Атакующие взяли в оборот методы телефонных мошенников и действуют под видом различных правоохранительных органов
«Лаборатория Касперского» обнаружила новую схему атак на крупные организации в России. Сотрудникам компаний на корпоративную почту приходят письма якобы от правоохранительных органов с уведомлением о необходимости провести техническое исследование их автоматизированного рабочего места (АРМ) в связи с предполагаемым инцидентом информационной безопасности. На самом деле цель злоумышленников — убедить человека запустить вредоносную программу.
В чём суть схемы. Пользователь получает письмо с одним или несколькими PDF-документами. В них может быть якобы «уведомление об инциденте информационной безопасности» или «постановление о проведении доследственной проверки по факту незаконной передачи данных». При этом жертву просят не допускать разглашения информации о проверке иным лицам.
В одном из сценариев пользователю предлагается заполнить анкету с большим количеством вопросов — в том числе о рабочем устройстве сотрудника, его действиях в определённые даты и возможных сбоях в работе компьютера. Также атакуемого просят указать личные данные и сообщить, использовались ли на устройстве программы удалённого управления или средства обхода блокировок.
В письме может содержаться ещё один PDF-файл — заявление, подписав которое человек якобы добровольно соглашается на «техническое исследование» используемого им рабочего компьютера.
После заполнения документов человеку направляют ещё одно письмо — с программой, которую требуется запустить якобы для проведения технического исследования. На самом деле это троянец. После попадания в корпоративную сеть злоумышленник производит разведку устройств в сети организации с целью шифрования инфраструктуры компании и требования выкупа.
Высылаемые документы содержат профессиональную терминологию и большое количество деталей, характерных для официального документооборота: ссылки на законодательство, регистрационные номера, даты, подписи и визуальные элементы вроде герба. Всё это делает атаку особенно убедительной для сотрудников компаний, которые не сталкивались с подобными процедурами.
«Раньше сценарии, в которых злоумышленники действуют под видом представителей правоохранительных органов, были характерны больше для телефонного мошенничества и нацелены в основном на частных пользователей. Теперь мы видим, что подобные методы начинают использовать и в атаках на организации. Новые вредоносные рассылки мимикрируют под процедуру реагирования на инциденты информационной безопасности с исследованием рабочего устройства сотрудника. В результате человек может проигнорировать внутренние правила безопасности и не сообщить о происходящем в свой отдел по информационной безопасности, поскольку уже воспринимает происходящее как официальные действия со стороны правоохранительных органов», — комментирует Сергей Голованов, главный эксперт «Лаборатории Касперского».
Эксперты рекомендуют сотрудникам не открывать вложения и не запускать программы из писем, связанных с «проверками», «расследованиями» или другими срочными запросами от неизвестных отправителей, а также обязательно перепроверять подобные обращения через внутренние службы безопасности компании.
Решения «Лаборатории Касперского» защищают от этой киберугрозы.
Чтобы минимизировать риск для компаний, «Лаборатория Касперского» рекомендует установить надёжное защитное решение, которое автоматически будет отправлять подобные письма в спам, например Kaspersky Secure Mail Gateway, а также проводить тренинги по кибербезопасности для сотрудников, обучать их распознавать техники социальной инженерии, например с помощью платформы Kaspersky Automated Security Awareness.
