Как хакеры играют на доверии
Бизнес все чаще атакуют от лица госорганов или глав компаний
Российские компании стали регулярно подвергаться кибератакам хакеров-вымогателей, использующих для обмана обращения от государственных служб или руководства компаний. Только за последние несколько месяцев специалисты по кибербезопасности выявили сразу несколько схожих мошеннических схем, направленных преимущественно на крупный бизнес и его сотрудников. «Ъ-Review» выяснил у экспертов по защите IT-инфраструктуры, какими методами пользуются злоумышленники уже сейчас и чем это грозит компаниям.
По данным компании, разрабатывающей решения в области кибербезопасности, Positive Technologies, применение социальной инженерии (метод обмана, рассчитанный на доверие жертвы) в первом полугодии 2024 года стало для хакеров еще эффективнее, чем в первом полугодии прошлого года. Так, по данным компании, в этом году успешными оказывались 50% инцидентов с использованием таких методов, хотя годом ранее — 43%.
Одной из сложных схем атаки с применением социальной инженерии стали почтовые рассылки бизнесу писем от якобы госорганов: так как подобные письма изначально вызывают доверие у потенциальных жертв, то количество таких атак постоянно растет, рассказала «Ъ-Review» руководитель исследовательской группы Positive Technologies Ирина Зиновкина.
Одну из последних атак с использованием такого сценария в июле выявили в ГК «Солар». ИБ-специалисты компании обнаружили почтовую рассылку, сфабрикованную под обращения от лица российских ведомств. В одном из случаев — Федеральной службы по надзору в сфере природопользования. Авторы писем предупреждали компании о проведении «консультационных бесед по кибербезопасности» для сотрудников. Проводить их предлагалось по телефону, а содержание бесед должно было остаться конфиденциальным, следует из одного из писем, предоставленных ГК «Солар».
Если жертва ведется на обман мошенников и верит письму, предоставляя контактную базу сотрудников, то в результате уже «подготовленным» работникам компании поступают звонки, но не от ИБ-специалистов ведомства, а от злоумышленников, рассказали в компании. Этот пример является не единственным: ранее специалисты выявляли мошенническую схему, по которой в Telegram сотрудникам компаний писал якобы гендиректор фирмы и предупреждал о предстоящем звонке от ФСБ.
Еще в начале года «Лаборатория Касперского» зафиксировала следующую схему: после сообщения от коллеги или начальника сотруднику компании следовал звонок от представителя банка, в котором злоумышленники якобы стремятся украсть деньги. Через звонок от лица руководителя следом через сгенерированное голосовое сообщение мошенники информировали сотрудников, что необходимо перевести деньги или оказать содействие кому-либо для решения проблемы. Об этом писал ComNews со ссылкой на экспертов компании.
«Такого рода приемы используются в том числе в организации целевых атак на компании, которые достаточно редки, но крайне опасны»,— предупреждает замдиректора центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско. Их целью может являться получение конфиденциальных сведений или хищение денег, например, через звонки в бухгалтерию от лица представителя госоргана или главы компании.
Рост киберугроз для бизнеса подтверждают в вендоре ИБ-решений F.A.C.C.T. «Речь идет о модернизированной схеме FakeBoss (ложный руководитель), в которой мошенники действуют через фейкового руководителя в расчете на то, что подчиненный не сможет отказать начальнику и выполнит все, что он попросит»,— рассказывают в компании. Для убедительности преступники создают в мессенджерах аккаунты-клоны руководителей госучреждений и предприятий и от их имени вступают в переписку с подчиненными. ФИО и фото — реальные, с ними у мошенников проблем не возникает: есть официальные сайты, соцсети и огромное количество утечек персональных данных. «В этом году злоумышленники также используют аудио- и видеодипфейки»,— поделились в F.A.C.C.T.
В целом число кибератак на российскую IT-инфраструктуру в 2024 году продолжает расти. За январь—май число атак на российские организации увеличилось на 30%, подсчитали в «Информзащите». Одним из наиболее распространенных последствий успешных кибератак с начала года остается утечка конфиденциальной информации, доля этого недопустимого события составила 72% для частных лиц и 54% для организаций, поделились в Positive Technologies.
«Помощником» для хакеров в 2024 году становится искусственный интеллект (ИИ). С начала года ИБ-эксперты зафиксировали рост фрод-атак, в которых использовались сгенерированные голоса руководителей компаний. Для генерации голоса мошенники используют ИИ, сделать это возможно, если взять образец голоса человека, записав реальный телефонный разговор или взломав аккаунт в мессенджере для получения голосовых сообщений.
Целевая аудитория таких атак — средний и крупный бизнес, говорит руководитель Innostage SOC CyberART Максим Акимов. При этом для успешного проведения атаки злоумышленникам необходимо обладать не только контактами жертвы, но и информацией о ее деловом окружении. Эти данные могут содержаться в открытом или слабо защищенном виде на сайтах и в социальных сетях организации, а также попасть к мошенникам вследствие утечек из самой компании или ее подрядчиков, объясняет эксперт.
Данная схема опасна в первую очередь тем, что направлена на руководителей организаций, отмечают в Positive Technologies: «Руководители зачастую имеют доступ к более чувствительной информации, чем рядовые сотрудники». Кроме того, руководители имеют привилегированный доступ к внутренним ресурсам организаций, что может сделать дальнейшую атаку злоумышленника более результативной. Финансовые же риски для компаний зависят от многих факторов, например, куда смог дойти злоумышленник — смог ли украсть критичную базу данных или реализовать недопустимые события организации. Помимо финансовых вопросов такие атаки могут нести и репутационные или регуляторные риски.
«Главные меры профилактики — регулярное обучение сотрудников основным принципам кибербезопасности с имитацией фишинговых атак и разбором результатов, использование многофакторной аутентификации для доступа на рабочие станции и обеспечение постоянного мониторинга сетевой активности»,— считает Максим Акимов.
Этот текст — часть нового проекта ИД «Коммерсантъ», посвященного трендам бизнеса и финансового рынка. Еще больше лонгридов с анализом ключевых отраслей российской экономики, экспертных интервью и авторских колонок — на странице Review.