Киберпреступники оттачивают применение схем фишинга в отношении сотрудников российских компаний. Они пользуются в основном уже проверенными методами, но совершенствуют их и делают менее узнаваемыми, добавляя к своему арсеналу также возможности искусственного интеллекта, говорится в отчете компании «Перспективный мониторинг» (входит в ГК "Инфотекс"), подготовленном для Secpost. Цели мошенников — прямые хищения, кража данных или закрепление в инфраструктуре организаций для последующего шантажа.

Фальшивые боссы и секретные чаты

Злоумышленники проводят постоянный апргрейд уже проверенных схем, отмечают аналитики. «Те же приемы социальной инженерии обрастают гибридами, уходят из почты в мессенджеры, дополняются нейросетевыми голосами и «официальными» письмами из ведомств», — рассказали SecPost в компании «Перспективный мониторинг».

Так, по-прежнему актуальна схема fake boss, когда злоумышленник выдает себя за генерального, финансового директора или руководителя подразделения и пытается под видом срочного поручения провести несанкционированный платеж, получить конфиденциальную информацию или заставить сотрудника открыть вредоносное вложение. При этом прием с фальшивым боссом может являться вступительным этапом, а дальше в ход идут уже «письма из ФСБ» или вложения с ВПО.

Мошенники тратят какое-то время на подготовку, собирая информацию о компании — имена руководителей, должности и контакты, структуру подразделений, корпоративные события, почтовые домены и шаблоны e-mail. Источниками таких данных могут стать социальные сети, официальные интернет-ресурсы компании, открытые базы и сервисы по проверке контрагентов, а также утечки, сообщают в «Перспективном мониторинге». Злоумышленники создают фейковую электронную почту с использованием домена, похожего на легитимный, аккаунт в мессенджере, профиль в Telegram. А если человек регулярно выступает публично, подделывают его голос. Потенциальными «жертвами» чаще всего выбирают бухгалтеров, специалистов по закупкам, офис-менеджеров, администраторов и менеджеров среднего звена.

Самый распространенный сценарий — с ложным переводом денег, когда мошенник пишет сотруднику или отправляет голосовое сообщение: «Нужно срочно оплатить контракт, поставщик ждет. Никому не говори. Я на встрече, включать связь не могу». Потом рассылаются реквизиты, создается давление сроками («если не успеем, сорвем тендер/потеряем деньги»). После перевода злоумышленник пропадает.

Другой сценарий — с командировочным или представительским расходом. Мошенник от имени руководителя пишет: «Купи подарки для партнеров/ забронируй отель/ переведи аванс», и сотрудник оплачивает покупку своей картой.  Также применяется схема с подменой реквизитов, когда мошенник вклинивается в переписку с поставщиком и пишет: «Реквизиты изменились, оплачивайте по ним». Это особенно опасно для организаций, где документооборот ведется по электронной почте без подтверждения в системе ЭДО, отмечают авторы отчета.

В сценарии с передачей конфиденциальных данных, где основная цель — заполучить внутрикорпоративные документы, бухгалтерские отчеты, данные сотрудников, пароли или коммерческие документы, мошенники обычно пишут: «Пришли сводку по зарплатам/ список сотрудников/ сканы договоров, срочно нужно». Дополнительно могут отправить ссылку на фишинговую страницу под видом «корпоративного документа» или файл «на проверку», который содержит шифровальщик (программу-вымогатель).

Новый этап развития социальной инженерии — дипфейк-звонки или «кружки» в Telegram от руководителя. Сотрудник получает ссылку, чтобы обсудить по ВКС вопрос, или «директор» поручает переслать заказчику деньги или уточнить какую-либо чувствительную информацию.

При этом популярность набирает гибридный сценарий с имитацией давления со стороны силовых структур. Сотрудников добавляют в Telegram-чат с названием компании, где среди участников «генеральный директор». Он сразу ограничивает варианты общения («позвонить нельзя, все только здесь») и просит сохранить переписку «строго между нами»). И сообщает: «Дело в том, что у нас произошла кража данных организации, и теперь из-за этого проверка. Речь идет обо всех, кто связан с организацией. Сейчас вам пришлю фото документа, так будет понятнее, когда ознакомитесь». После чего отправляет «письмо от ФСБ». Оно сделано на скорую руку, с ошибками, но может для рядового сотрудника выглядеть пугающим из-за печатей, ссылок на статьи и угроз ответственности. Дальше на этом страхе пытаются достать нужную информацию или подвести к какому-то действию, объясняют в ГК «Инфотекс».

Отдельный тренд — рассылки, направленные на конкретные роли, например, HR-специалистов, приводят пример аналитики. Например, сотрудники отделов персонала получали рассылки якобы от рекрутингового сервиса HeadHunter: «В рамках планового обновления баз работодателей мы проводим проверку аккаунтов. Пожалуйста, подтвердите, что профиль действительно принадлежит вам. Чтобы сохранить доступ к откликам кандидатов и возможности размещать вакансии, необходимо подтвердить владение данным аккаунтом. Важно: если подтверждение не будет выполнено в течение 10 часов, доступ к профилю может быть временно ограничен». При нажатии на кнопку «Подтвердить» пользователь попадал на фишинговую страницу, замаскированную под сервис hh.ru с формой верификации.

Страх, любопытство и обещание выгоды

Почти все описанные сценарии держатся на одном и том же наборе психологических триггеров, объясняют в «Перспективном мониторинге». Это апелляция к власти («Я твой начальник, сделай это немедленно»), срочность («Время на минуты, сорвем контракт, если не успеешь»), страх последствий («Под угрозой бизнес/твоя должность»), изоляция («Никому не говори, это строго конфиденциально»), лесть и особое доверие («Делаю это через тебя, потому что ты самый ответственный»). Сотрудники попадаются на эти уловки из-за страха, желания не подвести, недостаточной осведомленности в вопросах ИБ и сильной загруженности.