Маркетинг хакеров: что вымогатели пишут сотрудникам атакуемых компаний

Хакеры выстроили многоуровневую систему коммуникации с жертвами в корпоративном секторе, которой могут позавидовать отделы маркетинга многих компаний. Они анализируют данные, ищут слабые места, наиболее удачные точки входа и даже работают над повышением лояльности, рассказала на SOC Forum 2025 директор по маркетингу F6 Анастасия Меркулова. Создав проблему для организации, злоумышленники «продают» себя как единственную возможность ее решить.

Найти слабые места

Коммуникация хакеров с жертвами в корпоративном секторе состоит из нескольких этапов, следует из доклада F6. Первый из них — осведомленность, когда злоумышленники комплексно изучают компанию. Они собирают предварительную информацию о потенциальном клиенте, чтобы сформировать оптимальное персонализированное предложение, и подстраивают свои методы под конкретные ситуации.

На этом этапе хакеры изучают публичные данные о компании: отчеты, новости, соцсети сотрудников, информацию из утечек. Их цель при этом — понять организационную структуру, слабые места, финансовое состояние, внутренние процессы. Пользуясь публичными сведениями, злоумышленники создают у жертв ощущение, что они много о них знают, а также выявляют конкретных сотрудников, через которых можно «зайти» — это могут быть, например, специалисты финансового отдела, HR или офис-менеджер, говорится в презентации F6.

В одном из примеров, приведенных Меркуловой, хакеры заявляют, что у них было достаточно времени, чтобы проанализировать бухгалтерию компании, оборот, доход и потенциальный урон от их действий. «Таким образом существует обоснованная цена для обеих сторон — учитывая ваши финансовые способности и наши усилия, затраченные на работу», — написали злоумышленники. Они добавили, что готовы обсудить скидку, если компания даст положительный ответ в течение дня и выплатит выкуп в течение двух. «Мы уверены, что вы осознаете правовые последствия для вашей компании, если мы опубликуем полученную информацию, особенно в Европе», — добавили авторы сообщения.

После сбора публичной информации хакеры принимают решение и выбирают жертву. Злоумышленники не атакуют всех подряд, а на основе собранных данных производят «скоринг» данных, буквально как маркетологи оценивают лидов, отмечает Меркулова. Жертва должна соответствовать нескольким критериям: быть уязвимой, платежеспособной, быстро реагировать, иметь много чувствительных данных и создавать минимальный риск для хакеров. При выборе учитывается финансовая мощность компании, ценность данных, уровень киберзащиты, организационная структура, психологические триггеры и цепочки доверия.

После этого злоумышленники переходят к действию. Для получения первоначального доступа к инфраструктуре жертв участники группировок применяют разнообразные и гибкие подходы, отмечает директор по маркетингу F6. «В одних атаках они эксплуатируют уязвимости публично доступных сервисов, в других — производят фишинговые рассылки, а где-то использовали легитимные аутентификационные данные, купленные у брокеров первоначального доступа на теневых площадках или добытые в ранее совершенных атаках», — объясняет Меркулова. Также, по ее словам, злоумышленники связываются в Telegram непосредственно с IT-специалистами и руководством компании.

Презентация F6

В одном из случаев, который расследовали специалисты F6, хакеры покупали на теневом рынке доступ к корпоративным почтовым аккаунтам и рассылали с них фишинговые письма внутри компаний. Такой подход не только снижает бдительность, поскольку письмо написано якобы от одного из коллег, но и позволяет обойти многие решения по защите электронной почты, подчеркивает Меркулова.

В письме злоумышленники сразу сообщают, что в нем важная информация, которая влияет на трудовые отношения и условия компенсации. «В приложении к этому письму вы найдете обновленную версию вашего трудового договора, в которую были внесены некоторые изменения в соответствии с новыми регуляторными требованиями. Это обновление требует вашего обязательного ознакомления и подтверждения. Также мы прилагаем детали о премиях за июль. Ваши достижения ценны для нас, и мы хотим убедиться, что вы полностью осведомлены о своих премиях. Пожалуйста, откройте приложенные документы и внимательно изучите их. В случае возникновения вопросов обращайтесь в отдел кадров», — говорилось в сообщении.

В этом случае нацеленность на обычных сотрудников со знанием внутреннего устройства компании позволила увеличить эффективность рассылки и побудить многих сотрудников открыть вредоносное вложение, отметила представитель F6. Такое было бы невозможно без предварительной разведки.

Эмпатия и лояльность

На четвертом этапе мошенники обеспечивают жертве клиентский опыт, проявляя эмпатию. В сообщении они просят прощения за созданные неудобства, подчеркивая, что их действия продиктованы лишь желанием заработать. Для давления злоумышленники могут старания пойти навстречу и снизить сумму выкупа, рассказывает Меркулова.

