Поделиться
Telegram Boss: почему мессенджер стал площадкой для фишинговых атак в России
Эксперты Angara Security проанализировали предпосылки для роста фишинга в адрес сотрудников российских компаний в 2023 г. и почему мошенники выбрали именно этот мессенджер.
Так, в 2023 г. в на 39% увеличилось число запросов на покупку аккаунтов в Telegram, которые далее с высокой долей вероятности используются для атак от имени политических деятелей и персон, которые имеют авторитет для собеседника. В этом мессенджере можно подделать фамилию и имя, поставить фото доверенного собеседника. Об этом CNews сообщили представители Angara Security.
Злоумышленники рассылают сообщения с просьбой «срочно перевести деньги на счет N или криптокошелек», предупреждают «о звонке чиновника высокого ранга», требуют предоставить конфиденциальную информацию.
Злоумышленники работают последовательно по отдельным отраслям: государственные организации, ИТ-компании, предприятия ВПК, ритейл и др. Очевидно, что для проработки тактики используются доступные в сети отраслевые базы данных.
В 2023 г. в Telegram на 19% вырос спрос на базы данных, которые содержат персональные данные (e-mail и телефоны) пользователей банковских и медицинских услуг, паспортные данные граждан. Ряд запросов содержит требования к более глубокой детализации, например, город проживания, ФИО, номер телефона, информация о заболеваниях, число проживающих в одном доме или квартире.
При этом объем предложения баз данных также вырос – на 29%, что коррелирует с данными Роскомнадзора. В 2023 г. ведомство зафиксировало 168 утечек персональных данных граждан России, которые содержат 300 млн записей.
В Angara Security отметили, что в российском интернет-сегменте в 2023 г. больше всего пострадали от кражи персональных данных операторы связи, медицинские учреждения, госсектор. В ряде случаев утекали данные сотрудников и партнеров компаний, но чаще всего кибератаки были нацелены на хищение данных клиентов.
«Если в 2022 г. публичные утечки и похищенные базы данных распространялись на специализированных теневых форумах, то в 2023 г. одной из самых «востребованных» площадок стал Telegram. Скорее всего эта тенденция сохранится в 2024 г.», - сказала Виктория Варламова, старший эксперт по защите бренда Angara Security.
Какие цели преследуют злоумышленники?
В первую очередь, финансовые, например, перевод денег на отдельный счет «срочно, полмиллиона для оплаты штрафа на такой-то счет». На втором месте сообщения из серии «у вас произошла утечка данных», которые рискуют стать трендом 2024 г., если будет принят законопроект об оборотных штрафах, отмечают эксперты Angara Security. Цель таких сообщений – это снижение доверия к компании, а также сбор дополнительной информации от собеседников компании. На самом деле утечек может не быть, преступники намеренно нагнетают ситуацию.
На третьем – сообщения, которые могут принести репутационные потери в результате общения с пранкерами и другими преступниками, использующими технологии deep fake, подмену голоса для атак на сотрудников компаний и другие механики.
«Бороться с этим явлением довольно сложно. Техническая поддержка Telegram не всегда быстро блокирует подозрительных пользователей, поэтому стоит аккуратно начинать новые диалоги. Мошенники — это всегда призыв к какому-то действию, спешка и запугивание. Если вас просят быстро, срочно что-то сделать, стоит взять паузу. В случае, если у вас есть номер телефона человека, который вам пишет, лучше уточнить, а он ли вам пишет», - сказала Виктория Варламова.
Среди рабочих инструментов для борьбы с этим явлением эксперт отмечает регулярные OSINT-исследования, чтобы оценивать, какие данные о сотрудниках и партнерах можно собирать в открытых источниках, и своевременно закрывать доступ или корректировать упоминания.
Например, злоумышленники могут использовать базы данных массовых сервисов сфере подбора персонала, маркетинга, рекламы, исследований рынка, службы доставки, корпоративных библиотек, внешних образовательных платформ, корпоративных программ лояльности, цифровых платформ медицинских услуг, которые предоставляются в рамках ДМС, базы данных организаторов отраслевых мероприятий и пр. Риски с точки зрения парсинга данных также представляют профессиональные сообщества, профильные группы в социальных сетях, отраслевые Telegram--чаты и группы.
Для авторизации на этих ресурсах зачастую необходимо указывать корпоративный e-mail, имя, фамилию и должность. В случае утечки такого типа данных, преступники получают доступ к массиву информации, который далее можно обогащать и использовать для фишинговых атак, в том числе от лица «топ-менеджмента» и пр.
Перевод коммуникаций в официальные каналы – электронную почту или корпоративный мессенджер − может снизить вероятность фишинговой атаки, но для этого необходимо обучить сотрудников основам киберграмотности и периодически проводить проверки, моделируя реальные ситуации.
Короткая ссылка
