Письма мертвого человека: как киберпреступники атакуют российские компании
Мошенники атакуют российские компании с помощью данных, которые сотрудники выкладывают в соцсети. Так киберпреступникам проще находить жертв для рассылки сообщений с фишинговыми ссылками, рассказали в «Лаборатории Касперского». «Известия» выяснили, какими схемами пользуются злоумышленники, какие риски это несет для бизнеса и как организациям защитить себя и персонал.
С помощью соцсетей
По словам эксперта по кибербезопасности Сергея Ложкина, сегодня мошенники всё реже используют простые схемы, так как они уже известны большинству россиян и люди на них не ведутся. Преступники дополняют свои сценарии новыми «фишками», делают их сложными и многоступенчатыми и в итоге находят жертв среди работников разных организаций.
Как правило, злоумышленники выбирают своей целью крупную компанию с солидным бюджетом. После этого они изучают профиль организации: чем она занимается, какие люди там работают и как с ними связаться (обычно контакты указаны прямо на сайте, но иногда в этом помогают социальные сети).
— Дальше они могут, например, узнать, кто работает в отделе кадров и написать туда письмо от человека, который якобы хочет устроиться на работу, — объясняет Ложкин. — Либо делают наоборот: находят контакты сотрудников и пишут им от лица кадровиков компании-конкурента с предложением вакансии.
В оба вида писем киберпреступники добавляют вредоносные ссылки или вложения — под видом резюме или описания вакансии. Перейдя по ним или скачав вредонос, сотрудники дают мошенникам возможность получить доступ в корпоративную сеть компании.
Разные сценарии
Зачастую, рассказывает Сергей Ложкин, мошенники используют в схемах специализированные рекрутинговые платформы, где присутствуют данные как работодателей, так и сотрудников различных фирм. Злоумышленник создает фейковую страницу на сервисе либо взламывает существующую, принадлежащую сотруднику другой компании, и пишет намеченной жертве через внутреннюю систему такого сервиса.
— Это может быть как предложение ознакомиться с вакансией, так и простое партнерское общение. Его цель — установить доверие, расположить к себе человека, чтобы он поверил, что говорит с коллегой или потенциальным работодателем. И перешел по ссылке, которую ему со временем пришлют, — говорит собеседник «Известий».
Делается всё, чтобы у человека не было сомнений в честности собеседника. Тогда жертва мошенников может открыть вредонос, будучи уверенным, что это, к примеру, тестовое задание.
Иногда, отмечает Сергей Ложкин, мошенники используют и популярные мессенджеры, подделывая там аккаунт коллеги жертвы (или просто взламывая его). В таком случае они могут прислать ссылку якобы на какую-то полезную для работы программу или сайт.
Ходовые схемы
Помимо прочего, в ходу у мошенников остаются проверенные схемы с корпоративными почтовыми адресами. В этом году эксперты наблюдали активное использование в фишинговых письмах вредоносных QR-кодов. В отличие от обычных ссылок обнаружить их сложно, так как визуально мошеннический код не отличается от любого другого, рассказывает руководитель группы защиты от почтовых угроз в «Лаборатории Касперского» Андрей Ковтун.
— Также в рассылках злоумышленники всё увереннее маскируются под государственные структуры: следственные органы, министерства, — отмечает собеседник «Известий». — К примеру, недавно мы обнаружили многоступенчатую схему в рамках таргетированной рассылки. В ней пользователь (обычно представитель бухгалтерии или отдела кадров) получает письмо якобы от регулятора. В сообщении говорится, что несколько сотрудников департамента оставили заявки на кредит. Проверка показала, что к этой активности может быть причастен главный бухгалтер компании.
После этого мошенники просят адресата дождаться звонка якобы от инспектора, который предоставит более подробную информацию об инциденте. Но на самом деле он попытается выведать конфиденциальные данные.
Также в этом году в скам-сообщениях якобы от имени банков или маркетплейсов часто прятали ссылку на мошеннический ресурс в приложенном PDF-файле.
— Задачи большинства фишинговых рассылок, направленных на корпоративных пользователей, — либо попытка выманить логин и пароль от рабочей почты, либо стремление заразить рабочее устройство вредоносным ПО, — объясняет Ковтун. — При этом крупные компании часто подвергаются прицельным таргетированным атакам, что опаснее для рядового сотрудника, потому что в этом случае письма выглядят еще более убедительными.
