Как защитить почтовый протокол из прошлого от угроз будущего

Электронная почта по-прежнему остается основным вектором кибератак. По данным Positive Technologies, в 2024 г. в половине успешных атак использовалась социальная инженерия. Количество инцидентов выросло на 33% по сравнению с 2023 г. и на 72% относительно 2022 г. Несмотря на консервативность почтовых протоколов, ландшафт угроз продолжает меняться. Давайте проанализируем основные тенденции, определяющие развитие систем защиты корпоративной почты.

Авторы:
Шаих Галиев, руководитель отдела экспертизы PT Sandbox, антивирусная лаборатория PT ESC
Федор Гришаев, ведущий эксперт по исследованию фишинговых угроз, департамент Threat Intelligence PT ESC

Электронная почта остается главным каналом атак с использованием социальной инженерии: в 2024 г. с помощью почты провели почти 90% атак. Однако современные угрозы далеко ушли от примитивного фишинга с опечатками. Злоумышленники атакуют через мобильные устройства, маскируют угрозы в QR-кодах и используют ИИ для управления рассылками.

Рис. 1. Самые распространенные каналы
социальной инженерии в 2024 г.

В ответ средства защиты становятся умнее и теснее интегрируются с ИТ-инфраструктурой. Разберем ключевые тренды развития защиты электронной почты.

Мобильная почта – удобная мишень

Вспомните, когда вы последний раз проверяли рабочую почту со смартфона. Скорее всего, пару часов или даже минут назад. Популярность практики BYOD (Bring Your Own Device) сделала мобильную почту стандартом для бизнеса. Зная это, злоумышленники адаптируют фишинговые страницы под мобильные платформы.

Подобная трансформация ставит перед службой ИБ дополнительные цели:

• Защитить почтовые учетные записи от перехвата при подключении через ненадежные каналы, такие как публичные сети Wi-Fi. Требовать обязательного использования корпоративного VPN при подключении из неизвестных сетей или из новых локаций.
• Обучить сотрудников распознавать мошенничество не только в электронной почте. Атакующие используют разные каналы взаимодействия: телефонные звонки, СМС и мессенджеры.
• Внедрить дополнительные средства защиты, которые минимизируют ущерб от компрометации устройств. Применять двухфакторную аутентификацию (MFA), системы анализа поведения пользователей (UEBA), технологии для предотвращения утечек данных (DLP) и решения для удаленной очистки утерянных устройств (MDM).

Из-за использования мобильных устройств поверхность атак на почтовые системы значительно увеличилась. Однако изменения происходят и в другой плоскости: хакеры применяют все более изощренные методы маскировки вредоносного контента.

Невидимая угроза: как хакеры маскируют вредоносный контент

Пользователи взаимодействуют со все большим числом форматов данных. Злоумышленники оперативно используют каждое технологическое изменение для маскировки вредоносного контента.

Несколько популярных примеров:

• QR-коды с вредоносными URL-ссылками – невидимы для защиты, так как сканирование кода мобильным устройством уводит жертву за пределы корпоративного периметра безопасности.
• HTML-вложения, использующие различные техники открытия стороннего веб-контента, – для жертвы открытие выглядит как клик по URL-ссылке, но в ходе репутационного анализа средства защиты не обнаруживают угрозу, поскольку ресурс формально отсутствует в HTML-коде и формируется через JavaScript-код.
• Нетипичные объекты во вложениях – от спрятанных в архивах EXE-файлов до специализированной полезной нагрузки, которая обходит средства защиты и правила фильтрации.
• Многоэтапная полезная нагрузка – в письме размещают безвредный документ, содержащий ссылку на зашифрованный архив, внутри которого скрывается загрузчик вредоносного ПО. В результате формируется многоуровневая структура по принципу матрешки. В реальных атаках эту схему дополняют поддельными почтовыми ящиками и доменами, неизвестными типами вредоносного ПО и попытками притвориться коллегой или знакомым.

