Фишеры имитируют кадровые документы и крадут корпоративные учётные данные

Эксперты «Лаборатории Касперского» обнаружили продвинутую фишинговую кампанию, в которой злоумышленники рассылают сотрудникам организаций персонализированные письма под видом инструкций от отдела кадров. Таким образом они пытаются выманить логины и пароли от корпоративных почтовых аккаунтов. Особенность этой кампании в том, что индивидуализируют в ней не только тексты писем, но и вложения.

 В обнаруженных рассылках к получателю обращаются по имени как в самом письме, так и во вложенном файле, с которым предлагается ознакомиться потенциальной жертве. Документ якобы содержит информацию о протоколах удалённой работы, стандартах безопасности и доступных льготах для сотрудников.

Чтобы усыпить бдительность адресатов, злоумышленники добавляют в тело письма поддельную отметку «проверенный отправитель». Однако всё сообщение — это не текст, а изображение. Такой приём атакующие используют в попытках обходить почтовые фильтры.

В реальности во вложенном файле под названием «Руководство для сотрудников» нет обещанной информации — только титульная страница, содержание и раздел с QR-кодом, который якобы ведёт на полную версию инструкции.

В руководство добавлены фразы, призванные убедить пользователя, что этот документ — точно для него. Если жертва отсканирует QR-код и перейдёт по ссылке, она попадёт на поддельную страницу, имитирующую форму авторизации в сервисах Microsoft, где её попросят ввести логин и пароль от корпоративной почты. Таким образом злоумышленники пытаются выманить эти данные.

«Обнаруженная кампания доказывает, что фишинговые атаки становятся всё более сложными. Вероятно, в ней используется новый почтовый механизм автоматизации, который генерирует отдельный вложенный документ и письмо-изображение для каждого получателя. Это позволяет злоумышленникам масштабировать свои кибератаки. Организациям следует внедрять продвинутые меры безопасности и повышать уровень цифровой грамотности сотрудников», — комментирует Роман Деденок, эксперт «Лаборатории Касперского» по кибербезопасности.

Для защиты от подобных атак «Лаборатория Касперского» рекомендует компаниям:

    использовать решения для защиты почтовых серверов;

    установить на устройства сотрудников надёжное защитное решение, эффективность которого подтверждается независимыми тестами;

    обучать сотрудников распознавать фишинговые сообщения, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform.