Кибермошенники стали рассылать фишинговые письма под прикрытием проверки сервисов
Злоумышленники оформляют письма в виде просьб к сотрудникам о проверке того или иного сервиса или требований подтвердить или сменить пароль. Таким образом они пытаются получить доступ к инфраструктуре компаний из финансового сектора, ритейла, логистики, производства и телекоммуникаций.
Как сообщил генеральный директор компании по информационной безопасности «Нейроинформ» Александр Дмитриев, за последние два месяца подобные атаки были зафиксированы в компаниях из различных отраслей.
Сначала злоумышленники выявляют возможность подобрать электронные адреса сотрудников компании. Для этого они подбирают имена пользователей, зарегистрированных в системе организации. Если имя пользователя существует, то после ввода неправильного пароля появляется капча. Если же предполагаемого имени пользователя нет в системе, то капча не появляется.
На основании этой ошибки системы злоумышленники подбирают 50 учётных записей, вычисляют их электронные адреса и отправляют сотрудникам фишинговые письма, пишут «Известия».
«У одного из сотрудников, который ввел свои логин и пароль, оказалось разрешение на подключение к удаленному рабочему столу. Злоумышленники зашли на почту, нашли письмо от техподдержки с описанием того, как можно подключиться к VPN, и таким образом попали во внутреннюю сеть компании», - рассказал Александр Дмитриев.
Далее, воспользовавшись недостатками в настройках контроллерадомена, киберпреступники получили права администратора домена. Спустя примерно две недели после фишинговой рассылки все данные были зашифрованы.