Кибермошенники стали чаще маскировать фишинговые ссылки под проверку сервисов работодателя — для доступа к инфраструктуре различных организаций. Об этом сообщили «Известиям» в компаниях по информационной безопасности.

Для получения доступа к инфраструктуре той или иной фирмы злоумышленники оформляют письмо как просьбу к сотрудникам о проверке того или иного сервиса либо же как требование подтвердить или сменить пароль.

Таким атакам за последние два месяца подверглись компании из финансового сектора, ритейла, логистики, производства и телекома, сообщил «Известиям» генеральный директор компании по информационной безопасности «Нейроинформ» Александр Дмитриев.

Сначала злоумышленники выявили возможность подобрать электронные адреса сотрудников компании. Для этого они подбирали имена пользователей, зарегистрированных в системе организации. Если пользователь существовал, то после введения неправильного пароля появлялась капча. А если предполагаемого имени пользователя не было, то капча не возникала. На основании этой ошибки системы мошенники подобрали 50 учетных записей, вычислили их электронные адреса и отправили сотрудникам фишинговые письма.

«У одного из сотрудников, который ввел свои логин и пароль, оказалось разрешение на подключение к удаленному рабочему столу. Злоумышленники зашли на почту, нашли письмо от техподдержки с описанием того, как можно подключиться к VPN, и таким образом попали во внутреннюю сеть компании», — рассказал Дмитриев.

Далее, воспользовавшись недостатками в настройках контроллера-домена, киберпреступники получили права администратора домена. Спустя примерно две недели после фишинговой рассылки все данные были зашифрованы.

«Известия»: