Письма от босса, срочные переводы и проверки силовиков: что пишут жертвам фишинговых рассылок

Фальшивые боссы и секретные чаты

Злоумышленники проводят постоянный апргрейд уже проверенных схем, отмечают аналитики. «Те же приемы социальной инженерии обрастают гибридами, уходят из почты в мессенджеры, дополняются нейросетевыми голосами и «официальными» письмами из ведомств», — рассказали SecPost в компании «Перспективный мониторинг».

Так, по-прежнему актуальна схема fake boss, когда злоумышленник выдает себя за генерального, финансового директора или руководителя подразделения и пытается под видом срочного поручения провести несанкционированный платеж, получить конфиденциальную информацию или заставить сотрудника открыть вредоносное вложение. При этом прием с фальшивым боссом может являться вступительным этапом, а дальше в ход идут уже «письма из ФСБ» или вложения с ВПО.

Мошенники тратят какое-то время на подготовку, собирая информацию о компании — имена руководителей, должности и контакты, структуру подразделений, корпоративные события, почтовые домены и шаблоны e-mail. Источниками таких данных могут стать социальные сети, официальные интернет-ресурсы компании, открытые базы и сервисы по проверке контрагентов, а также утечки, сообщают в «Перспективном мониторинге». Злоумышленники создают фейковую электронную почту с использованием домена, похожего на легитимный, аккаунт в мессенджере, профиль в Telegram. А если человек регулярно выступает публично, подделывают его голос. Потенциальными «жертвами» чаще всего выбирают бухгалтеров, специалистов по закупкам, офис-менеджеров, администраторов и менеджеров среднего звена.

Самый распространенный сценарий — с ложным переводом денег, когда мошенник пишет сотруднику или отправляет голосовое сообщение: «Нужно срочно оплатить контракт, поставщик ждет. Никому не говори. Я на встрече, включать связь не могу». Потом рассылаются реквизиты, создается давление сроками («если не успеем, сорвем тендер/потеряем деньги»). После перевода злоумышленник пропадает.

Другой сценарий — с командировочным или представительским расходом. Мошенник от имени руководителя пишет: «Купи подарки для партнеров/ забронируй отель/ переведи аванс», и сотрудник оплачивает покупку своей картой.  Также применяется схема с подменой реквизитов, когда мошенник вклинивается в переписку с поставщиком и пишет: «Реквизиты изменились, оплачивайте по ним». Это особенно опасно для организаций, где документооборот ведется по электронной почте без подтверждения в системе ЭДО, отмечают авторы отчета.

В сценарии с передачей конфиденциальных данных, где основная цель — заполучить внутрикорпоративные документы, бухгалтерские отчеты, данные сотрудников, пароли или коммерческие документы, мошенники обычно пишут: «Пришли сводку по зарплатам/ список сотрудников/ сканы договоров, срочно нужно». Дополнительно могут отправить ссылку на фишинговую страницу под видом «корпоративного документа» или файл «на проверку», который содержит шифровальщик (программу-вымогатель).

Новый этап развития социальной инженерии — дипфейк-звонки или «кружки» в Telegram от руководителя. Сотрудник получает ссылку, чтобы обсудить по ВКС вопрос, или «директор» поручает переслать заказчику деньги или уточнить какую-либо чувствительную информацию.

При этом популярность набирает гибридный сценарий с имитацией давления со стороны силовых структур. Сотрудников добавляют в Telegram-чат с названием компании, где среди участников «генеральный директор». Он сразу ограничивает варианты общения («позвонить нельзя, все только здесь») и просит сохранить переписку «строго между нами»). И сообщает: «Дело в том, что у нас произошла кража данных организации, и теперь из-за этого проверка. Речь идет обо всех, кто связан с организацией. Сейчас вам пришлю фото документа, так будет понятнее, когда ознакомитесь». После чего отправляет «письмо от ФСБ». Оно сделано на скорую руку, с ошибками, но может для рядового сотрудника выглядеть пугающим из-за печатей, ссылок на статьи и угроз ответственности. Дальше на этом страхе пытаются достать нужную информацию или подвести к какому-то действию, объясняют в ГК «Инфотекс».

