Целевой фишинг на производственные компании

Прежде чем приступить к фишингу, злоумышленники заводят переписку с жертвой.

Целевой фишинг на производственные компании

Мы выявили новую кампанию целевого фишинга, в рамках которой злоумышленники пытались атаковать производственные предприятия. В атаке применялся многоступенчатый подход — прежде чем присылать непосредственно фишинговую ссылку, злоумышленники вступали в переписку с жертвой, чтобы усыпить бдительность. Тексты писем, по всей видимости, были написаны с применением больших языковых моделей. На момент публикации этого поста атака все еще продолжается, так что рекомендуем не терять бдительность!

Фишинговая схема

Злоумышленники пытаются выдать себя за потенциальных клиентов. Письма присылают с адресов, заведенных на бесплатных сервисах — они не имеют заведомо плохой репутации, и зачастую их действительно используют в деловой переписке, особенно небольшие компании. Независимо от родного языка жертвы (а мы видели атаки на предприятия в России, Чехии, Малайзии и Египте), письма злоумышленников всегда написаны на английском.

В первом письме атакующие задают вопросы о предлагаемой продукции, указывая реальные названия товаров. Это свидетельствует о тщательной подготовке к атакам — злоумышленники не рассылают одинаковые письма производственным компаниям со схожим профилем, а тщательно изучают доступную в Интернете информацию о каждой жертве. Если на первое письмо кто-то отвечает, то атакующие продолжают переписку. Иногда, прежде чем перейти непосредственно к выполнению своей цели — выманиванию учетных данных от корпоративной почты, они обмениваются несколькими посланиями, в которых для отвлечения внимания уточняют какие-нибудь детали или задают дополнительные вопросы. Но чаще всего фишинговую ссылку присылают уже во втором письме.

Атакующие высылают точные спецификации якобы интересующей их продукции, спрашивают возможно ли сделать на продукте гравировку по эскизу или под любым другим предлогом пытаются заставить жертву открыть присланный ими файл.

Цепочка писем, заканчивающаяся фишинговой ссылкой

Цепочка писем, заканчивающаяся фишинговой ссылкой

Фишинговый сайт

На самом деле никакого файла нет. Фишинговый сайт, открывающийся по ссылке, имитирует популярный облачный сервис для работы с документами в формате PDF. Кнопка «Скачать» ведет на форму авторизации, где для доступа к конфиденциальному файлу жертву просят ввести рабочую электронную почту и пароль. Разумеется, в целях безопасности. Если сотрудник атакуемой компании не задумается, зачем бы ему вводить корпоративные учетные данные на сайте совершенно постороннего сервиса, который заведомо никак не может проверить их подлинность, то почтовый адрес и связанный с ними пароль будут переданы на сервер злоумышленников.

Как оставаться в безопасности

Современные фишинговые атаки становятся все сложнее, а с учетом применения злоумышленниками ИИ-инструментов, еще и правдоподобнее. Поэтому первым делом мы всегда рекомендуем периодически повышать осведомленность сотрудников о современных киберугрозах. Ну а чтобы полученные таким образом знания им приходилось применять на практике как можно реже — следует устанавливать защитное решение на уровне почтового шлюза. В частности наше решение Kaspersky Secure Mail Gateway выявляет данную фишинговую атаку еще до того, как злоумышленники переходят непосредственно к фишингу.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.