5 попыток открыть вредоносный файл: как фишинг бьёт по госсектору

5 попыток открыть вредоносный файл: как фишинг бьёт по госсектору

5 попыток открыть вредоносный файл: как фишинг бьёт по госсектору

Многие кибератаки оказываются успешными по простой причине: сотрудники организаций, на которые они направлены, не раздумывая открывают заражённые письма или переходят по злонамеренным ссылкам. Особенно остро эта проблема стоит в госсекторе и малом бизнесе.

Как сообщили «Известиям» в центре исследований киберугроз Solar 4RAYS ГК «Солар», при расследовании атаки группировки Cloud Atlas на одно из государственных учреждений выяснилось, что сотрудник пять раз пытался открыть заражённый файл.

Cloud Atlas известна с 2014 года и атакует госучреждения и промышленные компании в разных странах, включая Россию.

Для первичного проникновения злоумышленники используют заражённые документы в офисных форматах. Они имитируют деловую переписку и маскируются под коммерческие предложения, рекламу, справки или акты. Сам файл выступает лишь приманкой — при его открытии происходит загрузка вредоносного кода.

В случае, который расследовал Solar 4RAYS, сотрудник пытался открыть документ с якобы рекламой новосибирского предприятия. Однако установленная в учреждении система мониторинга не позволила загрузить вредоносный код с удалённого сервера в полном объёме.

«Этот пример показывает, насколько важно постоянно обучать сотрудников правилам кибергигиены», — отметил эксперт центра исследований киберугроз Solar 4RAYS ГК «Солар» Владимир Духанин.

Подобные случаи не единичны. Как подчеркнул старший аналитик Cyber Threat Intelligence «Лаборатории Касперского» Сергей Киреев, иногда негативный пример подают сами руководители. Он привёл случай директора небольшой компании, который игнорировал предупреждения ИТ-специалистов об опасности перехода по подозрительным ссылкам, считая, что за ними могут скрываться выгодные предложения. В итоге компания столкнулась с заражением.

В другом инциденте сотрудник, не сумев открыть документ, переслал его коллегам. В файле оказался троян, который привёл к заражению всей компании.

Был и случай, когда сотрудник попросил отправителей прислать «корректную» версию не открывающегося документа. Оказалось, что это были злоумышленники, допустившие ошибку при подготовке файла. Они исправили её и повторно отправили документ со зловредом, после чего организация была заражена.

Руководитель департамента Threat Intelligence экспертного центра безопасности Positive Technologies Денис Кувшинов также отметил, что злоумышленники активно пользуются неподготовленностью сотрудников, в том числе в государственных структурах. Он напомнил о кампании группировки Goffee, в ходе которой сотрудник несколько раз открывал вложение из фишингового письма, так как оно не запускалось. В других случаях пользователи не только сами открывали вложения, но и пересылали их коллегам, расширяя масштаб инцидента.

Госсектор остаётся одной из наиболее атакуемых отраслей в России. Основной способ первичного проникновения — фишинг, в том числе целевой.

По мнению Дениса Кувшинова, у сотрудников часто отсутствует достаточная настороженность, поскольку они не несут личной ответственности за последствия своих действий. Кроме того, сказывается недостаточный уровень защищённости самих организаций — при этом для отражения многих атак достаточно базовых мер защиты.

Руководитель направления отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline) Кристина Буренкова обратила внимание, что злоумышленники часто выбирают моменты максимальной загрузки сотрудников: «В отчётный период у бухгалтеров или при большом потоке документов у госслужащих сотрудники действуют автоматически, не вникая в детали. Любое “срочно” в таких условиях получает приоритет. Особая категория — ИТ-специалисты и технический персонал. Им отправляют письма про “обновление системы” или “сбой безопасности”, и профессиональный автоматизм срабатывает против них».

«Внимательность напрямую зависит от эмоционального состояния и уровня внутренней устойчивости. При стрессе, тревожном информационном фоне и высокой нагрузке когнитивные фильтры работают хуже. В таком состоянии человек чаще действует автоматически и может пропустить угрозу. Фишинговые письма, замаскированные под деловые, бьют именно по стремлению быстро ответить и выполнить задачу», — подчеркнула психолог Мария Тодорова.

Геолокацию россиян предложили передавать полиции в случае опасности

Депутаты фракции «Новые люди» предложили МВД запустить сервис «Безопасный маршрут» — функцию для передачи геопозиции человека в полицию и экстренные службы, если ему угрожает опасность. Идея такая: человек сам включает временную передачу маршрута и геолокации, когда чувствует риск для жизни, здоровья или личной безопасности.

Об инициативе сообщает ТАСС. Функцию предлагают встроить в приложения «Госуслуги» и «МВД России», а также связать с цифровым контуром «Системы-112».

Письмо с предложением направили главе МВД Владимиру Колокольцеву. Работать это может как тревожный режим в смартфоне.

Пользователь заранее или прямо в опасной ситуации включает сервис, указывает конечную точку и примерное время прибытия. Либо выбирает готовый сценарий: «иду домой», «еду в такси», «нахожусь в опасной ситуации», «нужна помощь».

После активации система временно фиксирует маршрут и геолокацию. Если человек нажмёт тревожную кнопку, не подтвердит завершение маршрута или сработает другой заданный сценарий, данные передадут оператору «Системы-112» или в дежурную часть полиции.

Авторы инициативы считают, что сервис поможет быстрее определить местонахождение человека в экстренной ситуации и сократить время реакции полиции. А заодно использовать уже существующую цифровую инфраструктуру госприложений не только для справок и заявлений, но и для реальной помощи в момент, когда пользователю уже не до бюрократии.

По сути, депутаты предлагают превратить смартфон в тревожный маячок: включил маршрут, и в случае ЧП экстренные службы не начинают гадать, где тебя искать, а получают координаты.

RSS: Новости на портале Anti-Malware.ru