Proofpoint обнаружил новый класс корпоративных фишинг-атак

Proofpoint, американский провайдер облачных защитных решений, предупреждает о появлении разновидности фишинг-атак, которые  успешно обходят традиционные репутационные фильтры  и системы сигнатурного анализа.

 

За полгода эксперты Proofpoint зарегистрировали десятки атак нового типа по всему миру. В компании их называют «longlining» – атаки по типу ярусного лова (орудия ярусного лова применяются при промышленной добыче рыбы ценных пород). Эти фишинг-атаки эффективно сочетают скорость и массовость рассылок с высокой вариативность контента, что значительно затрудняет выявление атаки имеющимися средствами.

 

Proofpoint удалось задокументировать ряд вторжений нового типа. Одна из волн в октябре прошлого года  пошла в России. В ходе атаки всего за 3 часа было разослано 135 тыс. сообщений в более чем 80 компаний. Злоумышленники использовали свыше 28 тыс.  IP-адресов и болен 35 тыс. имен отправителей, ссылки внутри сообщений вели на десятки скомпрометированных легальных веб-сайтов, куда были предварительно внедрили источники drive-by загрузок и ассоциированных с фишинговыми URL. Из-за разнообразного контента, отправителей, пр. ни в одной из целевых компаний не было обнаружено более 3 сообщений с одинаковыми характеристиками, поэтому идентифицировать вторжения как целевые атаки не удалось. По данным Proofpoint, на долю данной рассылки в целевых организациях пришлось менее 0,06% совокупного почтового трафика (тогда как спам-реклама составила 19%, письма с вредоносным вложением – 11%).

 

Эксперты отмечают, что при такой массовости longline-рассылок их эффективность вызывает большую тревогу – свыше 10% вредоносных URL не только прошли все корпоративные фильтры но и были активированы. А каждый пятый роковой «клик» (19%) был произведен, когда служащий проверял корпоративную почту, находясь за пределами защищенного пространства, – из дома, в дороге или с мобильного устройства.