Риски компании
Самое страшное, что грозит компании в случае атаки, — это заражение вирусом-вымогателем. Такая программа может зашифровать все данные, с которыми работает организация, и компания потеряет их — в случае если у нее нет правильной политики сохранения резервных копий, говорит Сергей Ложкин.
В таких ситуациях мошенники обычно требуют выкуп, который исчисляется суммами от 20 тыс. до нескольких миллионов долларов, — в зависимости от прибыли организации.
— В некоторых случаях киберпреступники еще и скачивают данные и просят заплатить им за то, чтобы не распространять их на сторонних площадках. Впрочем, полученный выкуп ничего не гарантирует, — отмечает эксперт «Лаборатории Касперского».
Помимо финансовых, атакованная компания несет и большие репутационные риски — в случае если она откажется платить преступникам, те могут опубликовать все данные, которые смогли раздобыть. Это могут быть персональные данные сотрудников и клиентов, технологии компании, коммерческая тайна и так далее.
— Иногда ущерб от того, что компания потеряет персональные данные или коммерческую тайну, выше размера выкупа. Известны случаи, когда компании банкротились после таких ситуаций, — заключает Ложкин.
Ошибки сотрудников
По мнению Сергея Ложкина, в большинстве случаев мошеннические схемы работают, потому что сотрудники компаний не проходят инструктаж служб безопасности и не знают о рисках перехода по вредоносным ссылкам. Другая причина кроется в том, что на работе люди слишком заняты, чтобы анализировать все приходящие письма, и не всегда могут распознать взлом почты коллеги.
— Многие попросту ведут себя халатно в отношении политики информационной безопасности, принятой в компании. В первые дни после приема на работу почти все подписывают документ, в котором обещают не переходить по подозрительным ссылкам, не пользоваться рабочим устройством в личных целях, придумывать сложные пароли для своих корпоративных аккаунтов. Однако на практике эти обещания часто остаются лишь на бумаге, — добавляет Андрей Ковтун.
Еще одной ошибкой сотрудников, которая может стоить компании больших денег и репутации, эксперты называют излишнюю активность в соцсетях. Большую часть информации о будущих жертвах мошенники берут из открытых профилей. Их «работу» упрощает то, что многие работники компаний размещают там фото с корпоративов, совместного отдыха с коллегами и отмечают их на снимках.
— В интернете легко проследить, кто с кем работает и общается на работе — то есть от чьего имени можно написать человеку. Людям, подкованным в области сбора информации из открытых источников, легко найти контакты жертвы, составить ее психологический портрет и придумать подход, — говорит Сергей Ложкин.
Способы защиты
Эксперты «Известий» рекомендуют использовать решения для защиты почтовых серверов корпоративных устройств, а также UEM-решения для обеспечения безопасности мобильных устройств сотрудников.
— Важно предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах мошенников, например, с помощью сервисов Threat Intelligence. И, конечно, проводить тренинги по кибербезопасности для сотрудников, обучать их распознавать техники социальной инженерии, — говорит Андрей Ковтун.
В первую очередь работников организаций важно научить критично относиться к письмам, которые приходят с незнакомых адресов — особенно если речь в них идет о предоставлении корпоративных или персональных данных и финансовых операциях.
— Мошенники могут использовать спуфинг — метод маскировки, когда отправитель письма прячется за именем реальной организации. Для этого, например, злоумышленники регистрируют домены, похожие на легальные, но отличающиеся парой символов. Если быть внимательным, можно увидеть, куда на самом деле ведет ссылка: адрес может быть совсем не тот же, что написан в письме, — объясняет Ковтун.
Часто мошенники пытаются встроиться в существующую переписку и опираться в сообщениях на информацию, о которой шла речь в предыдущих корпоративных рассылках: например, сезонных выплатах, записи на вакцинацию, графиках отпусков. Поэтому, получив новое письмо, важно читать его внимательно и не спешить переходить по ссылкам. При подозрении на фишинг стоит оповестить об этом службу информационной безопасности.
Помимо бдительности, поможет и установка надежного защитного решения, которое предупредит пользователя о попытке перейти на фишинговый или скам-ресурс.