Новый отчет показывает, что почти три четверти (71%) детекторов ИИ не могут определить, было ли фишинговое электронное письмо написано чат-ботом

На долю пропущенных голосовых сообщений пришлось 18%, что делает их самой фишинговой темой года на данный момент, по-видимому,
Наиболее распространенным типом полезной нагрузки являются фишинговые ссылки на веб-сайты (45%) по сравнению с 35% в 2022 году
Более половины (55%) фишинговых электронных писем содержат методы обфускации, помогающие киберпреступникам избежать обнаружения, при этом самым популярным методом является контрабанда HTML
Треть (34%) потока электронной почты повторному, а не принудительному поиску

Бостон, США – Egress, компания по кибербезопасности, обеспечивающая интеллектуальную защиту электронной почты, опубликовала сегодня свой второй отчет о тенденциях в области фишинговых угроз. Выводы отчета демонстрируют эволюционирующие методологии атак, используемые киберпреступниками, которые предназначены для преодоления традиционной системы безопасности периметра, включая защищенные шлюзы электронной почты. В отчете рассматриваются ключевые тенденции фишинга, включая самую фишинговую тему, исследуются распространенные методы обфускации, используемые для обхода защиты периметра, и рассматривается, действительно ли чат-боты произвели революцию в кибератаках.

Все данные об угрозах фишинга и примеры, содержащиеся в этом отчете, были взяты из Egress Defend, интегрированного облачного решения для защиты электронной почты, которое использует интеллектуальные технологии для обнаружения самых изощренных фишинговых атак и защиты от них.

“Без сомнения, чат-боты или модели большого языка (LLM) снижают барьер для входа в киберпреступность, позволяя создавать хорошо написанные фишинговые кампании и генерировать вредоносное ПО, которое менее способные программисты не смогли бы создать в одиночку”, – сказал Джек Чепмен, вице-президент по анализу угроз Egress.

“Однако одним из наиболее волнующих, но наименее обсуждаемых применений LLM является разведка для высоконаправленных атак. В течение нескольких секунд чат-бот может искать в Интернете информацию из открытых источников о выбранной цели, которая может быть использована в качестве предлога для кампаний социальной инженерии, которые становятся все более распространенными. Меня часто спрашивают, действительно ли LLM меняет правила игры, но в конечном счете все сводится к защите, которую вы используете. Если вы полагаетесь на традиционное обнаружение периметра, основанное на сигнатурах и репутации, то вам срочно необходимо оценить интегрированные облачные решения для защиты электронной почты, которые не полагаются на библиотеки определений и проверки домена для определения того, является ли электронное письмо законным или нет!”

Отчет о тенденциях фишинговых угроз (октябрь 2023 года): ключевые trends
По мере развития угроз индустрия кибербезопасности должна работать сообща, чтобы продолжать управлять человеческими рисками в электронной почте. Чтобы пролить свет на развивающиеся методы атак и информировать специалистов по кибербезопасности, отчет о тенденциях исходящих фишинговых угроз предлагает углубленный анализ ключевых тенденций фишинга и включает:

Most фишинговали темы года:

В 2023 году не было недостатка в фишинговых атаках – от централизованных атак с использованием псевдонимов и социальных сетей до олицетворения программ безопасности и сексторции. Фишинговой темой номер один были пропущенные голосовые сообщения, на долю которых пришлось 18,4% фишинговых атак в период с января по сентябрь 2023 года, что делает их самой фишинговой темой за год на данный момент. Многие из этих атак используют контрабанду HTML, чтобы скрыть свою полезную нагрузку.

Можете ли вы определить, используются ли чат-боты для написания фишинговых электронных писем?

