Обман под видом техподдержки — как избежать неприятностей для бизнеса
В России участились атаки на бизнес, когда хакеры действуют от лица технической поддержки. Рассказываем, как избежать взлома и неприятных последствий
Сергей Бочкарёв имеет более 10 лет управленческого опыта в области информационных технологий и информационной безопасности. Начинал карьеру с позиции менеджера по работе с предприятиями нефтегазовой отрасли, есть опыт работы в продажах, в подразделениях по развитию ИТ и ИБ-бизнеса. Руководит «АйТи Бастион» с осени 2021 года.
Российские эксперты кибербезопасности выявили новый вид обмана компаний и организаций. В цифровую инфраструктуру жертвы мошенники проникают, выдавая себя за специалистов техподдержки. Схема построена на обычном e-mail фишинге, но работает, к сожалению, эффективно.
Сценариев обмана два. В первом якобы техническая поддержка пишет о смене доменного адреса внутренних систем. В письме сотрудников просят перейти по ссылке, чтобы проверить доступ к рабочим задачам, используя корпоративные логины и пароли. Во втором письмо содержит информации о неком выборочном тестировании для внедрения нового алгоритма шифрования. Если получатель перешел по ссылке и ввел логин-пароль, то хакеры перехватывают учетные данные и используют их для дальнейшего развития атаки.
Почему хакеры действуют под прикрытием «саппорта»
Злоумышленники всегда следуют трендам, а техподдержка сегодня — очень востребованная услуга, популярность которой только растет. Чтобы снизить нагрузку на внутренних ИТ-специалистов или чтобы сэкономить на найме новых сотрудников, компании покупают расширенные пакеты техподдержки 24/7, включающие не только исправление проблем, но и рутинные задачи по обслуживанию. В результате к техподдержке привыкли и стали доверять. Именно сформировавшимся на рынке ИТ-услуг доверием сейчас пользуются злоумышленники, выдавая себя за «всезнающий саппорт».
Схемы с фейковой техподдержкой рассчитаны на всех, кому есть, что терять. Проникновение в цифровые инфраструктуры с правами администраторов под украденными учетками чревато блокировкой доступов, остановкой бизнес-процессов, кражей персональных данных, баз клиентов или интеллектуальной собственности. Причем жертва может даже не заметить факта проникновения, порой хакеры берут, что им нужно и испаряются. Однако сценарии с требованием выкупа за восстановление работоспособности информационных систем тоже нельзя исключать.
Как распознать фишинг и что делать, если все-таки куда-то нажали
Ошибки в письме (орфографические или в названиях и именах), нестандартное время отправки письма (под конец рабочего дня или ночью), непривычное оформление письма, а также побуждение к срочности неких действий — все это «звоночки», на которые стоит обратить внимание. Если сомневаетесь в легитимности отправителя, то свяжитесь с сервисом техподдержки по альтернативным каналам, уточните, работает ли такой-то сотрудник и действительно ли есть проблема или задача, о которой заявлено в письме.
Если попытка обмана вскрылась или есть веские подозрения, то необходимо поставить в известность коллег, отвечающих за информационные технологии и безопасность внутри организации. Нужно предупредить компанию, оказывающую техподдержку, что от их имени действуют злоумышленники. Также можно обратиться в полицию с заявлением о попытке совершения мошеннических действий.
Компаниям, которые столкнулись с целевым фишингом, будет полезно провести внеочередной аудит безопасности систем, приложений и сервисов, а еще организовать обучение сотрудников по повышению цифровой грамотности.