Национальный центр кибербезопасности предупреждает о резком увеличении случаев персонифицированного фишинга — целевых кибератак, которые выглядят максимально достоверно и направлены на конкретных людей. Злоумышленники выдают себя за известных и заслуживающих доверия лиц и распространяют вредоносные сообщения через популярные мессенджеры, в том числе WhatsApp и Telegram.
По данным киберцентра, атаки носят точечный характер и «подгоняются» под профессиональные интересы конкретных адресатов — руководителей, специалистов и лиц, принимающих решения в сферах науки, государственного управления, безопасности и СМИ.
В отличие от массовых рассылок, речь идет о тщательно спланированных операциях, основанных на предварительном сборе информации о жертве.
Как действует схема персонифицированного фишинга
Атака, как правило, развивается по четкому сценарию:
- Сбор информации — злоумышленники изучают открытые источники: должность, сферу деятельности, научные публикации, участие в конференциях, профессиональные связи, медийную активность, а иногда и политическую принадлежность. Эти данные используются для создания убедительного повода для контакта.
- Создание убедительной ложной идентичности — атакующий представляется человеком или организацией, которые выглядят логично и знакомо для жертвы: координатором научных грантов, аналитиком в сфере безопасности, организатором конференции, журналистом или представителем государственного органа.
- Формирование доверия — сообщение обычно содержит профессиональный комплимент, предложение сотрудничества, приглашение к исследовательскому проекту, интервью или деловой встрече. Цель — снизить уровень подозрительности.
- Давление срочностью — чтобы лишить жертву времени на проверку, используется фактор срочности: «крайний срок сегодня», «нужен ответ в течение часа», «решение принимается немедленно».
- Фишинговый «крючок» — жертве предлагают перейти по ссылке для видеоконференции (Zoom), ознакомиться с документом или скачать файл. Ссылка может вести на поддельную страницу известных сервисов — Gmail, Outlook, Zoom или корпоративных систем — и запрашивать логин и пароль. В других случаях предлагается загрузить файл (например, PDF), который на самом деле запускает вредоносное программное обеспечение.
- Захват аккаунта — после ввода учетных данных злоумышленники получают доступ к электронной почте, облачным сервисам, мессенджерам и контактам жертвы, используя ее учетную запись для дальнейших атак на коллег и партнеров.
Возможные последствия
По оценке Национального центра кибербезопасности, подобные инциденты могут привести к утечке профессиональной, научной или служебной информации; нарушению конфиденциальности данных организаций; серьезному ущербу личной и общественной репутации; использованию личности жертвы для атак на других; проникновению во внутренние сети организаций.
Как защититься
Специалисты рекомендуют придерживаться базовых, но критически важных правил:
- Проверять личность отправителя через альтернативный канал связи: официальный e-mail, телефонный звонок или контакт через сайт организации.
- Не переходить по неожиданным ссылкам, даже если сообщение выглядит профессионально и срочно. При необходимости отправлять ссылку на встречу самостоятельно.
- Никогда не вводить логины и пароли по ссылкам из сообщений — входить в сервисы только через официальные сайты.
- Не передавать коды подтверждения и пароли ни при каких обстоятельствах.
- Использовать двухфакторную аутентификацию для всех ключевых аккаунтов.
- При малейшем подозрении — немедленно прекратить контакт, заблокировать отправителя и сообщить в организацию и в Национальный киберцентр.
В Национальном центре кибербезопасности подчеркивают, что именно высокая персонализация делает такие атаки особенно опасными, а бдительность и проверка источников остаются ключевым элементом защиты.