Чтобы защититься от скрытых угроз, рекомендуем не доверять вложениям и внедрить многоуровневую проверку контента. Необходимо сочетать антивирусные средства с сетевыми песочницами для детектирования угроз на всех платформах. Персонализация и адаптация всех средств защиты под специфику конкретного пользователя и страны особенно актуальна в условиях деглобализации мировой ИТ-инфраструктуры и развития отечественных почтовых решений.

Импортозамещение почтовых систем: вызовы и возможности

Отечественный ИТ-рынок активно переходит на импортозамещенные почтовые решения. Это, безусловно, снижает риски массовых атак на популярные зарубежные платформы. В одной из исследованных нами кибератак атакующие воспользовались уязвимостями Microsoft Exchange и с помощью единственной команды отправили ссылку на вредоносный файл в ответ на 10 последних сообщений из папки "Входящие". С другой стороны, мировые решения имеют многолетнюю историю тестирования и развития механизмов защиты. Например, тот же Microsoft Exchange, запущенный еще в далеком 1993 г., сегодня не просто почтовый сервер, а целый комбайн с множеством возможностей, в том числе и для защиты почты. Он ежедневно тестируется и производителем, и миллионами пользователей по всему миру. И нельзя определенно утверждать, что популярный зарубежный продукт однозначно лучше или хуже отечественного решения с точки зрения ИБ.

Распространение отечественных систем требует их бесшовной интеграции со средствами защиты. Возрастающие требования выводят безопасность почты на новый уровень, где точечные решения уступают место комплексным платформам с экосистемным подходом.

Экосистемы vs. точечные средства защиты

Раньше почту можно было защитить только с помощью разрозненных инструментов: антиспам-решение, антивирус и песочница, интеграция которых друг с другом требовала сложных доработок. Современные платформы работают как единый организм, объединяя контентный анализ, проверку вложений и антифишинг, – этот подход позволяет эффективнее блокировать сложные атаки. Кроме того, аналитикам доступен единый интерфейс вместо множества консолей. Неотъемлемым компонентом таких систем становятся инструменты на базе искусственного интеллекта.

В игру вступает искусственный интеллект

Пока компании совершенствовали защиту от традиционного фишинга, злоумышленники начали использовать генеративный ИИ. Простейший способ создать убедительное фишинговое сообщение – через языковую модель. Более продвинутые атакующие применяют ИИ-агенты, которые тестируют варианты текстов и адаптируют тактику в реальном времени.

Повсеместное использование GPT-моделей усугубляет проблему. Стилистически безупречные фишинговые сообщения стали нормой – они не содержат опечаток или грамматических ошибок, что лишает пользователей привычных ориентиров для распознавания обмана. Требуются принципиально новые методы оценки доверия к электронной почте, выходящие за рамки анализа текстовых признаков.

Рис. 2. Пример рекламного письма,
составленный нейросетью за пару минут

Современные антиспам-системы должны оценивать:

• стилистические аномалии – неестественные для деловой переписки фразы вроде "Друг, лови файл";
• эмоциональный окрас – искусственное создание срочности, например "Не упустите единственный шанс";
• контекстные несоответствия – отклонения от обычного стиля общения, когда генеральный директор пишет "Привет, народ" вместо обычного "Добрый день".

Параллельно в системы защиты внедряют ИИ для анализа цепочек атак: модели обучаются выявлять аномалии и скрытые связи. Технология не только обнаруживает угрозы, но и автоматизирует ответ: находит похожие рассылки и блокирует скомпрометированные аккаунты.

На электронную почту в корпоративном сегменте по-прежнему будет совершаться множество атак в ближайшие годы. И при этом рост мобильности, импортозамещение, экосистемная интеграция и ИИ требуют от защиты постоянной эволюции. И тут важно переходить от статичной защиты к адаптивным системам, способным предугадывать угрозы.