Телефонные мошенники переключились на атаки компаний

О переориентации мошенников на атаки компаний сообщил ведущий telegram-канала "Пост Лукацкого" Алексей Лукацкий со ссылкой на подписчиков. Сама атака, по словам эксперта, выглядит следующим образом: "Мошенники обзванивают бывших сотрудников (начиная с генеральных директоров и бухгалтеров, данные по которым открыто лежат в ЕГРЮЛ) компаний с иностранным участием и, прикрываясь службой в правоохранительных органах и стращая уголовными делами по иноагентским статьям и госизменой, требуют, например, бухгалтерские документы. В качестве модификации схемы может прилететь сообщение от вашего "бывшего генерального директора", который будет запрашивать разное, якобы в рамках следственных действий, или просить оказать содействие".

"Мошеннические звонки – распространенный вид преступлений в цифровой среде. Злоумышленники используют разные схемы обмана, совершенствуют их с учетом текущих реалий, - подтвердил представитель пресс-службы Роскомнадзора. - Одна из популярных у преступников схем: человеку через мессенджер поступает сообщение от "руководителя" о том, что работнику позвонит сотрудник правоохранительных органов, которого нужно выслушать и действовать так, как он скажет. После этого гражданину звонит или пишет мошенник и получает от него необходимую информацию. Схема с обзвоном бывших сотрудников компаний с иностранным участием – модернизированный вариант этой модели поведения мошенников С другими популярными моделями поведения мошенников и рекомендациями, как избежать киберобмана, можно ознакомиться по ссылкам в телеграм-канале Роскомнадзора: https://t.me/rkn_tg/924, https://t.me/rkn_tg/1080".

Руководитель центра кибербезопасности ООО "Траст" (F.A.C.C.T. - ранее российское отделение Group-IB) Ярослав Каргалев назвал наиболее вероятной целью злоумышленников сбор данных для использования в других атаках: "Сведения, полученные на этапе такой разведки, когда злоумышленники пытаются получить различные документы, могут использоваться для разработки целевой социальной инженерии. Для потенциальной жертвы, например получателя письма, оно будет казаться максимально легитимным и не вызывать подозрений. Использование тем, связанных с вопросами финансов и бухгалтерии, в этой схеме может говорить о том, что дальнейшее развитие атаки будет нацелено на сотрудников и финансового сектора. В таком случае злоумышленники могут задействовать хорошо подготовленные фишинговые письма с вредоносной нагрузкой, где их целью будет инфицирование рабочего устройства и получение доступа к данным, хранящихся на нем, - например, учетным данным позволяющим получить доступ в дистанционное банковское обслуживание. Еще одним вектором атак на бухгалтеров могут быть мошеннические письма типа BEC (invoice fraud, или компрометация корпоративной почты), когда заранее подготовленные (благодаря разведке) мошенники будут пытаться вступить в переписку с действующим сотрудником компании, выдавая себя за лицо, которому жертва будет доверять. И в целом мы видим, как веерные рассылки приобретают атрибуты таргетированности - хорошей проработки легенды фишингового письма, что повышает вероятность того, что получатель-жертва выполнит требуемые действия: перейдет по ссылке, запустит вложение, переведет деньги".

Начальник отдела защиты бренда Angara Security Виктория Варламова считает главной целью злоумышленников сбор данных, в том числе для атак на цепочки поставок: "Цель злоумышленников в описанном случае - это сбор и верификация максимального количества данных о специалистах, критичных для бизнеса. Так, конфиденциальные бухгалтерские документы содержат большой пласт персональных данных с названиями должностей и суммами зарплат. Дальше эти данные злоумышленники могут как использовать сами для точечных фишинговых атак на высокодоходных специалистов, так и для перепродажи. Также собранные документы содержат подписи сотрудников, злоумышленники могут добавлять эти или фальсифицированные документы на фишинговые ресурсы, чтобы вызвать больше доверия у пользователей. Помимо персональных данных сотрудников в таких документах содержится информация о контрагентах и оборотах между ними. Помимо продажи этих данных, злоумышленники также могут использовать их для планирования атак на цепочку поставок и взлома целевых компаний через партнеров".

Руководитель направления киберразведки Innostage CyberART Александр Чернов назвал такие атаки частным случаем фишинга, конечной целью которого является кража финансовых средств: "Такие фишинговые атаки, направленные на получение бухгалтерских документов или других конфиденциальных данных о работе предприятия, могут быть частью комплексной фишинговой кампании, нацеленной на кражу финансовых средств. В состав бухгалтерской информации часто входят конфиденциальные данные о финансовом состоянии компании, ее операциях, налоговой отчетности и других финансовых аспектах. Утечка этих данных может привести к нарушению конфиденциальности и негативно отразиться на репутации компании, а также принести юридические проблемы".

"Ничего нового с технической точки зрения этот способ обмана не представляет, а просто является очередным психологическим приемом, используемым мошенниками. Массовый обзвон подобного рода ограничивается существующими средствами антифрода, - сообщил представитель пресс-службы ПАО "МегаФон". - Мы защищаем всех наших абонентов от мошеннических вызовов. В компании внедрены специальные автоматизированные системы, которые на основе аналитических алгоритмов выявляют и отсеивают такие звонки. За счет внутренних фильтров оператора в I квартале 2024 г. мы заблокировали 244 млн звонков и 91 млн SMS. Вызовы, которые доходят до абонента, идентифицирует виртуальный секретарь Ева. При входящем звонке она показывает абоненту на экране телефона предупреждение об источнике звонка: "банк", "интернет-магазин" или "массовый обзвон".

Представитель пресс-службы ООО "Т2 Мобайл" (Tele2) в ответ на запрос ComNews отметил, что для оператора связи звонки злоумышленников, использующих подобные схемы, не будут отличаться от других мошеннических вызовов: "Если вызов совершается с подменой вызывающего номера на какой-либо номер российского оператора, например, для маскировки под государственные органы, он будет выявлен и блокирован системой "Антифрод". При этом следует отметить, что атаки по такой схеме не являются массовыми - они готовятся заранее и совершаются с прицелом на конкретных жертв. Абонентам в таких случаях следует незамедлительно обратиться в правоохранительные органы".

Однако, как отметил представитель Роскомнадзора, мошенники после запуска системы "Антифрод" начали активно использовать мессенджеры: "Развертывание системы "Антифрод", которая блокирует звонки с подменных номеров, вынуждает преступников использовать альтернативные каналы. Они могут звонить через мессенджеры. Чтобы оградить себя от сомнительных вызовов, рекомендуем в настройках профиля мессенджера установить ограничения конфиденциальности, тогда позвонить и написать смогут только те, кто есть в списке контактов".

"Если все же инцидент произошел, то важно немедленно прекратить взаимодействие с мошенниками и сообщить о происшествии в полицию. Далее важно запустить мониторинг, чтобы выяснить, на каких ресурсах - помимо обязательных для раскрытия информации - опубликованы данные о компании. Следующий шаг - превентивная защита болевых точек в инфраструктуре или во взаимодействии внутри компании и с контрагентами, чтобы исключить вероятность дальнейших фальсификаций и кибератак", - рекомендует Виктория Варламова.

"Чтобы обезопасить себя от преступников, необходимо проверить источник информации. Для этого следует прервать звонок и самостоятельно перезвонить в то ведомство (компанию, организацию), откуда он поступил. Если сообщение пришло от руководителя, необходимо связаться с ним по другому каналу, чтобы убедиться: информация пришла именно от него", - такой совет дал представитель Роскомнадзора.

ГК "Гарда" и ООО "БСС Безопасность" не смогли предоставить комментарии. ПАО "Мобильные ТелеСистемы" (МТС) и ПАО "ВымпелКом" не ответили на запросы ComNews.