Корпоративный фишинг: теперь под видом аттестации

Мошенники предлагают сотрудникам пройти оценку эффективности, а на деле крадут пароль от рабочего аккаунта.

В погоне за рабочими аккаунтами злоумышленники придумывают все новые способы заманить сотрудников организаций на фишинговую страницу. Мы уже рассказывали о спам-кампаниях, где в качестве приманки использовались приглашения к совместной работе в SharePoint и голосовые сообщения.

Недавно наши эксперты обнаружили еще одну фишинговую схему, в которой злоумышленники пытаются имитировать процесс аттестации сотрудников разных компаний. Расчет тут двойной: c одной стороны, у получателей пытаются вызвать ощущение, что это обязательная процедура, санкционированная руководством. С другой, вызвать надежду, что положительная аттестация приведет к повышению заработной платы. Стоит отметить, что во многих крупных компаниях такие аттестации действительно в порядке вещей и являются частью процедуры пересмотра зарплаты, так что письма на эту тему не вызывают удивления у сотрудников.

Начинается атака, как водится, с электронного письма: от имени HR-службы сотруднику предлагают пройти оценку эффективности. В тексте послания содержится инструкция со ссылкой на сайт, где якобы нужно заполнить форму для аттестации.

Аттестация по кибербезопасности

Если верить инструкции, чтобы пройти аттестацию, пользователю нужно перейти по ссылке, авторизоваться, получить на почту письмо с дополнительными подробностями и выбрать «одну из трех опций» в некоем разделе «Благодарности сотрудникам». Для человека, плохо знакомого с процедурой аттестации и повышения зарплаты в своей компании, последовательность шагов может выглядеть убедительной. Насторожить может разве что адрес сайта, который не имеет никакого отношения к корпоративным ресурсам.

Если сотрудник откроет ссылку, он увидит страницу авторизации некоего «HR-портала». В отличие от многих фишинговых ресурсов, довольно достоверно копирующих страницы авторизации бизнес-сервисов Microsoft, сайт по ссылке выглядит достаточно примитивным: яркий однотонный или градиентный фон, поля ввода данных на всю страницу. Для убедительности мошенники предлагают пользователю согласиться с политикой конфиденциальности, однако ссылки на эту политику не дают.

Жертву просят ввести имя пользователя, пароль и адрес электронной почты. В некоторых случаях мошенники отдельно подчеркивают, что почта должна быть рабочей. После нажатия кнопки SignIn («Войти») или Appraisal («Аттестация») данные отправятся злоумышленникам.

На этом «оценка эффективности», скорее всего, закончится. Некоторое время сотрудник, вероятно, будет ждать обещанного письма с подробностями, которое так и не придет. Если повезет, он сам заподозрит неладное или попробует напомнить об аттестации реальному отделу кадров, который в свою очередь известит о проблеме специалистов по безопасности. В худшем же случае компания может долгое время даже не подозревать о краже учетных данных.

Чем опасен угон корпоративного аккаунта

Разумеется, тут все зависит от того, какие технологии используются в каждой конкретной компании. Потенциально, заполучив учетные данные сотрудника, преступник сможет действовать от его имени.

Также злоумышленник может получить доступ к переписке жертвы и некоторым внутренним документам, в том числе секретным, что повышает его шансы на успешную атаку: его послания, возможно, не только обойдут спам-фильтры, но и усыпят бдительность корреспондентов. Похищенная информация позже может быть использована для подготовки разного рода атак непосредственно на саму компанию, ее клиентов и партнеров (например для BEC-атак).

Кроме того, внутренние документы и переписку сотрудника киберпреступник сможет использовать и иначе, например продать их конкурентам или шантажировать ими вас.

Как защититься от фишинговых атак

В подобных атаках преступники эксплуатируют в первую очередь человеческий фактор. Поэтому важно поддерживать знания сотрудников о кибербезопасности и процессах внутри компании на актуальном уровне:

  • Регулярно напоминайте своим работникам о том, что к любым ссылкам в электронных письмах нужно относиться настороженно и переходить по ним, только если подлинность и надежность ресурса не вызывают сомнений.
  • Объясните сотрудникам, что не стоит вводить данные от рабочего аккаунта на каких бы то ни было сторонних сайтах.
  • В идеале фишинговые письма следует останавливать еще до того, как они окажутся в почтовых ящиках ваших сотрудников. Мы рекомендуем установить защитное решение на уровне почтового сервера. Для этих целей подойдет Kaspersky Security для почтовых серверов или Kaspersky Endpoint Security для бизнеса расширенный.
Советы