Компании атакуют под видом «доследственной проверки»

Киберпреступники начали использовать приёмы телефонных мошенников против бизнеса. Теперь они действуют не через звонки, а через корпоративную почту, прикрываясь именем силовых структур.

Эксперты «Лаборатории Касперского» зафиксировали новую схему атак, направленную компании крупного бизнеса в РФ. Сотрудникам организаций приходят письма, оформленные как официальные уведомления о проверке инцидента информационной безопасности. На первый взгляд всё выглядит убедительно: юридические формулировки, номера документов, ссылки на законодательство, подписи и даже государственная символика.

Главная цель атаки заключается не в том, чтобы напугать пользователя. Мошенникам важно заставить человека самостоятельно выполнить запуск вредоносного файла внутри корпоративной сети.

Как развивается атака

Пользователь получает письмо с прикреплёнными PDF-документами. Внутри может находиться «уведомление об инциденте информационной безопасности» или «постановление о проведении проверки по факту утечки данных». Особенно подчёркивается, что информация якобы носит конфиденциальный характер и не должна разглашаться коллегам или службе безопасности компании.

Далее сценарий развивается постепенно. Пользователю предлагают заполнить анкету с подробными вопросами о рабочем компьютере, действиях в определённые даты, возможных технических сбоях и используемом программном обеспечении. В некоторых случаях запрашиваются и личные данные сотрудника.

После этого жертве направляют ещё одно письмо. В нём содержится программа, которую необходимо запустить якобы для «технического исследования» рабочего устройства.

На практике это оказывается троян. После запуска злоумышленники получают возможность закрепиться внутри инфраструктуры компании, провести разведку сети и подготовить дальнейшую атаку, включая шифрование систем и вымогательство выкупа.1

Почему схема работает

Подобные атаки опасны не сложностью вредоносного кода, а качеством социальной инженерии.

Документы оформлены максимально реалистично и создают ощущение официальной процедуры. Человек начинает воспринимать происходящее как взаимодействие с государственными структурами, а не как потенциальную кибератаку. Именно поэтому сотрудники могут нарушать внутренние регламенты безопасности и не сообщать о происходящем ИБ-специалистам.

«Ранее подобные сценарии чаще использовались в телефонном мошенничестве против частных лиц. Сейчас мы видим, что эти методы адаптируются для атак на организации. Злоумышленники выстраивают коммуникацию таким образом, чтобы сотрудник воспринимал происходящее как официальное расследование со стороны правоохранительных органов. В результате человек может проигнорировать внутренние процедуры безопасности и самостоятельно предоставить атакующим доступ к рабочему устройству», — отмечает Сергей Голованов

Что важно сделать компаниям уже сейчас

Подобные атаки показывают, что одной только технической защиты уже недостаточно. Современные угрозы всё чаще строятся вокруг психологии и доверия сотрудников.

По мнению экспертов, компаниям стоит:

• если письмо требует срочно пройти «проверку» или запустить программу, сначала убедитесь, что запрос действительно исходит от доверенного источника;
• направлять такие запросы на дополнительную проверку в отдел ИБ компании;
• регулярно обучать работников распознаванию методов социальной инженерии; использовать решения для защиты корпоративной почты, способные автоматически выявлять и блокировать подобные рассылки.

Для снижения рисков «Лаборатория Касперского» рекомендует использовать Kaspersky Secure Mail Gateway, а также проводить тренинги по кибербезопасности с помощью Kaspersky Automated Security Awareness.

Хотите узнать больше о решениях Лаборатории Касперского? Обратитесь к нам за профессиональной консультацией.

Свяжитесь с нами сейчас по номеру +7 (495) 984-33-83 или отправьте заявку на нашу почту: shop@spectrasoft.ru и обеспечьте надежную кибербезопасность уже сегодня.