Мошенники под видом специалистов по ИБ убеждали работников передать данные о компании
Фишинг - вид интернет-мошенничества, цель которого - получить данные жертвы. Это может быть пришедшее на почту или в мессенджер поддельное уведомление от банка, платежной системы, интернет-магазина или госорганизации о том, что по какой-либо причине получателю срочно нужно передать или обновить личные/рабочие данные.
По словам экспертов центра внешних цифровых угроз Solar AURA ГК "Солар", сфальсифицированные письма от имени ведомств поступали в адрес руководителей различных российских компаний. Как правило, во вложении на бланке несуществующего ведомства содержался электронный документ с грифом "Для служебного пользования", который уведомлял о планах провести консультационные беседы с сотрудниками для "повышения уровня информированности по вопросам обеспечения защиты конфиденциальных данных и соблюдения требований информационной безопасности в условиях работы".
Вложения не содержали вредоносных вирусов, но в них обязательно указывалось, что "содержание бесед имеет служебный характер и не подлежит дополнительному согласованию", а руководителю организации, получившему письмо, следует предупредить подчиненных о предстоящем звонке.
После этого "предупрежденным" сотрудникам компании поступали звонки от мошенников, которые предоставлялись специалистами в области ИБ и склоняли работников к передаче общей конфиденциальной информации, а также данных, необходимых для входа в информационные системы компании. Такие сведения могут продаваться на черном рынке либо использоваться для кибератаки на организацию.
По словам директора центра мониторинга внешних цифровых угроз Solar AURA Игоря Сергиенко, ранее существовала схема, когда в Telegram-аккаунт сотрудникам писал якобы генеральный директор и предупреждал о предстоящем звонке от ФСБ, но в данном случае "слабым звеном" становится уже сам руководитель.
"Если он поверит изложенной в письме информации и лично предупредит сотрудников о будущей беседе, то шансы злоумышленников на успех значительно повысятся. Можно с уверенностью сказать, что мы наблюдаем новый виток в развитии социальной инженерии, которая становится все изощреннее и вызывает все меньше подозрений у жертв", - отметил Сергиенко.
Руководитель направления защиты информации облачного провайдера Nubes (НУБЕС) Дмитрий Шкуропат отмечает, что и главы компаний могут попасться на различные приемы социальной инженерии.
"Получить фишинговые письма можно с абсолютно разной тематикой. Есть сценарии для широких масс (например, победа в конкурсе или лотерее), а может быть таргетированная рассылка. Во втором случае даже подготовленному человеку не всегда очевидны признаки подозрительного письма", - рассказал Шкуропат.
В рассылке подобных фишинговых писем хакеры используют информационные поводы о возрастающем количестве кибератак на российские организации и мерах по повышению уровня знаний сотрудников об информационной безопасности. При этом хакеры стали активно использовать генеративный искусственный интеллект для составления фишинговых писем. Это резко удешевило и ускорило их создание, а в сочетании с редактурой, проведенной человеком (полуавтоматическое создание писем), увеличилась и их эффективность.
Научный сотрудник Гарвардского университета Фредрик Хейдинг отметил, что в исследовании, проведенном его группой в 2023 году, фишинговые письма, написанные специалистами при помощи ChatGPT, открывали почти 80% получателей.
Проникновение взломщика в корпоративную систему - даже под учетной записью офис-менеджера или юриста - может быть крайне опасно.
"Учетные записи линейных пользователей используются для закрепления в инфраструктуре и дальнейшего повышения уровня доступа до привилегированного, под которым становится доступна конфиденциальная информация и открываются права на управление финансовой и другими критичными внутренними системами. Например, так хакер сможет "усыпить" бдительность средств информационной защиты и мониторинга и запустить в ИТ-инфраструктуру вредоносное ПО", - считает руководитель Innostage SOC CyberART Максим Акимов. Для защиты от такого типа злоумышленников эксперты советуют никогда не диктовать и не пересылать пароли, а также одноразовые коды двухфакторной авторизации. Не предоставлять личные данные в разговоре или переписке с незнакомыми людьми. При получении письма от имени органа государственной власти без цифровой электронной подписи нужно обратиться в это ведомство для уточнения достоверности сведений.