Фишинг под видом графика отпусков

Летом многие сотрудники компаний начинают задумчиво смотреть в окно, время от времени переводя взгляд на календарь. Не надо быть экстрасенсом, чтобы прочитать в их мыслях слово «отпуск». Этим и пользуются злоумышленники, рассылающие фишинговые письма от HR-отдела. Цель, как обычно, — выманить корпоративные учетные данные. Рассказываем о том, как выглядит эта мошенническая схема и на что следует смотреть, чтобы распознать уловки преступников.

Фишинговое письмо

Злоумышленникам важно, чтобы сотрудник кликнул по фишинговой ссылке. Для этого ему надо отключить критическое мышление получателя письма, чем-то напугав или заинтересовав его. Велика вероятность, что в начале лета для этого сработает упоминание о расписании отпусков. Как правило, у людей уже сформированы планы, куплены билеты, забронированы отели. Если внезапно изменятся даты отпуска, то все эти планы пойдут прахом. Поэтому мошенники рассылают письма от имени сотрудников HR отдела, так или иначе упоминающие график отпусков: речь может идти о внезапном переносе сроков, необходимости их подтвердить или о конфликте дат отпусков с какими-либо важными мероприятиями. Выглядят такие письма примерно так:

Поскольку речь в данном случае идет не о целевом фишинге, а о массовом, распознать уловки злоумышленников достаточно легко. Главное — не поддаться порыву мгновенно кликнуть по ссылке, чтобы проверить утвержденные даты отпуска. Если рассмотреть письмо внимательнее, то становится понятно, что:

• отправитель письма (cathy@multiempac.com) — не сотрудник вашей компании;
• подпись «директора отдела кадров» не соответствует принятому в вашей компании корпоративному стилю;
• под ссылкой, ведущей якобы на документ в формате PDF, на самом деле скрыт совершенно иной адрес (его можно посмотреть, просто подведя мышку к ссылке).

Если подумать, то становится понятно, что злоумышленникам известен только адрес получателя. Автоматизированный инструмент для массовой рассылки берет из адреса доменное имя компании и имя сотрудника и автоматически подставляет их в имитацию ссылки и подпись отправителя.

Фишинговый сайт

Даже если получатель поддастся на уловку и кликнет по ссылке, у него есть возможность распознать фишинг по сайту злоумышленников. Из приведенного выше письма ссылка вела вот сюда:

Сайт тоже нельзя назвать убедительным:

• первое, что бросается в глаза, — данный сайт размещен не на сервере вашей компании, а в облаке myhuaweicloud.com, где арендовать пространство может любой;
• название файла не совпадает с именем упомянутого в письме pdf-файла;
• на сайте нет ни единого атрибута, который мог бы связать его с вашей компанией.

Разумеется, если сотрудник вводит пароль в окне авторизации, последний мгновенно утекает на серверы злоумышленников.

Как оставаться в безопасности

Для того чтобы сотрудники вашей компании реже сталкивались с разного рода фишинговыми письмами, необходимо иметь защиту на уровне почтового шлюза. Кроме того, все подключенные к Интернету устройства должны быть защищены локальным решением.

Помимо этого, мы рекомендуем периодически повышать уровень осведомленности сотрудников о современных киберугрозах или хотя бы рассказывать им о возможных фишинговых схемах. Информацию об уловках фишеров можно найти в этом блоге и на нашем Telegram-канале.