5 попыток открыть вредоносный файл: как фишинг бьёт по госсектору

5 попыток открыть вредоносный файл: как фишинг бьёт по госсектору

5 попыток открыть вредоносный файл: как фишинг бьёт по госсектору

Многие кибератаки оказываются успешными по простой причине: сотрудники организаций, на которые они направлены, не раздумывая открывают заражённые письма или переходят по злонамеренным ссылкам. Особенно остро эта проблема стоит в госсекторе и малом бизнесе.

Как сообщили «Известиям» в центре исследований киберугроз Solar 4RAYS ГК «Солар», при расследовании атаки группировки Cloud Atlas на одно из государственных учреждений выяснилось, что сотрудник пять раз пытался открыть заражённый файл.

Cloud Atlas известна с 2014 года и атакует госучреждения и промышленные компании в разных странах, включая Россию.

Для первичного проникновения злоумышленники используют заражённые документы в офисных форматах. Они имитируют деловую переписку и маскируются под коммерческие предложения, рекламу, справки или акты. Сам файл выступает лишь приманкой — при его открытии происходит загрузка вредоносного кода.

В случае, который расследовал Solar 4RAYS, сотрудник пытался открыть документ с якобы рекламой новосибирского предприятия. Однако установленная в учреждении система мониторинга не позволила загрузить вредоносный код с удалённого сервера в полном объёме.

«Этот пример показывает, насколько важно постоянно обучать сотрудников правилам кибергигиены», — отметил эксперт центра исследований киберугроз Solar 4RAYS ГК «Солар» Владимир Духанин.

Подобные случаи не единичны. Как подчеркнул старший аналитик Cyber Threat Intelligence «Лаборатории Касперского» Сергей Киреев, иногда негативный пример подают сами руководители. Он привёл случай директора небольшой компании, который игнорировал предупреждения ИТ-специалистов об опасности перехода по подозрительным ссылкам, считая, что за ними могут скрываться выгодные предложения. В итоге компания столкнулась с заражением.

В другом инциденте сотрудник, не сумев открыть документ, переслал его коллегам. В файле оказался троян, который привёл к заражению всей компании.

Был и случай, когда сотрудник попросил отправителей прислать «корректную» версию не открывающегося документа. Оказалось, что это были злоумышленники, допустившие ошибку при подготовке файла. Они исправили её и повторно отправили документ со зловредом, после чего организация была заражена.

Руководитель департамента Threat Intelligence экспертного центра безопасности Positive Technologies Денис Кувшинов также отметил, что злоумышленники активно пользуются неподготовленностью сотрудников, в том числе в государственных структурах. Он напомнил о кампании группировки Goffee, в ходе которой сотрудник несколько раз открывал вложение из фишингового письма, так как оно не запускалось. В других случаях пользователи не только сами открывали вложения, но и пересылали их коллегам, расширяя масштаб инцидента.

Госсектор остаётся одной из наиболее атакуемых отраслей в России. Основной способ первичного проникновения — фишинг, в том числе целевой.

По мнению Дениса Кувшинова, у сотрудников часто отсутствует достаточная настороженность, поскольку они не несут личной ответственности за последствия своих действий. Кроме того, сказывается недостаточный уровень защищённости самих организаций — при этом для отражения многих атак достаточно базовых мер защиты.

Руководитель направления отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline) Кристина Буренкова обратила внимание, что злоумышленники часто выбирают моменты максимальной загрузки сотрудников: «В отчётный период у бухгалтеров или при большом потоке документов у госслужащих сотрудники действуют автоматически, не вникая в детали. Любое “срочно” в таких условиях получает приоритет. Особая категория — ИТ-специалисты и технический персонал. Им отправляют письма про “обновление системы” или “сбой безопасности”, и профессиональный автоматизм срабатывает против них».

«Внимательность напрямую зависит от эмоционального состояния и уровня внутренней устойчивости. При стрессе, тревожном информационном фоне и высокой нагрузке когнитивные фильтры работают хуже. В таком состоянии человек чаще действует автоматически и может пропустить угрозу. Фишинговые письма, замаскированные под деловые, бьют именно по стремлению быстро ответить и выполнить задачу», — подчеркнула психолог Мария Тодорова.

Windows следит через GDID: как уменьшить цифровой хвост в системе

История с Windows-идентификатором GDID показала одну важную вещь: VPN может меняться, IP-адреса могут прыгать по странам, а сама установка Windows всё равно остаётся узнаваемой для Microsoft. GDID — это постоянный идентификатор устройства, который используется в сервисах компании, лицензировании, Microsoft Store и телеметрии.

Напомним, на днях стало известно, что 19-летнего хакера вычислили по идентификатору Windows. Что нужно сделать, чтоб минимизировать эти риски?

Полностью выключить эту функциональность красивой кнопкой нельзя. Но это не значит, что пользователь совсем беспомощен. Есть несколько способов хотя бы урезать объём данных, которые Windows отправляет наружу.

Первое — использовать локальную учётную запись вместо Microsoft Account. Именно вход через аккаунт Microsoft усиливает связку устройства, сервисов, OneDrive, Store и истории активности. Microsoft всё активнее подталкивает пользователей к онлайн-аккаунтам, но локальный профиль всё ещё остаётся более приватным вариантом.

Второе — отключить историю активности. Для этого нужно открыть Настройки → Конфиденциальность и безопасность → История активности и выключить сохранение истории активности. Да, вместе с этим могут пострадать удобные функции вроде синхронизации между устройствами, Phone Link и облачного буфера обмена. Но приватность почти всегда торгуется за удобство.

Третье — убрать лишнюю диагностику. В Windows 11 это находится в Настройки → Конфиденциальность и безопасность → Диагностика и отзывы. Там стоит отключить отправку опциональных данных отзывов. Базовую телеметрию система всё равно оставит, но хотя бы не будет тащить в Microsoft всё, что ей не обязательно знать.

Четвёртое — почистить фоновые сервисы и функции, которыми вы не пользуетесь: Phone Link, Nearby Share, облачную синхронизацию, лишние ИИ-фишки и автозагрузку. Чем меньше связей с экосистемой Microsoft, тем меньше поводов у системы стучаться наружу.

Важный момент: простая переустановка Windows не решает проблему магически. GDID обновится, но если снова войти в тот же Microsoft Account, новую установку можно связать со старой через аккаунт, активацию и историю сервисов.

RSS: Новости на портале Anti-Malware.ru