Все больше компаний несут убытки от относительно нового вида фишинговых вторжений – TOAD-атак. Согласно отчету Proofpoint, ежемесячно совершается 10 миллионов TOAD-нападений, а в 2023 году от них пострадали 67% компаний по всему миру.
TOAD означает «телефонно-ориентированная атака» (telephone-oriented attack delivery). Это вид многоуровневой фишинговой атаки, в которой сочетаются такие элементы, как текстовые или мгновенные сообщения (smishing), голосовые сообщения (vishing) или электронная почта с социальной инженерией, чтобы обманом заставить пользователей раскрыть служебные, личные или финансовые данные.
По мнению экспертов, подобное нападение имеет большие шансы на успех, поэтому они рекомендуют руководителям компаний внедрять надежные средства контроля идентификации.
– Рост числа TOAD-атак можно частично объяснить более изощренными фишинговыми атаками, которые стали возможны благодаря искусственному интеллекту. По мере того как все больше организаций внедряют многофакторную аутентификацию (MFA), злоумышленникам приходится более творчески подходить к социальной инженерии, – говорит старший аналитик Forrester Тоуп Олуфен.
– Вишинговые атаки представляют большую угрозу для бизнеса, а с развитием генеративного искусственного интеллекта, позволяющего технологиям звучать более человечно, чем раньше, это может сделать предприятия более уязвимыми для голосовых мошенников, – отмечает специалист по безопасности Accenture Шелби Флора. – В бизнесе мы видим все больше угроз для таких дорогостоящих целей, как руководители, которые могут стать жертвами эффективных голосовых мошенников».
Перед атакой мошенники собирают учетные данные жертвы из различных источников, таких как предыдущие утечки данных, профили в социальных сетях и информация, приобретенная в «темной паутине». Вооружившись этими данными, они связываются с человеком через такие приложения, как WhatsApp, или звонят ему.
– Социальная инженерия набирает обороты и становится все более изощренной, – говорит директор по исследованиям IDC Джоэл Стрэдлинг. – Киберпреступники пытаются составить подробный профиль своей потенциальной жертвы – например, руководителя высшего звена или члена совета директоров – узнать о его детях, о том, в каком колледже они учатся и другую информацию, чтобы отправить максимально доверительное сообщение.
Жертвы могут получить звонок или сообщение от человека, выдающего себя за коллегу, клиента или представителя авторитетного колл-центра, который затем использует полученную информацию, чтобы «доказать», что он тот, за кого себя выдает.
После установления доверия они, скорее всего, отправят жертве текст или электронное письмо с предложением перейти по вредоносной ссылке или загрузить вложение, которое позволит им обойти традиционные средства киберзащиты организации, такие как MFA.
И эти методы продолжают совершенствоваться. Одним из более сложных аспектов TOAD может быть подмена номера или электронной почты, когда они принимают личность знакомого человека.
– Это может быть кто угодно – от вашей мамы до менеджера вашего банка, – отмечает Стрэдлинг.
Для борьбы с этими угрозами необходима комплексная стратегия, включающая в себя обучение сотрудников, расширенную фильтрацию электронной почты, процедуры проверки конфиденциальных операций и надежные планы реагирования на инциденты, считают эксперты.