Мы уже рассказывали про кражу почтовых аккаунтов компании, с целью массовых рассылок спам-писем от проверенного лица. Злоумышленники изощряют свои методы заманивания пользователей на фишинговые страницы.
Новая фишинговая схема предназначена для крупных компаний, в которой сотрудникам предлагается пройти профессиональную-аттестацию. Данный вид мошенничества распространен в двух видах: приказном и добровольном. В первом случае на почту потенциальных жертв приходит приказ о необходимой аттестации от лица руководства. Во втором случае положительно пройденная аттестация повысит заработную плату. Многие крупные компании предусматривают развитие профессиональных навыков сотрудников и готовы поощрять это премиями или постоянным увеличением заработной платы.
Начинается атака с электронного письма: от имени HR-службы сотруднику предлагают пройти оценку эффективности. В тексте содержится инструкция со ссылкой на страницу, где надо заполнить форму для регистрации.
Согласно инструкции, для прохождения аттестации, пользователь должен перейти по ссылке, авторизоваться, получить подтверждающее письмо и пройти по дальнейшей ссылке для завершения регистрации. Процедура стандартна для многих сайтов и выглядит убедительно. Насторожить пользователя может лишь адрес страницы или сайта, которые не имеют никакого отношения к корпоративным ресурсам.
Сами сайты имеют неприметный вид, яркий однотонный или градиентный фон, поля ввода данных на весь экран.
После регистрации, «повышение эффективности», скорее всего, прекратится, а жертва будет ждать ответного письма с подробностями, которое так и не придет. Если повезет, сотрудник заподозрит обман и сообщит в HR-отдел, а те в службу безопасности. В худшем случае организация может долгое время не догадываться о краже учетных данных.
Доступ к корпоративной почте опасен в умелых руках. Злоумышленник может предлагать свои услуги от лица крупной компании, рассылать письма с просьбами внутри самого офиса, то есть вредить имиджу не только сотрудника, но и целой компании.
Также киберпреступник может получить доступ к переписке жертвы и внутренним документам, в том числе секретным. Похищенная информация может быть использована для подготовки разного рода атак на саму компанию, ее клиентов и партнеров.
Как обезопаситься от фишинговых атак
Необходимо поддерживать и увеличивать знания сотрудников в сфере кибербезопасности: