Мошенники могут использовать тематику виртуальных совещаний для обмана пользователей — об этом предупредили эксперты. Такие совещания со времен пандемии Covid-19 стали неотъемлемой частью рабочего процесса во многих компаниях — и злоумышленники используют в своих схемах фальшивые приглашения на них. Подробности о том, почему это происходит и как защититься, читайте в материале «Известий».
Чем тематика виртуальных совещаний интересна мошенникам
Период пандемии Covid-19 во многом видоизменил ключевые рабочие процессы: встречи, совещания, документооборот и общие корпоративные ресурсы, говорит в беседе с «Известиями» ведущий эксперт по сетевым угрозам и web-разработчик компании «Код Безопасности» Константин Горбунов. В это время многие компании переводили сотрудников на удаленку, причем некоторые задачи, в частности встречи и планерки, стало принято проводить в различных сервисах.
— Эта привычка закрепилась так прочно, что до сих пор решение разнообразных задач активно идет в удаленном формате, — рассказывает специалист. — Кроме того, не стоит забывать про компании с множеством филиалов и офисов в разных городах. Там и до пандемии стоял вопрос связи между разными проектными командами.
В связи с этим сегодня такие платформы, как Zoom и его аналоги, как правило, воспринимаются людьми как сугубо деловые инструменты — и это несколько снижает подозрительность, отмечает руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин. В целом, это логично: если у сотрудника десяток рабочих онлайн-совещаний в день, к одиннадцатому он присоединится, не задумываясь.
— Кроме того, современные платформы для организации совещаний упростили процедуру подключения до нажатия буквально одной кнопки, а значит, это прекрасная среда для организации фишинговых атак, — подчеркивает эксперт.
Как аферисты используют тематику онлайн-совещаний
Мошенники не раз активно использовали тематику видеоконференций в своих схемах. В частности, по словам руководителя BI.ZONE Threat Intelligence Олега Скулкина, тему видеозвонков активно эксплуатировала группировка Lazer Werewolf (также известная как Lazarus). Атакующие отправляли жертве в Calendly ссылку якобы на видеовcтречу в Google Meet. На самом же деле ссылка вела на подконтрольный злоумышленникам домен, замаскированный под Zoom.
— Жертва присоединялась к «встрече», на которой присутствовали дипфейки руководителей компании, а также внешние участники, — рассказывает собеседник «Известий». — При этом у жертвы якобы не работал микрофон, и участники предлагали ей загрузить расширение для Zoom, чтобы решить эту проблему. На самом деле «расширение» представляло собой скрипт, устанавливающий в систему жертвы вредоносное программное обеспечение.
Подобные атаки имели место и в России, отмечает Олег Скулкин. Например, представители группировки Gremlin Wolf представлялись журналистами крупного СМИ и приглашали жертв на 30-минутное интервью. Разумеется, переход по ссылке в письме приводил к установке вредоносного программного обеспечения в систему жертвы.
Эксперт «Лаборатории Касперского» по кибербезопасности Роман Деденок дополняет, что специалисты компании уже видели довольно убедительные фишинговые атаки, в рамках которых злоумышленники рассылали сотрудникам организаций персонализированные письма под видом инструкций от отдела кадров. Их отличие в том, что в обнаруженных рассылках к получателю обращались по имени как в самом письме, так и во вложенном файле, с которым предлагалось ознакомиться потенциальной жертве.
— Ранее злоумышленники нередко использовали поддельные страницы входа в Zoom или Microsoft Teams для кражи логинов и паролей, — говорит ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов. — Кроме того, иногда атаки маскировались под «обновление учетной записи» перед совещанием.
Как схемы на тему онлайн-совещаний могут измениться в будущем
По словам экспертов, опрошенных «Известиями», в перспективе мошеннические схемы, связанные с виртуальными совещаниями, могут эволюционировать. В частности, как говорит Олег Скулкин, сегодня злоумышленники всё активнее пользуются технологией создания дипфейков.
— Более того, предварительная коммуникация с жертвой в том числе через видеоконференции помогает усыпить ее бдительность и повышает шансы мошенников на успех, — отмечает собеседник «Известий».
Уже сейчас в фальшивых видеоконференциях, которые создают злоумышленники, есть анимация подключения других коллег и вывод списка присутствующих, отмечает Константин Горбунов. На этом этапе мошенники получили данные для входа в Zoom, однако они могут «продлить» анимацию, например, с помощью дипфейков, и попытаться заполучить дополнительные сведения или отправить в «чате» жертве вредоносный файл.
Кроме того, вероятно появление схем, в которых используются голосовые сообщения с искусственно сгенерированным голосом руководителя, требующего срочно подключиться к совещанию, дополняет ведущий инженер CorpSoft24 Михаил Сергеев. Другой возможный сценарий — развитие схем с использованием QR-кодов для входа в конференции: как объясняет Алексей Козлов, такие коды проще проходят фильтры и сложнее проверяются вручную.
Чем опасны схемы мошенников на тему виртуальных совещаний
Схемы, связанные с онлайн-совещаниями, могут быть направлены на самые разные категории пользователей — здесь всё зависит от целей киберпреступников, рассказывает Олег Скулкин. К примеру, если злоумышленники стремятся получить доступ к активам криптовалютной биржи, то в качестве мишени они могут выбрать ее разработчиков и представиться рекрутерами.
— Подобные атаки могут быть нацелены и на рядовых сотрудников корпоративного сегмента — в этом случае целью может быть как получение учетных данных, так и инсталляция вредоносного программного обеспечения, — рассказывает собеседник «Известий». — Также не стоит забывать про физических лиц: видеозвонки, в том числе с использованием дипфейков, активно используются для кражи финансовых активов.
В то же время, по мнению Константина Горбунова, в первую очередь такие схемы направлены на крупные компании, где есть множество проектных команд и контрагентов, а также проводятся регулярные установочные встречи, из-за чего очередное письмо о встрече для некоторых сотрудников не будет казаться подозрительным.
Если парольная политика компании не позволяет иметь один и тот же пароль для всех корпоративных сервисов, то ущерб от успешной реализации схемы ограничиться получением доступа к личному кабинету сотрудника в Zoom — как следствие, возможностью подключаться к следующим конференциям и просматривать историю предыдущих.
— Но если один и тот же пароль используется для всех сервисов, то ущерб будет куда больше, ведь злоумышленники получат доступ к ним: это почта, облачное хранилище, личные кабинеты в корпоративных порталах, CRM-системах и так далее, — предупреждает Константин Горбунов.
Как защититься от мошеннических схем на тему онлайн-совещаний
Для тог чтобы защититься от атак мошенников на тему виртуальных совещаний, Константин Горбунов советует придерживаться ряда простых рекомендаций:
Доработка почтового клиента — введение списка доступных email адресов для входящих сообщений, функционала фильтрации спама и автоматической проверки вложений и ссылок.
Фишинговые учения и тренинги внутри компании, осведомление сотрудников о подобных схемах мошенников и новых уловках.
Также самим сотрудникам при переходе по любым ссылкам из писем необходимо сперва посимвольно проверять адрес отправителя, а также саму ссылку. Причем для отображения реальной ссылки необходимо навести на нее курсор мыши, но не нажимать. В случае сомнений по поводу встречи необходимо сперва уточнить информацию у руководителя.
— Важно своевременно получать информацию о новых схемах мошенников — только так можно вовремя заподозрить неладное и не поддаться на уловки злоумышленников, — заключает Олег Скулкин. — И, конечно, необходимо внимательно смотреть на ссылки, не загружать подозрительные файлы и перепроверять актуальность встреч у коллег.