Trend Micro: С отправки сообщений направленного фишинга начинается более 90% APT-атак

Trend Micro Mobile SecurityКомпанией Trend Micro представлен результат нового исследования направленных атак, материал для которого собирался в период с февраля по сентябрь нынешнего года. Согласно его результатам, в 91% случаев направленные атаки начинаются с рассылки сообщений "направленного фишинга".

Эти результаты подтверждают, что направленные атаки зачастую начинаются с "мелочи", например, сообщения электронной почты, призванного убедить получателя открыть вредоносный файл во вложении или перейти по ссылке, ведущей на сайт с вредоносным ПО или эксплойтом.

Направленный фишинг ("spear fishing") — новая разновидность фишинговых атак, отличительной особенностью которой, является использование злоумышленником информации о предполагаемой жертве, с целью сделать сообщение более "индивидуальным" и лучше замаскировать свои намерения. Подобные сообщения могут содержать обращение к адресату по его имени, должности и званию, вместо стандартных "обезличенных" заголовков вроде "Доброго времени суток!" или "Уважаемые господа!".

Согласно выводам "Направленный фишинг" — самая распространенная прелюдия к APT-атаке. 94% подобных сообщений в качестве "полезной нагрузки" имеют вложение с вредоносным файлом, представляющий собой источник заражения. В оставшихся 6% случаев злоумышленники используют альтернативные методы, например, убеждают пользователя перейти по опасной ссылке или загрузить файлы, содержащие вредоносный код.


Ключевые выводы исследования
70% вложений в сообщения направленного фишинга, проанализированные в течение периода исследования, представляли собой файлы наиболее распространенных форматов. Наиболее часто используемыми типами файлов были:

  • .RTF - 38%;
  • .XLS - 15%;
  • .ZIP - 13%.


Исполняемые файлы .EXE не особенно популярны среды киберпреступников, т.к. сообщения с вложенными файлами .EXE, как правило, легко определяются и блокируются средствами ИТ-защиты.
Наиболее частыми жертвами направленного фишинга стали госучреждения и общественные организации. Публичные государственные веб-сайты довольно часто содержат открытую информацию о госучреждениях и должностных лицах. Общественные организации, активно действующие в социальных сетях, также охотно делятся информацией о своих участниках, так как это упрощает общение, организацию мероприятий и рекрутинг новых членов. Многие участники общественных организаций имеют открытые профили в сети, что делает их более легкой мишенью для злоумышленников.
В 75% случаев электронные адреса потенциальных жертв можно легко найти простым поиском в Интернете или "подобрать", используя стандартную модель формирования адреса.


Обновлено (01.12.2012 21:13)