Новости / июль 2024
Информационная безопасность

Российские компании не смыло волнами почтовых рассылок

"Лаборатория Касперского" зафиксировала две волны целевых почтовых рассылок на российские компании с вредоносными архивами или ссылками внутри. Получателями были около тысячи сотрудников организаций из сфер производства, финансов и энергетики, а также государственных учреждений.
Алексей
Миколенко
© ComNews
22.07.2024

"В случае успешной атаки злоумышленники могли получить удаленный доступ к компьютерам организаций, загрузить с них файлы и конфиденциальные документы. В некоторых случаях злоумышленники писали от лица контрагентов атакуемых организаций в ответ на уже существующую цепочку писем. Возможно, они использовали взломанные почтовые ящики этих контрагентов либо ранее похищенные переписки. Письма, продолжающие старую переписку, вызывают больше доверия у потенциальных жертв", - сказано в сообщении АО "Лаборатории Касперского".

Директор по управлению сервисами ООО "АТ Груп" Павел Покровский считает, что для организации целевых рассылок не нужен высокий уровень компетенции злоумышленника: "Достаточно понимать общее устройство компании, штатную структуру и знать некоторых ключевых лиц, что достаточно легко находится через открытые источники".

Фишинговые рассылки не дремлют

Руководитель службы информационной безопасности АО "Инфовотч" Роман Алабин рассказал корреспонденту ComNews, что фишинговые рассылки – это постоянная фоновая угроза для российского бизнеса: "Один из типичных признаков фишингового письма – это попытки побудить пользователя срочно что-то сделать: передать документы, провести оплату, поменять реквизиты, предоставить данные, пройти по ссылке и авторизоваться с помощью корпоративной учетной записи на сторонних ресурсах и другие подобные просьбы. Адресант может представляться руководителем компании, сотрудником силовых ведомств, проверяющим от надзорных органов, прикладывать поддельные официальные письма. Акцент – на срочность просьбы и возможные проблемы, если ее не выполнить, чтобы не дать человеку времени проанализировать ситуацию".

Павел Покровский отметил, что почтовая рассылка - один из самых популярных способов взлома, так как позволяет организовать широкий охват получателей: "Так с большей вероятностью, кто-то из получателей среагирует на данную рассылку. В данном случае речь идет о том, что злоумышленники действовали от лица доверенных контрагентов и использовали для этого существующую переписку. В таком случае практически невозможно, не имея специализированных знаний и навыков, отличить злоумышленника от незлоумышленника. Здесь можно только обратить внимание на изменения стиля переписки, например, повышенное число орфографических ошибок, использование специфического написания, отсутствие заглавных букв в предложениях или отсутствие знаков препинания. Также, если в данной переписке до сих пор не предполагался какой-либо обмен файлами вложения, внезапно могут появиться вложения, что также может свидетельствовать о том, что в данном случае идет коммуникация от лица злоумышленника".

На старт, внимание, внимание на…

Роман Алабин порекомендовал обращать внимание на адрес отправителя – обычно фишинговые рассылки приходят с бесплатных почтовых сервисов: "В письме могут быть ошибки, опечатки, странные для официальные писем грамматические конструкции и так далее. Иногда фишинговое письмо может быть очень похоже на настоящее, поэтому важно не принимать поспешных решений и при малейшем подозрении обратиться в службу информационной безопасности (ИБ)".

Руководитель отдела ИТ ООО "Маквес Групп" Богдан Прусов отметил важность понимания со стороны сотрудников существующих угроз: "Внутри компании мы уделяем этому особое внимание и проводим регулярные рассылки с напоминанием о возможных фишинговых атаках и вредоносных программных обеспечений (ПО). В таких рассылках содержится подробное описание схемы действия злоумышленников и советы по обеспечению безопасности учетных записей и данных наших сотрудников. Образовательные мероприятия и повышение осведомленности сотрудников играют ключевую роль в обеспечении информационной безопасности нашей компании".

Заместитель гендиректора Staffcop ("Атом безопасность", входит в ГК СКБ Контур) Даниил Бориславский отметил, что нужно следовать простым правилам кибергигиены: "Соблюдать осторожность при получении писем от незнакомых отправителей, не открывать вложения с неизвестных адресов, особенно исполняемые файлы – это с расширением "*.bat", "*.exe", "*.com". Если письмо кажется слишком подозрительным, переслать его в ИТ или ИБ-отдел для проверки. Современные системы мониторинга помогают потом находить тех, кто нарушил правила инфобезопасности и случайно привел к инциденту".

Руководитель ИБ-направления АО "Инфозащита" Кай Михайлов считает, что в случае ведения переписки от лица контрагентов системы распознавания спама бессильны, так как формально переписка не нарушает каких-то технических правил и направляется с легитимного ящика, но зашифрованное вложение в любом случае должно вызвать подозрение. "Рекомендуем настроить блокировку зашифрованных почтовых вложений на корпоративных почтовых системах. Если есть необходимость высылать чувствительный контент, лучше использовать специальные системы обмена информацией, не нужно использовать для этого почту", - отметил Кай Михайлов.

https://www.comnews.ru/content/228642/2023-09-06/2023-w36/1008/moshenni…

Новости из связанных рубрик