В настоящее время мошенники активно атакуют компании с помощью данных, которые сотрудники выкладывают в социальных сетях. Так киберпреступникам проще находить жертв для рассылки сообщений с фишинговыми ссылками.
По данным экспертов по кибербезопасности, сегодня мошенники всё реже используют простые схемы, так как они уже известны большинству белорусских граждан и люди на них, как правило, не ведутся. Преступники дополняют свои сценарии новыми «фишками», делают их сложными и многоступенчатыми и в итоге находят жертв среди работников разных организаций.
В настоящее время мошенники активно атакуют компании с помощью данных, которые сотрудники выкладывают в социальных сетях. Так киберпреступникам проще находить жертв для рассылки сообщений с фишинговыми ссылками.
По данным экспертов по кибербезопасности, сегодня мошенники всё реже используют простые схемы, так как они уже известны большинству белорусских граждан и люди на них, как правило, не ведутся. Преступники дополняют свои сценарии новыми «фишками», делают их сложными и многоступенчатыми и в итоге находят жертв среди работников разных организаций.
Как правило, злоумышленники выбирают своей целью крупную компанию с солидным бюджетом. После этого они изучают профиль организации: чем она занимается, какие люди там работают и как с ними связаться (обычно контакты указаны прямо на сайте, но зачастую в этом помогают социальные сети).
Дальше они могут, например, узнать, кто работает в отделе кадров и написать туда письмо от человека, который якобы хочет устроиться на работу. Либо делают наоборот: находят контакты сотрудников и пишут им от лица кадровиков компании-конкурента с предложением вакансии.
В оба вида писем киберпреступники добавляют вредоносные ссылки или вложения - под видом резюме или описания вакансии. Перейдя по ним или скачав ВПО, сотрудники дают мошенникам возможность получить доступ в корпоративную сеть компании.
Зачастую мошенники используют в схемах специализированные рекрутинговые платформы, где присутствуют данные как работодателей, так и сотрудников различных фирм. Злоумышленник создает фейковую страницу на сервисе либо взламывает существующую, принадлежащую сотруднику другой компании, и пишет намеченной жертве через внутреннюю систему такого сервиса.
Это может быть, как предложение ознакомиться с вакансией, так и простое партнерское общение. Его цель - установить доверие, расположить к себе человека, чтобы он поверил, что говорит с коллегой или потенциальным работодателем. И перешел по ссылке, которую ему со временем пришлют.
Делается всё, чтобы у человека не было сомнений в честности собеседника. Тогда жертва мошенников может открыть вредонос, будучи уверенным, что это, к примеру, тестовое задание.
Иногда мошенники используют и популярные мессенджеры, подделывая там аккаунт коллеги жертвы (или просто взламывая его). В таком случае они могут прислать ссылку якобы на какую-то полезную для работы программу или сайт.
Помимо прочего, в ходу у мошенников остаются проверенные схемы с корпоративными почтовыми адресами. В этом году эксперты наблюдали активное использование в фишинговых письмах вредоносных QR-кодов. В отличие от обычных ссылок обнаружить их сложно, так как визуально мошеннический код не отличается от любого другого.
Также в рассылках злоумышленники всё увереннее маскируются под государственные структуры: следственные органы, прокуратура, профильные министерства.
Задачи большинства фишинговых рассылок, направленных на корпоративных пользователей, - либо попытка выманить логин и пароль от рабочей почты, либо стремление заразить рабочее устройство вредоносным ПО. При этом крупные компании часто подвергаются прицельным таргетированным атакам, что опаснее для рядового сотрудника, потому что в этом случае письма выглядят еще более убедительными.
Самое страшное, что грозит компании в случае атаки, - это заражение вирусом-вымогателем. Такая программа может зашифровать все данные, с которыми работает организация, и компания потеряет их - в случае если у нее нет правильной политики сохранения резервных копий. В таких ситуациях мошенники обычно требуют выкуп.
В некоторых случаях киберпреступники еще и скачивают данные и просят заплатить им за то, чтобы не распространять их на сторонних площадках. Полученный выкуп, как правило, ничего не гарантирует.
Помимо финансовых, атакованная компания несет и большие репутационные риски - в случае если она откажется платить преступникам, те могут опубликовать все данные, которые смогли раздобыть. Это могут быть персональные данные сотрудников и клиентов, технологии компании, коммерческая тайна и так далее.
Иногда ущерб от того, что компания потеряет персональные данные или коммерческую тайну, выше размера выкупа. Известны случаи, когда компании банкротились после таких ситуаций.
В большинстве случаев мошеннические схемы работают, потому что сотрудники компаний не проходят инструктаж служб безопасности и не знают о рисках перехода по вредоносным ссылкам. Другая причина кроется в том, что на работе люди слишком заняты, чтобы анализировать все приходящие письма, и не всегда могут распознать взлом почты.
Многие попросту ведут себя халатно в отношении политики информационной безопасности, принятой в компании. В первые дни после приема на работу почти все подписывают документ, в котором обещают не переходить по подозрительным ссылкам, не пользоваться рабочим устройством в личных целях, придумывать сложные пароли для своих корпоративных аккаунтов. Однако на практике эти обещания часто остаются лишь на бумаге.
Еще одной ошибкой сотрудников, которая может стоить компании больших денег и репутации, эксперты называют излишнюю активность в соцсетях. Большую часть информации о будущих жертвах мошенники берут из открытых профилей. Их «работу» упрощает то, что многие работники компаний размещают там фото с корпоративов, совместного отдыха с коллегами.
В Интернете легко проследить, кто с кем работает и общается на работе - то есть от чьего имени можно написать человеку. Людям, подкованным в области сбора информации из открытых источников, легко найти контакты жертвы, составить ее психологический портрет и придумать подход.
В первую очередь работникам организаций важно научиться критично относиться к письмам, которые приходят с незнакомых адресов - особенно если речь в них идет о предоставлении корпоративных или персональных данных и финансовых операциях.
Мошенники могут использовать спуфинг - метод маскировки, когда отправитель письма прячется за именем реальной организации. Для этого, например, злоумышленники регистрируют домены, похожие на легальные, но отличающиеся парой символов. Если быть внимательным, можно увидеть, куда на самом деле ведет ссылка: адрес может быть совсем не тот же, что написан в письме.
Часто мошенники пытаются встроиться в существующую переписку и опираться в сообщениях на информацию, о которой шла речь в предыдущих корпоративных рассылках: например, сезонных выплатах, записи на вакцинацию, графиках отпусков. Поэтому, получив новое письмо, важно читать его внимательно и не спешить переходить по ссылкам. При подозрении на фишинг необходимо оповестить об этом подразделение по информационной безопасности.
Материалы подготовлены группой по защите информации на основе анализа Интернет-ресурсов и СМИ
08.11.2023
