В 2024 году было выявлено в шесть раз больше инцидентов против информационной безопасности (ИБ), чем за аналогичный период прошлого года. Российский бизнес сталкивался с утечками данных, DDoS-атаками, программами-вымогателями. Несмотря на развитие технологий, киберпреступники по-прежнему играют на человеческих эмоциях. Так как люди остаются слабым звеном в цепочке цифровой безопасности, то большинство угроз так или иначе связаны с социальной инженерией.
Новый виток в развитии социальной инженерии получила схема с маскировкой мошенников. Хакеры выдают себя за специалистов ИБ, сотрудников технической поддержки, и обманным путем получают ценную для бизнеса информацию. На какие категории жертв рассчитаны такие схемы и как распознать обман, чтобы не попасть на крючок мошенников.
Схемы киберпреступников стали более продуманными
Схема с маскировкой мошенников под техподдержку, специалистов информационной безопасности не новая. Но начала она работать, когда российские компании стали более зрелыми в своих внутренних процессах. Если раньше на почту сотруднику приходило фишинговое письмо от условной Microsoft, он удивлялся и просто пропускал, поскольку никогда не сталкивался с таким сценарием ранее. Теперь компании стали «цивилизованными», используют корпоративные облачные инфраструктуры и т.п. И если мошенник маскируется под техподдержку сервисов и делает письмо в их стилистике, или представляется сотрудником ИБ и предупреждает о проведении «учений по инфо-безопасности», а затем убеждает сотрудников передать конфиденциальные данные о компании, то потенциальные жертвы уже могут поверить и стать первым звеном в цепочке взлома инфраструктуры.
Мошенники в этих случаях используют не только фишинговые письма в одно действие («Здравствуйте, пришлите пароль»), но и более сложные схемы. Например, злоумышленники отправляют письма от имени генерального директора или руководителя отдела с просьбой, допустим, пройти корпоративный опрос, поучаствовать в квизе. Сотрудники переходят в квиз или опрос в онлайн-форме, и там появляется заглушка в виде страницы регистрации. Вводят корпоративный логин/пароль и злоумышленники получают эти данные себе. Вспомним распространенную в РФ атаку Fake Boss.
И если вам придет довольно «топорное» письмо от «администратора»: «Ваш пароль истекает, обновите его». Насторожитесь! Изучите письмо внимательнее. Например, оно может содержать две кнопки, ведущие в итоге на одну и ту же фишинговую страницу – обновить пароль или оставить пароль как есть. Если на них нажать, пользователю будет предложено ввести старый пароль и «новый», что приведет к утечке конфиденциальных данных.
На кого рассчитаны схемы по взлому корпоративной инфраструктуры
Атакуют всех сотрудников, независимо от должности. Если мошенник смог обмануть хотя бы одного человека, получить доступы к его мессенджерам или почте, он может провести следующий этап. Например, ВЕС-атаку: используя полученный доступ, отправить сообщение или письмо от имени сотрудника его коллегам с его же реального корпоративного почтового ящика, и в итоге дойти до руководителя, бухгалтера – того, кто окажется наиболее интересным.
Конечно, лучший вариант для мошенника – сперва провести разведку по открытым источникам, OSINT. Изучить информацию о сотрудниках компании, найти их в социальных сетях и далее составить персонализированное письмо на имя руководителя, системного администратора или любого специалиста, имеющего наибольшее количество прав. Потому что, чем больше персонализирована атака, тем успешнее может оказаться ее результат.
Поэтому, чтобы не попасть в ловушку мошенников, пользователям стоит всегда быть бдительными. Есть два главных признака письма, которые должны сразу насторожить.
- Отправитель настойчиво побуждает к действию, например, предлагает срочно сменить пароль или как можно быстрее оплатить просроченный штраф.
- Письмо приходит не запланированно.
Также следует обращать внимание на второстепенные признаки: отсутствие подписи, небрежное оформление, неправильное название домена, не связанные с компанией адреса и др. Они могут быть заметны сразу, а могут и вовсе отсутствовать.
Как обойти ловушки кибермошенников
В идеале, в каждой компании должна быть выстроена определенная стратегия работы, если на корпоративные ресурсы приходят фишинговые письма. Так, если у пользователя возникли подозрения, что письмо поддельное, и никакая техподдержка или ИБ-специалист ему не пишет, он должен сообщить своему руководителю или системному администратору об этом. А они, в свою очередь, проверить подлинность: позвонить в головной офис, используя номер телефона, указанный на официальном сайте. Уточнить, была ли подобная рассылка писем и актуальная ли информация из них. Если письмо оказалось мошенническим, то стоит сделать общую рассылку и оперативно предупредить остальных коллег.
Вот некоторые рекомендации, чтобы обезопасить бизнес от злоумышленников:
- Сотрудники должны знать, что в подозрительных письмах нельзя нажимать на ссылки и открывать файлы, переходить по QR-кодам, а также ни в коем случае не спрашивать у отправителя «а не мошенническое ли это письмо».
- Стоит отправить инструкции / рекомендации или проводить обучения по кибербезопасности с последующей проверкой знаний. Занятия должны содержать популярные приемы, которыми пользуются киберпреступники: изменения заработной платы, налоговые задолженности, «помощь» следствию, нарушения законов, письма техподдержки, рассылка от специалистов...
- Сотрудникам стоит использовать многофакторную или хотя бы двухфакторную аутентификацию. Когда помимо логина и пароля есть подтверждение с помощью СМС-кода, OTP, токена или биометрии.
Важно не забыть, что подобная логика применяется не только при атаках на сотрудников, но и при атаках на цепочку поставок – они происходят с помощью внедрения вирусов или другого вредоносного программного обеспечения в продукт поставщика или вендора. Клиенты используют ПО, не подозревая, что заражают свои ПК и отдают доступы злоумышленникам.
Один из примеров – взлом SolarWinds. Хакеры заразили вредоносом платформу вендора, после чего обновление установили около 18 тыс. клиентов компании. В рамках атаки хакеры получили доступ к сетям как минимум 200 компаний и ведомств по всему миру – Ciso, Mimecast, Palo Alto Networks, Fidelis Cybersecurity и другим. После взлома хакеры стали торговать похищенными данными в Сети. Были и другие последствия, например, Microsoft подтвердила, что злоумышленники смогли просмотреть часть исходного кода некоторых продуктов компании, чтобы использовать полученную информацию для новых атак.
Злоумышленники постоянно совершенствуют методы обмана, используя новые технологии, вроде искусственного интеллекта, для создания правдоподобных фальшивок. А также новые каналы. Например, атака может начинаться не с почты, а с переписки с «руководителем» или «безопасником» в мессенджере. В результате борьба с киберугрозами усложняется и требует не только технологий, но и активного участия каждого сотрудника. Поэтому важно помнить, что информированность и бдительность – лучшая защита в мире цифрового обмана.
Также читайте: