Креативный фишинг: полный список типов мошеннических писем
В большинстве случаев сотрудники допускают ошибки, потому что боятся подвести компанию или выглядеть некомпетентными, игнорируя «срочный запрос» руководства или госструктур.
Многие получали письма о «просроченном SSL», «срочном запросе от СБУ», «немедленном возобновлении договора» или даже о том, что «все будет подорвано». Часть из них настолько бестолкова, что невольно улыбаешься. Часть сделана гораздо хитрее и уже заставляет присмотреться внимательнее. Служба кибербезопасности De Novo разбирает самые распространенные случаи фишинга и письма счастья от креативных мошенников.
У вас мало времени! Спасайтесь!
Один из самых агрессивных сценариев фишинга — попытка остановить работу офиса из-за прямых угроз терактами. Злоумышленники играют на самых болезненных темах войны и личного отчаяния. Такой тип фишинга мы определили для себя как «психологический террор под маской личной трагедии». Письма от отправителей с выдуманными именами, представляемыми ветеранами, якобы потерявшими все. Они используют ужасающе подробные формулировки: «мы в течение двух недель заминировали более 1000 объектов гражданской инфраструктуры, и сегодня мы начнем взрывать административные здания». В теле листа есть даже фото самодельных взрывных устройств, что должно прибавить весу сообщению.
Среди авторов таких фишинговых писем – персонажи со странными именами. Да, пишут «украинские» военные: Гремислав, Звенимир, Людислав, Звенигор, Немир, Евстафий, Доброслав и Богуслав. Создается впечатление, что спамеры решили добавить креатива.
В текстах упоминаются и конкретные адреса – от посольств иностранных государств до школ и телеканалов (правда, часто эти адреса далеко не всегда совпадают с реальным размещением объектов). Особое внимание уделяется описанию опасности, чтобы запугать сотрудников. К примеру, в одном из писем автор подробно описывал угрозу и конструкцию самодельного взрывного устройства (СВП). Цель таких атак – в создании психологического давления и атмосферы паники.
Интересно, что, несмотря на «патриотическую» или «протестную» риторику, эти письма часто поступают из «экзотических» (вероятно, сломанных) заграничных доменов, что сразу выдает их подлинную сущность. Также признаком фишинга является то, что письма с угрозами, которые приходят на разные почтовые ящики, не слишком отличаются по содержанию. Формулировки изменены минимально. Но это видно только если сравнить сразу несколько писем, поступающих на разные почтовые ящики сотрудников.
Обращение государственных органов или запросы от СБУ
Когда «террор» не дает результата, фишеры изменяют вектор, имитируя запросы от госструктур. Зафиксированы письма, отправленные якобы от «Центрального управления СБУ». Злоумышленники используют строгий канцелярский стиль и прямые требования.
Самая большая опасность здесь скрыта в прикрепленных файлах. Письмо сопровождается архивом под названием «Запрос СБУ.rar». Расчет здесь на то, что сотрудник поспешит открыть вложения, чтобы ознакомиться с документами. На самом деле внутри архива, как правило, находится вредоносный код, дающий хакерам доступ к рабочей станции. Это классический пример целевого фишинга (spear phishing), нацеленного на юристов, бухгалтеров или топменеджмент, то есть людей, привыкших работать с официальной корреспонденцией.
Имитация сервисных уведомлений
Параллельно с «громкими» угрозами идет тихая осада технического персонала из-за имитации сервисных уведомлений. В облачном бизнесе работа с доменами и SSL-сертификатами – это ежедневная рутина, и именно здесь злоумышленники расставляют свои ловушки. Мы получили серию фишинговых писем, мимикрирующих под уведомление от провайдеров: «Ваш сертификат для denovo.com.ua.globalssl.org закончился» или «Хостинговые услуги для denovo.com.ua закончатся 22.10.2024». Письма выглядят профессионально. Они содержат таблицы с ценами, логотипы и предупреждения.
Кнопки «Обновить сейчас» могут вести на фальшивые платежные страницы, где целью является кража, например корпоративных аккаунтов. Коварство этих атак в том, что они приходят в моменты высокой нагрузки админов, когда проверка адреса отправителя (например, noreply@hosting-seo.org) кажется тратой времени.
Внутренняя мимикрия и захват аккаунтов
Есть письма, которые маскируются под внутренние системные оповещения нашей собственной компании. Злоумышленники создают рассылки, которые, на первый взгляд, выглядят как стандартные сообщения от ИТ-департамента или почтового сервера: Your password expires on 27.11.2025 или You have 6 messages pending to your mailbox.
Использование английского языка в таких уведомлениях – распространенная практика в ИТ-среде, помогающая письмам «раствориться» среди сотен других сообщений. В этих фишинговых листах используют тактику создания искусственного дефицита времени, например, пишут о срочности действий.
Расчет на то, что испуганный потерей важных писем сотрудник нажмет на Release Pending Mail, попадет на фальшивую форму входа в почту и добровольно передаст свой логин и пароль хакерам. Злоумышленники ищут не столько брешь в системе кибербезопасности, сколько рассчитывают на ослабленное внимание сотрудников. Лучшей защитой в этом случае остается культура здорового скептицизма. Если «подразделение безопасности» пишет вам с сайта японского магазина запчастей, а «СБУ» посылает документы в формате .rar или .zip — верить этому не нужно.
Как от этого защититься?
Рекомендации, предоставляемые отделом информационной безопасности:
- Не перейдите по сомнительным ссылкам из сообщений, мессенджеров или электронной почты
- Не вводите личные или банковские данные на сторонних сайтах;
- Удаляйте подозрительные сообщения
- Всегда проверяйте информацию только на официальных ресурсах: сайте, приложении или позвони по телефону, указанному на официальном сайте
- Также не открывайте вложения содержащиеся в письмах от неизвестных подозрительных адресантов.
Читайте нас в Facebook
