BEC-мошенники начали посещать виртуальные конференц-залы

Татьяна Никитина 21 Февраля 2022 - 18:12

...

BEC-мошенники начали посещать виртуальные конференц-залы

Последние три года ФБР фиксирует увеличение количества жалоб на BEC-атаки в ходе совещаний и рабочих встреч с использованием конференц-связи. Тренд, по всей видимости, вызван ростом популярности таких виртуальных платформ в условиях пандемии COVID-19.

При работе по BEC-схеме мошенники обычно прибегают к взлому корпоративной почты и используют элементы социальной инженерии, чтобы убедить сотрудника компании в необходимости перевести большую сумму на указанный счет. В данном случае, выдавая себя за начальника или бизнес-партнера, аферисты озвучивают эту настоятельную просьбу в ходе заочной встречи своего персонажа с намеченной жертвой.

Сценарии атаки при этом, по данным Центра приема жалоб в отношении киберпреступлений (IC3), могут быть различными, например:

Взлом почтового ящика исполнительного или финансового директора, отправка приглашения на видеовстречу, подмена изображения вызывающей стороны беззвучным дипфейком, отправка сообщения в чате или по email с жалобой на плохую связь и инструкциями по переводу денег.
Взлом почты высокопоставленного сотрудника и отправка подчиненным поддельных писем с просьбой срочно произвести платеж, который он сам якобы не может совершить из-за участия в видеоконференции.
Взлом почты сотрудников с целью получения доступа к виртуальному рабочему пространству для сбора информации о бизнес-процессах.

В алерте ФБР также приведены рекомендации по профилактике BEC-атак, использующих возможности виртуального взаимодействия:

Проверьте настройки офиса — доступ ко всем неиспользуемым внешним платформам конференц-связи должен быть заблокирован.
Используйте дополнительные каналы либо 2FA для подтверждения изменений в аккаунтах.
Всегда проверяйте URL в письмах — они должны ассоциироваться с заявленным отправителем.
Обращайте внимание на гиперссылки, ошибки в имени домена могут свидетельствовать о подлоге.
Никогда не сообщайте ПДн или учетные данные в ответ на email-запрос, как бы легитимно он ни выглядел.
Всегда проверяйте, откуда на самом деле отправлено письмо, особенно при использовании мобильного телефона или носимого устройства.
Удостоверьтесь, что расширения файлов электронной почты полностью отображаются на компьютерах сотрудников.
Регулярно проверяйте персональные финансовые аккаунты на наличие аномалий — таких как отсутствие ожидаемых зачислений.

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Мая 2026 - 14:31

Трояны Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Leek Likho подключила ИИ к атакам на российские организации

Киберпреступная группировка Leek Likho решила, что обычных вредоносных скриптов уже мало, и начала активно подключать ИИ к своим атакам. По данным «Лаборатории Касперского», в 2026 году злоумышленники использовали большие языковые модели для тонкой настройки вредоносных инструментов под конкретные цели — в основном организации из российского госсектора.

Теперь зловреды тоже проходят персонализацию. Исследователи отмечают, что Leek Likho остаётся активной как минимум с 2025 года и постоянно меняет инфраструктуру, методы маскировки и инструменты.

Но сама схема атак остаётся классической: социальная инженерия, многоступенчатая загрузка и использование легитимных сервисов, чтобы не вызывать лишних подозрений.

Главный входной билет — Telegram. Именно через него злоумышленники обычно выходят на жертв. Они рассылают ссылки, которые маскируются под файлообменники или страницы загрузки файлов Telegram. Иногда используют и Dropbox. После перехода жертва скачивает архив с сюрпризом внутри.

В архиве находится LNK-файл с двойным расширением вроде Proekt_prikaza_681_o_pooshchrenii.pdf.lnk. В стандартном интерфейсе Windows он выглядит как обычный PDF-документ — например, приказ о назначении или поощрении. Классика корпоративного жанра: срочно ознакомьтесь.

Но после открытия запускается цепочка заражения. Дополнительные вредоносные инструменты маскируются под популярные приложения, например софт для работы с базами данных. Затем данные с устройства собираются и отправляются атакующим через rclone — вполне легитимный инструмент для работы с облачными хранилищами, который хакеры давно полюбили за удобство и низкий уровень подозрений со стороны защиты.

Самое интересное — поведение самих вредоносных скриптов. По данным «Лаборатории Касперского», для каждой цели Leek Likho слегка меняет код, названия файлов и структуру инструментов. Иногда отличаются только номера приказов в названиях документов, иногда — сами сценарии выполнения вредоносных действий. В код могут добавляться бессмысленные операции, которые ничего не делают, кроме одной вещи: мешают детектированию.

Исследователи считают, что именно здесь группировка активно использует ИИ. Большие языковые модели помогают быстро генерировать новые варианты скриптов, менять названия файлов и слегка перестраивать код, чтобы сигнатурная защита и аналитики каждый раз видели чуть-чуть другую атаку.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!