В Сети появились новые сценарии целевого фишинга, направленные на сотрудников компаний, — об этом предупредили эксперты. Злоумышленники выдают себя за службу технической поддержки и отправляют вредоносные письма работникам, чтобы получить доступ к паролям и конфиденциальным данным. Подробности — в материале «Известий».
Новая угроза
О том, что злоумышленники в Сети стали выдавать себя за сотрудников служб технической поддержки различных компаний, «Известиям» рассказали эксперты компании R-Vision. По словам специалистов, ради получения доступа к паролям и конфиденциальным данным работников мошенники используют два основных сценария атак. В рамках первого аферисты отправляют письмо, в котором сообщают о смене доменного адреса внутренних рабочих систем.
— Злоумышленники просят сотрудников перейти по ссылке на якобы новый адрес сервиса, чтобы проверить доступ к своим проектам, — рассказывает инженер по информационной безопасности компании R-Vision Игорь Швецов. — При этом мошенники просят использовать корпоративные пароли.
Второй сценарий, по словам эксперта, — это якобы выборочное тестирование перехода пользователей на новый алгоритм шифрования при работе с почтой. Злоумышленники рассылают письма конкретным сотрудникам, персонализируя фишинговые сообщения. В качестве «маячков» они используют несколько моментов: письмо приходит именно от сотрудника компании, а также называются реальные сервисы, которые применяются в организации.
Если сотрудник перейдет по ссылке и введет свои учетные данные, то злоумышленники получат доступ к личной информации и паролям, подчеркивает Игорь Швецов. Это позволит им не только украсть конфиденциальные данные компании, но и использовать учетную запись сотрудника для дальнейших атак.
Проблема с историей
Как говорит в беседе с «Известиями» операционный директор компании «Мультифактор» Виктор Чащин, вид мошенничества от имени специалистов технической поддержки встречался и ранее — в середине 2010-х годов. Однако из-за того, что определенные методы мошенничества становятся слишком распространены и известны не только преступникам, но и их жертвам, приходится искать или вспоминать старые методы обмана. Именно так происходит и сейчас.
— Например, когда-то была волна мошенничества с маскировкой под руководителей компании, потом данный метод обмана перестал быть эффективным и мошенникам пришлось переключиться на другой, — объясняет специалист.
С этим согласен и руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников: по его словам, именно потому, что о схемах мошенничества от имени техподдержки многие успели забыть, в ближайшее время они будут достаточно эффективными, в отличие от «специалистов из банка», которые у всех на слуху.
Специалист поясняет, что мошеннические схемы от имени техподдержки могут быть легко адаптированы как для массовых рассылок, так и для таргетированных атак на определенную компанию. Мошенники могут выступать от имени любого популярного сервиса, ставя под угрозу персональные и платежные данные пользователей. Если последним разрешено использовать личную почту на рабочих компьютерах, то такого рода схемы могут привести к проникновению злоумышленников в корпоративную сеть.
— При наличии уязвимостей в корпоративных почтовых системах киберпреступники могут маскироваться под внутренних сотрудников, прикрываясь технической поддержкой, — отмечает Дмитрий Овчинников. — Успех злоумышленников в этом плане может привести к загрузке вредоносного кода, открывающего им доступ в сеть предприятия.
Виктор Чащин дополняет, что целями подобных атак могут стать абсолютно любые сотрудники компаний. Ведь используя их учетные записи, киберпреступники могут проникнуть во внутренние корпоративные системы, даже не выдав себя.
Инструменты мошенников
Эффективность схем от имени техподдержки строится на том, что люди привыкли к письмам от ее специалистов и доверяют им, объясняет Виктор Чащин. В итоге просьба перейти куда-то и ввести пароль не вызывает слишком большого подозрения.
— В этих схемах звонок или письмо поступает человеку в разгар рабочего дня, когда он перегружен задачами и информацией, и ему кажется, что легче последовать инструкциям «специалиста», чем самостоятельно разобраться в озвученной проблеме, — рассказывают эксперты компании Angara Security.
Однако важно помнить, что, несмотря на кажущийся надежным источник, его всё равно нелишним будет проверить, говорит Виктор Чащин. В частности, можно удостовериться по другим каналам (телефону или мессенджеру), что подобные письма техподдержка действительно рассылала. К тому же во всех компаниях сейчас есть корпоративные чаты или внутренние мессенджеры, где всегда можно получить оперативную информацию.
Во-вторых, зачастую почтовые программы помечают подобные письма как подозрительные. А происходит это из-за несоответствия адреса почты отправителя серверу отправления. В то же время специалисты Angara Security обращают внимание, что домены «техподдержки», в которых фигурируют, к примеру, наименования операторов связи, быстро выявляются сотрудниками служб безопасности, поэтому мошенники избегают их упоминания в адресах фишинговых ресурсов.
Второй признак — в названии страниц фигурирует .html расширение, что говорит о низкоуровневой IT-разработке, не свойственной крупным компаниям.
Поэтому, чтобы не стать жертвой подобных схем, Дмитрий Овчинников рекомендует всегда внимательно проверять почтовый адрес, а также обязательно понимать, что и зачем вы совершаете в процессе выполнения инструкций — подобные меры смогут предотвратить взлом.
Механизмы защиты
Для того чтобы защититься от мошеннических схем от имени техподдержки, Дмитрий Овчинников советует обязательно использовать антивирусное программное обеспечение (ПО) — оно может засекать большинство типов вредоносной нагрузки и распознать так называемую схему Reverse Shell. Кроме того, в компании можно использовать класс решений EDR, а еще лучше XDR. Также для защиты от злоумышленников будет полезно применять средства, умеющие анализировать действия пользователей.
— Если вы не обладаете подобными программами, то единственная защита, которая вам доступна, — это обучение пользователей основам информационной безопасности и регулярное проведение обучений по противодействию фишинговым атакам, — отмечает собеседник «Известий».
Если вы столкнулись с мошенническим посланием от имени техподдержки, не открывайте ссылки из письма и не вводите конфиденциальную информацию. Виктор Чащин рекомендует сообщить о послании системным администраторам и в отдел безопасности (если он есть). Если же с таким посланием столкнулся сам администратор, то ему необходимо заблокировать эти ссылки в контуре компании, удалить письма в ящиках пользователей и предупредить о данном мошенническом письме в альтернативных каналах связи.
— Если вы имеете дело с мошеннической рассылкой от какого-то сервиса или бренда, стоит самостоятельно обратиться в его реальную службу технической поддержки, рассказать о мошенничестве от его имени и приложить скриншот, — советуют эксперты Angara Security.
Если человек стал жертвой мошенников «из техподдержки» как частное лицо, то необходимо срочно проверить компьютер на наличие вирусов и бэкдоров, а также сменить все пароли на аккаунтах в электронной почте, соцсетях и других сервисах, заключил Дмитрий Овчинников.