Потенциальное использование киберпреступниками чат-ботов для создания фишинговых кампаний и вредоносных программ вызывает беспокойство, но можно ли определить, было ли фишинговое электронное письмо написано чат-ботом? В отчете установлено, что ни один человек или инструмент не может определенно сказать, была ли атака написана чат-ботом. Поскольку они используют большие языковые модели (LLM), точность большинства инструментов детектирования повышается с увеличением объема выборки, для работы с которой часто требуется минимум 250 символов. Поскольку 44,9% фишинговых писем не соответствуют ограничению в 250 символов, а еще 26,5% – ниже 500, в настоящее время детекторы ИИ либо не будут работать надежно, либо вообще не будут работать при 71,4% атак.

Методы запутывания находятся на подъеме:

Доля фишинговых электронных писем, использующих методы обфускации, выросла на 24,4% в 2023 году, составив 55,2%. Обфускация позволяет киберпреступникам скрывать свои атаки от определенных механизмов обнаружения. Egress Defend обнаружила, что почти половина (47%) фишинговых электронных писем, использующих обфускацию, содержат два уровня, повышающих шансы обхода средств защиты электронной почты для обеспечения успешной доставки целевому получателю. Менее трети (31%) используют только один метод. Контрабанда HTML оказалась самым популярным методом запутывания, на долю которого приходится 34% случаев.

Электронная почта серого цвета расчленена:

Чтобы понять, как graymail влияет на кибербезопасность, исследователи Egress проанализировали 63,8 миллиона электронных писем, которые организации получили за четыре недели. Они обнаружили, что в среднем одну треть (34%) потока почты можно отнести к категории “серой почты” (массовые, но запрашиваемые электронные письма, такие как уведомления, обновления и рекламные сообщения). Кроме того, среда и пятница – самые популярные дни недели для отправки или получения серого письма. Исследование обнаружило прямую корреляцию между объемом серых почтовых отправлений и объемом полученных фишинговых писем; люди с более загруженными почтовыми ящиками с большей вероятностью станут мишенью фишинговых кампаний.

Фишинг в настоящее время одерживает верх, посколькууровень обнаружения на метр не дотягивает:

Все больше фишинговых писем поступает через традиционное обнаружение по периметру, поэтому, хотя общий объем не увеличился, этот отчет показывает, что атаки становятся все более изощренными и киберпреступники используют множество
тактик, чтобы успешно преодолеть защиту электронной почты по периметру. Процент электронных писем, прошедших через защиту Microsoft, увеличился на 25% с 2022 по 2023 год. Аналогичным образом, процент электронных писем, полученных через защищенные почтовые шлюзы (SEG), увеличился на 29% с 2022 по 2023 год.

Кроме того, в 2023 году количество фишинговых атак, отправленных со скомпрометированных учетных записей, увеличилось на 11%. Скомпрометированные учетные записи являются доверенными доменами, поэтому эти атаки обычно проходят через традиционное обнаружение периметра. Почти половина (47,7%) фишинговых атак, которые не были обнаружены Microsoft, были отправлены с взломанных учетных записей. Наиболее распространенным типом полезной нагрузки являются фишинговые ссылки на веб-сайты (45%), по сравнению с 35% в 2022 году. И все полезные нагрузки в той или иной степени обходили обнаружение на основе сигнатур.

Джек Чепмен добавляет: “Мы подготовили этот отчет, чтобы дать специалистам по кибербезопасности представление о продвинутых атаках, и мы обнаружили, что обучающие моменты в режиме реального времени действительно улучшают способность людей точно идентифицировать фишинговые электронные письма. Устаревшие подходы к безопасности электронной почты в значительной степени зависят от карантина, запрещающего конечным пользователям просматривать фишинговые письма, но, как подчеркивается в нашем отчете, фишинговые письма неизбежно проходят. Это одна из причин, по которой мы перевернули модель карантина с ног на голову, добавив динамические баннеры для нейтрализации угроз во входящих. Эти баннеры предназначены для четкого объяснения риска простым для понимания, своевременным и актуальным способом, действуя как обучающие моменты, которые просвещают пользователя. В конечном счете, научить кого-либо ловить фиш – это более устойчивый подход к долгосрочной устойчивости ”.