- infoCOM.UZ - http://infocom.uz -

Финансовое мошенничество в промышленных масштабах

Старый добрый фишинг

В атаках не используются сложные инструменты. В основе кампании лежат стандартные фишинговые схемы: электронные письма, содержащие якобы коммерческие предложения и другие финансовые документы или ссылки на них.

Отличительной особенностью атак является высокий уровень подготовки: мошенники обращаются к сотруднику по фамилии, имени и отчеству, знают его должность и сферу деятельности организации, а вся информация об источнике предложения выглядит очень правдоподобно.

В одних случаях преступники рассылают вредоносные вложения, в других — ссылку на сайт, но все письма составлены так, чтобы вынудить жертву загрузить или запустить необходимые мошенникам инструменты. Так, как минимум одному адресату сообщили, что его компания выбрана для участия в тендере на поставку оборудования. Чтобы подать документы на аукцион, ему необходимо было установить реально существующее ПО Seldon 1.7. В приложенном к письму архиве действительно содержалась эта программа (испорченная), однако помимо нее на устройство устанавливались зловреды.

В другом письме содержалось платежное поручение по продаже автомобиля в формате PDF. Оно было составлено крайне дотошно: в нем упоминались реальные компании с их реальными налоговыми реквизитами, и даже VIN-номер автомобиля соответствовал заявленной модели.

Легитимное ПО

Для атаки злоумышленники используют одну из легитимных программ для удаленного администрирования — TeamViewer или Remote Manipulator System (RMS). С их помощью они получают доступ к устройству, где затем ищут информацию о проводимых закупках, а также финансовое или бухгалтерское ПО. После этого они прибегают к разным уловкам, чтобы похитить деньги компании — например, подменяют реквизиты.

Чтобы сохранять доступ к системе как можно дольше, злоумышленники используют несколько способов маскировки подозрительной активности — как от владельца устройства, так и от защитных решений.

Дополнительный арсенал

При необходимости злоумышленники загружают на скомпрометированный компьютер дополнительные инструменты. Эти программы могут красть данные (начиная от логинов и паролей и заканчивая любыми файлами на устройстве), делать скриншоты и записывать видео с экрана, «прослушивать» офис через микрофон компьютера, собирать учетные данные устройств в локальной сети и многое другое.

Таким образом, помимо собственно денег злоумышленники в теории способны похитить конфиденциальную информацию о компании, ее клиентах и партнерах, шпионить за сотрудниками, записывать аудио и видео того, что происходит вблизи зараженного компьютера, или использовать его для разного рода атак, включая DDoS.

Кто в группе риска?

До сих пор большинство атак мы зафиксировали на территории России. На момент публикации нашего исследования [1] злоумышленники попытались заразить примерно 800 компьютеров, принадлежащих как минимум 400 отечественным организациям самых разных отраслей:

— производство;

— нефть и газ;

— металлургия;

— инжиниринг;

— энергетика;

— строительство;

— добыча полезных ископаемых;

— логистика.

Кампания действует с октября 2017 года по настоящее время.

Как не стать жертвой?

Эта кампания в очередной раз демонстрирует, что легитимные инструменты могут быть опасны. Особенно в сочетании с тщательно продуманным фишингом. При этом далеко не все защитные решения учитывают этот факт и контролируют потенциально опасные программы. Поэтому, чтобы защитить предприятие:

— Поддерживайте на высоком уровне знания персонала в сфере информационной безопасности.

— Используйте современные защитные технологии, оценивающие поведение не только подозрительных, но и легитимных программ.

Источник [2]