ви правильна людина для обговорення можливостей партнерства. Нічого підозрілого. Жодних посилань. Жодних вкладень. Ви відповідаєте, підтверджуючи свою роль.

Третій день: надходить продовження з “пропозицією” у вкладенні. Ви відкриваєте без вагань. Ви вже знаєте цього відправника.

Це бочковий фішинг. Перший лист мав одну мету: змусити вас довіряти другому.

Хакеру не потрібно зламувати ваше шифрування. Йому достатньо переконати одного працівника допомогти.

Атаки соціальної інженерії експлуатують людську психологію замість технічних вразливостей. Поки ваша команда безпеки оновлює програмне забезпечення та моніторить мережі, зловмисники вивчають вашу оргструктуру, профілі LinkedIn та навіть відгуки вашої компанії на Glassdoor. Вони шукають способи маніпулювати людьми за вашими захисними лініями.

Ці атаки працюють, тому що вони націлені на те, що жоден файрвол не може захистити: природні людські схильності довіряти, допомагати та підкорятися авторитету.

Згідно з дослідженням Deloitte, 91% кібератак все ще починаються з електронного листа.

Це число мало змінилося за роки. Ми розгорнули спам-фільтри, безпечні поштові шлюзи, AI-виявлення аномалій та десяток інших технічних контролів. Зловмисникам все одно. Коли одну тактику блокують, вони пробують іншу. Коли виявлення ловить патерн, вони змінюють патерн.

Технологічна гонка озброєнь не може бути виграна сама по собі. Навчені співробітники додають інший вид захисту, який застосовує судження та розпізнає контекст. Добре створений спір-фішинговий лист може проскочити через кожен фільтр, але співробітник, який знає, що потрібно верифікувати неочікувані запити, все одно зупинить атаку.

Ви знаєте, як виглядає фішинг. Помилки в словах, підозрілі посилання, нігерійські принци. Ви пройшли навчання. Ви здали тести.

І все ж.

Десь зараз хтось, хто все це знає, натискає на посилання, на яке не слід. Не тому, що він необережний або дурний, а тому, що зайнятий, відволікається, а лист виглядав достатньо легітимно.

Виявлення фішингу не про знання. Це про звички, які спрацьовують автоматично, навіть коли ви думаєте не чітко.