На рабочие почты сотрудников российских организаций приходят письма якобы от правоохранительных органов. Внутри — постановление, требование неразглашения и анкета, которую срочно нужно заполнить. Сотрудников просят указать, каким компьютером пользуются, как часто работают удалённо и какие программы установлены. Всё это — подготовка к масштабной кибератаке. «Лаборатория Касперского» зафиксировала новую схему, а МВД предупредило: никакой «доследственной проверки рабочего места» не существует, а файлы, которые предлагают запустить, на деле оказываются троянцами. Рассказываем, как работают злоумышленники, почему эта атака опаснее обычного фишинга и что делать, если такое письмо пришло в ваш ящик.
Злоумышленники действуют по продуманной цепочке, используя сразу несколько инструментов социальной инженерии. Всё начинается с письма, которое приходит на рабочую почту сотрудника. Отправитель маскируется под правоохранительные органы. Как сообщает пресс-служба управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД РФ, в письме содержится поддельное постановление и строгое требование не разглашать информацию. Этот приём создаёт у получателя ощущение, что он участвует в официальной процедуре, связанной с секретностью.
Дальше жертву просят заполнить анкету. В ней вопросы о рабочем компьютере, действиях в определённые даты, используемых программах удалённого доступа и личных данных. Одновременно с анкетой приходит документ о согласии на так называемое «техническое исследование». Всё выглядит правдоподобно: термины знакомы, бланки похожи на официальные, а давление через требование неразглашения не оставляет времени на раздумья.
Настоящая цель вскрывается на следующем этапе. После заполнения формы пользователю присылают программу, которую якобы необходимо установить для проверки рабочего места. На деле это оказывается троянцем. Вредоносное ПО проникает в корпоративную сеть, собирает данные, а затем может использоваться для шифрования инфраструктуры и вымогательства денег. По сути, это классическая подготовка к атаке с требованием выкупа, замаскированная под процедуру, с которой сотрудники не готовы спорить.
Особенность этой схемы — её юридическая подоплёка. Доследственная проверка действительно существует и предусмотрена статьёй 144 Уголовно-процессуального кодекса РФ. В её рамках следователь или дознаватель может получать объяснения, истребовать документы и проводить иные мероприятия. Однако, как подчёркивают в МВД, никакие проверки не проводятся через электронную почту, а тем более с требованием запускать неизвестные программы.
«Доследственная проверка рабочего места» — выдумка мошенников, — резюмируют в ведомстве. Этот факт многократно подтверждается в официальных сообщениях.
«Да, доследственная проверка предусмотрена статьёй 144 УПК РФ, однако следователи и дознаватели никогда не рассылают анкеты по электронной почте и тем более не требуют запускать на рабочих компьютерах неизвестные программы», — приводит разъяснение МВД авторитетное издание.
Аферисты ловко пользуются тем, что граждане слышали об этих терминах, но не знакомы с процедурой. Сочетание знакомых слов, бланков и требования неразглашения создаёт почти неотразимую ловушку даже для довольно осторожных людей, а в условиях цейтнота — тем более.
В сообщении «Лаборатории Касперского» и МВД подчёркивается, что схема направлена именно на крупные российские организации, а не на частных лиц. У этого есть несколько причин. Во-первых, в крупной компании выше вероятность, что кто-то из сотрудников испугается и выполнит требования. Во-вторых, проникновение в корпоративную сеть такой организации может дать доступ к огромным массивам данных, включая коммерческую тайну, персональные данные клиентов и финансовую информацию.
Троян, который устанавливают на компьютер жертвы, не просто шпионит. Он может использоваться для шифрования всей инфраструктуры. В этом случае организация теряет доступ к собственным данным, а мошенники требуют выкуп за их восстановление. Учитывая масштабы возможных потерь (от миллионов до миллиардов рублей), эта атака представляет серьёзную угрозу не только для бизнеса, но и для экономической безопасности регионов.
МВД и эксперты по кибербезопасности дают чёткие рекомендации для сотрудников любых организаций.
Ни в коем случае не переходить по ссылкам и не скачивать вложения из писем с незнакомых адресов. Особенно если письмо содержит требования срочных действий, угрозы или ссылки на «постановления». Не заполнять анкеты, запрашивающие личные данные, информацию о рабочем компьютере или программах удалённого доступа. Не запускать программы, присланные неизвестными отправителями, даже если они якобы необходимы для «технической проверки» или «исследования».
Если письмо вызвало подозрения, его следует немедленно сообщить в службу информационной безопасности или IT-отдел компании. Игнорирование таких сигналов может привести к проникновению вредоносного ПО в корпоративную сеть. Важно помнить: ни один государственный орган никогда не будет запрашивать доступ к вашему компьютеру через сторонние программы. Любое письмо с требованием установить софт для «проверки» — это стопроцентный маркер кибератаки.
Нынешняя волна рассылок с использованием образа силовых структур — не единичный случай, а часть общей тенденции. Эксперты фиксируют устойчивый рост целевых фишинговых атак на российский корпоративный сектор. Злоумышленники активно используют методы социальной инженерии, маскируясь под самые разные структуры: от служб безопасности и HR-отделов до государственных ведомств и даже партнёров по бизнесу.
Ранее, в 2024 году, «Лаборатория Касперского» сообщала о кампаниях кибершпионажа, где письма маскировались под резюме соискателей или результаты проверок условий труда. Целью были компании финансовой и ИТ-сфер. Сегодня же злоумышленники пошли дальше, используя юридическую терминологию и давление авторитетом государственных органов.
Этот случай — лишь один из многих, и он наглядно демонстрирует, как быстро эволюционируют методы киберпреступников. В ответ государство усиливает меры: по поручению Правительства РФ прорабатываются способы распознавания личности при регистрации доменных имён и упрощение аннулирования сайтов, используемых в мошеннических целях. Однако главная линия обороны по-прежнему находится на стороне самих пользователей и корпоративных служб безопасности.
По материалам Киберполиции России