«Лаборатория Касперского» обнаружила новую схему атак на крупные российские организации. Злоумышленники рассылают сотрудникам письма, которые выглядят как официальные обращения от правоохранительных органов. В них говорится о необходимости провести техническое исследование рабочего компьютера из-за якобы киберинцидента.
На деле никакой проверки нет. Цель атаки — заставить сотрудника запустить вредоносную программу.
Сценарий построен так, чтобы выглядеть максимально убедительно. В письме могут быть PDF-документы с названиями вроде «уведомление об инциденте информационной безопасности» или «постановление о проведении доследственной проверки по факту незаконной передачи данных». Получателя отдельно просят не рассказывать о проверке другим людям, это важная часть манипуляции.
В одном из вариантов жертве предлагают заполнить анкету с вопросами о рабочем компьютере, действиях сотрудника в определённые даты, сбоях в работе устройства, личных данных, программах удалённого управления и средствах обхода блокировок. Затем человеку могут прислать ещё один документ — якобы согласие на техническое исследование АРМ.
После этого приходит следующее письмо уже с программой, которую нужно запустить для проверки. На самом деле это троян. Попав в корпоративную сеть, он помогает злоумышленникам проводить разведку инфраструктуры. Конечная цель атаки — подготовить шифрование систем компании и потребовать выкуп.
Документы оформлены так, чтобы не выглядеть кустарно: в них есть юридические формулировки, ссылки на законы, регистрационные номера, даты, подписи и визуальные элементы вроде герба. Для сотрудника, который не сталкивался с настоящими процедурами проверок, всё это может выглядеть вполне официально.
В «Лаборатории Касперского» отмечают, что раньше подобные сценарии чаще встречались в телефонном мошенничестве против частных лиц. Теперь же злоумышленники переносят те же приёмы в атаки на бизнес: давят авторитетом правоохранителей, создают ощущение срочности и заставляют человека нарушить внутренние правила безопасности.
Главная опасность в том, что сотрудник может не обратиться в ИБ-службу, потому что считает происходящее официальной процедурой. А именно на это атакующие и рассчитывают.
Эксперты советуют не открывать вложения и не запускать программы из писем о проверках, расследованиях и других срочных действиях от неизвестных отправителей. Любые такие обращения нужно перепроверять через внутреннюю службу безопасности или ИБ-отдел компании.