В презентации F6 приводит примеры сообщений переговорщиков группировки Shadow. «Мы понимаем, что ваша страна находится в непростой ситуации. Сожалеем о том, что происходит сейчас, но мы не имеем никакого отношения к политике. Тем не менее, мы проанализировали ваши бухгалтерские отчеты и знаем, что у вас есть средства, которые вы могли бы нам заплатить», — говорится в одном из них. В другом хакер благодарит жертву за ожидание и сообщает, что у него был непростой разговор с начальником. «Он был в бешенстве, но я сделал все, что мог. Вот цена, которую мы предлагаем. Давайте пожмем друг другу руки и забудем об этой истории», — написали злоумышленники.

Презентация F6

Наконец, у хакеров есть свои «программы лояльности». Как отмечают в F6, злоумышленники предлагают компаниям скидку за возможность их упоминания в общении с другими жертвами для подтверждения их репутации. Это не только усиливает их «бренд» и сокращает цикл сделки, но и увеличивает вероятность будущих оплат за счет демонстрации, что хакеры выполняют обещания. Кроме того, это использование принципа социального доказательства: если другие делали — значит, так безопаснее, добавила Меркулова.

Современные атаки на бизнес почти всегда сопровождаются выстроенной коммуникацией, которая напоминает переговорный процесс, говорит проджект-менеджер MD Audit (ГК Softline) Кирилл Левкин. Основной тренд — персонализация и давление на бизнес-риски, а не просто на эмоции отдельных сотрудников.

«В письмах злоумышленники быстро переходят к демонстрации доказательств взлома: фрагменты данных, скриншоты систем, список украденных файлов. Цель — снять сомнения и ускорить принятие решения. Часто используется тактика «ограниченного окна»: устанавливаются жесткие дедлайны, после которых обещают публикацию данных, эскалацию атаки или уничтожение инфраструктуры. Коммуникация при этом ведется в вежливом «деловом» тоне: злоумышленники стараются выглядеть рациональными партнерами по переговорам, а не агрессорами», — комментирует Левкин.

При этом, собрав предварительно информацию, хакеры точно знают, не только к кому обращаться, но и какие последствия будут наиболее болезненными для конкретного бизнеса: простой производства, срыв контрактов, регуляторные или другие риски, добавил представитель MD Audit. А кроме скидки за быструю оплату, злоумышленники иногда предлагают «пакет услуг» из расшифровки данных, закрытия уязвимостей, отчета о взломе и даже рекомендаций по безопасности на будущее.

Часто именно качество диалога с жертвой напрямую влияет на вероятность получения злоумышленниками выгоды и ее размер, считает руководитель группы спам-анализа «Почты Mail» Дмитрий Моряков. Поэтому коммуникация строится по заранее отработанным сценариям.

Блеф и «доказательства»

«В корпоративной почте мошенников чаще всего выдают не ошибки в тексте, а попытка вывести сотрудника за рамки обычных бизнес-процессов. Настораживать должны письма с элементами срочности, просьбами сохранить конфиденциальность, перейти в нестандартный канал связи или принять решение без участия службы информационной безопасности, юристов и руководства», — обращает внимание Моряков.

Повод посчитать письмо подозрительным — деловой и спокойный тон в сочетании с дедлайнами и намеками на репутационные и регуляторные риски, продолжил представитель «Почты Mail». При этом хакеры нередко блефуют: даже если к письму приложены файлы или фрагменты данных, это не всегда подтверждает реальный взлом, потому что часто такие «доказательства» берутся из старых утечек или открытых источников.

«Ключевая рекомендация — не вступать в переписку, не подтверждать и не передавать никакую информацию самостоятельно, а также всегда проверять адрес отправителя. Любое подобное письмо должно фиксироваться и передаваться в ИБ-службу для проверки и реакции по установленному регламенту», — советует Моряков.

Часто вымогательство начинается после бесшумного проникновения в систему жертвы, говорит директор по развитию облачных сервисов и услуг информационной безопасности «Мегафона» Александр Сорокоумов. Злоумышленники неделями и месяцами «сидят» в инфраструктуре, собирают данные, скачивают нужную информацию и следят за перепиской и бэкап-окнами. А само вымогательство начинается тогда, когда становится понятно, что восстановление будет максимально дорогим.

«Обычно сигналы подаются сразу по нескольким каналам и могут быть написаны на русском или английском языках. Чаще всего это письма на электронную почту топ-менеджмента, всплывающее окно на их экранах, иногда принтеры печатают документы с уведомлением о взломе и требованиями злоумышленников», — привел примеры Сорокоумов. В требованиях хакеры могут вместо прямого слова «выкуп» использовать обозначение «услуга NDA» или «компенсация за хранение» как способ уклониться от уголовной статьи за вымогательство. А оплату обычно требуют провести через электронные иностранные кошельки, которые позволяют сохранить анонимность. Как правило, для переговоров они оставляют цифровой ID в закрытых ресурсах и p2p-мессенджерах, чтобы усложнить дальнейший поиск и быстро удалить переписку без возможности восстановления.

Жертвам вымогательства лучше не вступать в переговоры с хакерами, а оповестить уполномоченные органы и вести работу с правоохранителями, подчеркнул представитель «Мегафона». Скорее всего украденную или зашифрованную информацию вернуть не удастся, поэтому эффективнее направить ресурсы на восстановление данных из резервных копий, резюмировал он.