Журнал "Information Security/ Информационная безопасность" #4, 2025

Электронная почта остается главным кана- лом атак с использова- нием социальной инже- нерии: в 2024 г. с помо- щью почты провели почти 90% атак. Однако совре- менные угрозы далеко ушли от примитивного фишинга с опечатками. Злоумышленники ата- куют через мобильные устройства, маскируют угрозы в QR-кодах и используют ИИ для управления рассылками. В ответ средства защиты становятся умнее и теснее интегри- руются с ИТ-инфраструк- турой. Разберем ключе- вые тренды развития защиты электронной почты. Мобильная почта – удобная мишень Вспомните, когда вы послед- ний раз проверяли рабочую почту со смартфона. Скорее всего, пару часов или даже минут назад. Популярность практики BYOD (Bring Your Own Device) сделала мобильную почту стандартом для бизнеса. Зная это, злоумышленники адаптируют фишинговые стра- ницы под мобильные платфор- мы. Подобная трансформация ставит перед службой ИБ дополнительные цели: l Защитить почтовые учетные записи от перехвата при под- ключении через ненадежные каналы, такие как публичные сети Wi-Fi. Требовать обяза- тельного использования корпо- ративного VPN при подключе- нии из неизвестных сетей или из новых локаций. l Обучить сотрудников распо- знавать мошенничество не только в электронной почте. Атакующие используют разные каналы взаимодействия: теле- фонные звонки, СМС и мес- сенджеры. l Внедрить дополнительные средства защиты, которые минимизируют ущерб от ком- прометации устройств. Приме- нять двухфакторную аутенти- фикацию (MFA), системы ана- лиза поведения пользователей (UEBA), технологии для пред- отвращения утечек данных (DLP) и решения для удаленной очистки утерянных устройств (MDM). Из-за использования мобильных устройств поверх- ность атак на почтовые систе- мы значительно увеличилась. Однако изменения происходят и в другой плоскости: хакеры применяют все более изощ- ренные методы маскировки вредоносного контента. Невидимая угроза: как хакеры маскируют вредоносный контент Пользователи взаимодей- ствуют со все большим числом форматов данных. Злоумыш- ленники оперативно используют каждое технологическое изме- нение для маскировки вредо- носного контента. Несколько популярных при- меров: l QR-коды с вредоносными URL-ссылками – невидимы для защиты, так как сканирование кода мобильным устройством уводит жертву за пределы кор- поративного периметра без- опасности. l HTML-вложения, использую- щие различные техники откры- тия стороннего веб-контента, – для жертвы открытие выглядит как клик по URL-ссылке, но в ходе репутационного анализа средства защиты не обнаружи- вают угрозу, поскольку ресурс формально отсутствует в HTML- коде и формируется через JavaScript-код. l Нетипичные объекты во вло- жениях – от спрятанных в архи- вах EXE-файлов до специали- зированной полезной нагрузки, которая обходит средства защи- ты и правила фильтрации. l Многоэтапная полезная нагрузка – в письме размещают безвредный документ, содер- жащий ссылку на зашифрован- ный архив, внутри которого скрывается загрузчик вредо- носного ПО. В результате фор- мируется многоуровневая струк- 36 • СПЕЦПРОЕКТ Как защитить почтовый протокол из прошлого от угроз будущего лектронная почта по-прежнему остается основным вектором кибератак. По данным Positive Technologies, в 2024 г. в половине успешных атак использовалась социальная инжене- рия. Количество инцидентов выросло на 33% по сравнению с 2023 г. и на 72% относительно 2022 г. Несмотря на консер- вативность почтовых протоколов, ландшафт угроз продолжает меняться. Давайте проанализируем основные тенденции, определяющие развитие систем защиты корпоративной почты. Э Шаих Галиев, руководитель отдела экспертизы PT Sandbox, антивирусная лаборатория PT ESC Федор Гришаев, ведущий эксперт по исследованию фишинговых угроз, департамент Threat Intelligence PT ESC Рис. 1. Самые распространенные каналы социальной инженерии в 2024 г. Фото: Positive Technologies Фото: Positive Technologies Фото: Positive Technologies