О переориентации мошенников на атаки компаний сообщил ведущий telegram-канала "Пост Лукацкого" Алексей Лукацкий со ссылкой на подписчиков. Сама атака, по словам эксперта, выглядит следующим образом: "Мошенники обзванивают бывших сотрудников (начиная с генеральных директоров и бухгалтеров, данные по которым открыто лежат в ЕГРЮЛ) компаний с иностранным участием и, прикрываясь службой в правоохранительных органах и стращая уголовными делами по иноагентским статьям и госизменой, требуют, например, бухгалтерские документы. В качестве модификации схемы может прилететь сообщение от вашего "бывшего генерального директора", который будет запрашивать разное, якобы в рамках следственных действий, или просить оказать содействие".
Руководитель центра кибербезопасности ООО "Траст" (F.A.C.C.T. - ранее российское отделение Group-IB) Ярослав Каргалев назвал наиболее вероятной целью злоумышленников сбор данных для использования в других атаках: "Сведения, полученные на этапе такой разведки, когда злоумышленники пытаются получить различные документы, могут использоваться для разработки целевой социальной инженерии. Для потенциальной жертвы, например получателя письма, оно будет казаться максимально легитимным и не вызывать подозрений. Использование тем, связанных с вопросами финансов и бухгалтерии, в этой схеме может говорить о том, что дальнейшее развитие атаки будет нацелено на сотрудников и финансового сектора. В таком случае злоумышленники могут задействовать хорошо подготовленные фишинговые письма с вредоносной нагрузкой, где их целью будет инфицирование рабочего устройства и получение доступа к данным, хранящихся на нем, - например, учетным данным позволяющим получить доступ в дистанционное банковское обслуживание. Еще одним вектором атак на бухгалтеров могут быть мошеннические письма типа BEC (invoice fraud, или компрометация корпоративной почты), когда заранее подготовленные (благодаря разведке) мошенники будут пытаться вступить в переписку с действующим сотрудником компании, выдавая себя за лицо, которому жертва будет доверять. И в целом мы видим, как веерные рассылки приобретают атрибуты таргетированности - хорошей проработки легенды фишингового письма, что повышает вероятность того, что получатель-жертва выполнит требуемые действия: перейдет по ссылке, запустит вложение, переведет деньги".
Начальник отдела защиты бренда Angara Security Виктория Варламова считает главной целью злоумышленников сбор данных, в том числе для атак на цепочки поставок: "Цель злоумышленников в описанном случае - это сбор и верификация максимального количества данных о специалистах, критичных для бизнеса. Так, конфиденциальные бухгалтерские документы содержат большой пласт персональных данных с названиями должностей и суммами зарплат. Дальше эти данные злоумышленники могут как использовать сами для точечных фишинговых атак на высокодоходных специалистов, так и для перепродажи. Также собранные документы содержат подписи сотрудников, злоумышленники могут добавлять эти или фальсифицированные документы на фишинговые ресурсы, чтобы вызвать больше доверия у пользователей. Помимо персональных данных сотрудников в таких документах содержится информация о контрагентах и оборотах между ними. Помимо продажи этих данных, злоумышленники также могут использовать их для планирования атак на цепочку поставок и взлома целевых компаний через партнеров".
Руководитель направления киберразведки Innostage CyberART Александр Чернов назвал такие атаки частным случаем фишинга, конечной целью которого является кража финансовых средств: "Такие фишинговые атаки, направленные на получение бухгалтерских документов или других конфиденциальных данных о работе предприятия, могут быть частью комплексной фишинговой кампании, нацеленной на кражу финансовых средств. В состав бухгалтерской информации часто входят конфиденциальные данные о финансовом состоянии компании, ее операциях, налоговой отчетности и других финансовых аспектов. Утечка этих данных может привести к нарушению конфиденциальности и негативно отразиться на репутации компании, а также принести юридические проблемы".
"Ничего нового с технической точки зрения этот способ обмана не представляет, а просто является очередным психологическим приемом, используемым мошенниками. Массовый обзвон подобного рода ограничивается существующими средствами антифрода", - сообщил представитель пресс-службы ПАО "Мегафон". - "Мы защищаем всех наших абонентов от мошеннических вызовов. В компании внедрены специальные автоматизированные системы, которые на основе аналитических алгоритмов выявляют и отсеивают такие звонки. За счет внутренних фильтров оператора в I квартале 2024 г. мы заблокировали 244 млн звонков и 91 млн SMS. Те вызовы, которые доходят до абонента, идентифицирует виртуальный секретарь Ева. При входящем звонке она показывает абоненту на экране телефона предупреждение об источнике звонка: "банк", "интернет магазин" или "массовый обзвон".
Представитель пресс-службы ООО "Т2 Мобайл" (Tele2) в ответ на запрос ComNews отметил, что для оператора связи звонки злоумышленников, использующих подобные схемы, не будут отличаться от других мошеннических вызовов: "Если вызов совершается с подменой вызывающего номера на какой-либо номер российского оператора, например, для маскировки под государственные органы, он будет выявлен и блокирован системой "Антифрод". При этом следует отметить, что атаки по такой схеме не являются массовыми - они готовятся заранее и совершаются с прицелом на конкретных жертв. Абонентам в таких случаях следует незамедлительно обратиться в правоохранительные органы".
"Если все же инцидент произошел, то важно немедленно прекратить взаимодействие с мошенниками и сообщить о происшествии в полицию. Далее, важно запустить мониторинг, чтобы выяснить на каких ресурсах (помимо обязательных для раскрытия информации) опубликованы данные о компании. Следующий шаг - превентивная защита "болевых" точек в инфраструктуре или во взаимодействии внутри компании и с контрагентами, чтобы исключить вероятность дальнейших фальсификаций и кибератак", - рекомендует Виктория Варламова.
ГК "Гарда" и ООО "БСС Безопасность" не смогли предоставить комментарии. ПАО "Мобильные ТелеСистемы" (МТС) и ПАО "Вымпелком" не ответили на запросы ComNews.
Яков Шпунт