Отдельный тренд — рассылки, направленные на конкретные роли, например, HR-специалистов, приводят пример аналитики. Например, сотрудники отделов персонала получали рассылки якобы от рекрутингового сервиса HeadHunter: «В рамках планового обновления баз работодателей мы проводим проверку аккаунтов. Пожалуйста, подтвердите, что профиль действительно принадлежит вам. Чтобы сохранить доступ к откликам кандидатов и возможности размещать вакансии, необходимо подтвердить владение данным аккаунтом. Важно: если подтверждение не будет выполнено в течение 10 часов, доступ к профилю может быть временно ограничен». При нажатии на кнопку «Подтвердить» пользователь попадал на фишинговую страницу, замаскированную под сервис hh.ru с формой верификации.

Страх, любопытство и обещание выгоды

Почти все описанные сценарии держатся на одном и том же наборе психологических триггеров, объясняют в «Перспективном мониторинге». Это апелляция к власти («Я твой начальник, сделай это немедленно»), срочность («Время на минуты, сорвем контракт, если не успеешь»), страх последствий («Под угрозой бизнес/твоя должность»), изоляция («Никому не говори, это строго конфиденциально»), лесть и особое доверие («Делаю это через тебя, потому что ты самый ответственный»). Сотрудники попадаются на эти уловки из-за страха, желания не подвести, недостаточной осведомленности в вопросах ИБ и сильной загруженности.

Эффективность фишинга по-прежнему основана на эксплуатации базовых человеческих слабостей — неустойчивости в стрессовых ситуациях, любопытства, стремления к быстрой выгоде и склонности доверять авторитетным источникам, комментирует руководитель службы внутренней информационной безопасности «Инфосистемы Джет» Владимир Лапшин. Однако инструменты и методы фишинговых атак значительно эволюционировали. «Особенно заметное влияние на фишинг оказали современные нейросетевые технологии: сегодня злоумышленники могут создавать убедительные поддельные видеосообщения, которые зачастую крайне сложно отличить от настоящих», — говорит эксперт.

Главное правило, о котором стоит помнить, чтобы защититься от фишинга, — любое сообщение, полученное из интернета, может быть недостоверным. Особенно если в нем вас торопят, оказывают психологическое давление или обещают неожиданную выгоду.

Злоумышленники активно стали использовать контекстную рекламу профильных публичных мероприятий, на которые пользователю предлагается зарегистрироваться, рассказывает руководитель продукта Solar web Proxy ГК «Солар» Анастасия Хвещеник. Они также отправляют фишинговые письма, которые адресованы получателю «по ошибке», например, письмо, адресованное бухгалтерии, намеренно попадает в другой отдел. «Во вложении таких писем находятся архивы или файлы распространенных офисных форматов с ВПО или вредоносные ссылки. Расчет хакеров направлен на то, что сотрудник, желая выяснить причину адресованного письма и убедиться, что вопрос не его, перейдет по ссылке и изучит вложение, чтобы адресно перенаправить в нужный отдел», — уточняет Хвещеник.

Оптимально, когда в компаниях есть SWG-система для проверки почтовых писем и контроль перехода по веб-ресурсам, говорит руководитель продукта Solar web Proxy. Сотрудникам же рекомендуется не открывать вложения от неизвестных адресатов, не переходить по ссылкам из писем от таких адресатов и не доверять подозрительно выгодным предложениям.

Пятница – день фишинга

Злоумышленники выбирают время для фишинговых атак, отмечает архитектор систем ИБ группы компаний «Гарда» Артемий Новожилов. Фишинговые письма, содержащие опасные вложенные файлы с правдоподобными названиями вроде «Бухгалтерия_итоги_2025» или «Отчет_по_проекту_Петрова», особенно популярны в пятницу вечером, когда сотрудники уже мысленно готовятся к выходным, и их бдительность снижена. Появление срочной задачи в таких ситуациях может подтолкнуть к необдуманным действиям.

«Злоумышленники всегда находятся в инфополе. Новые схемы атак появляются практически каждый день, часто основываясь на новостях, трендах или событиях, что делает их более убедительными», — подчеркивает Новожилов. По его словам, для противодействия этому важно внедрять современные средства защиты еще на входе в периметр IT-инфраструктуры — антифишинг, anti-DDoS, межсетевые экраны нового поколения (NGFW), сервисы защиты веб-приложений (WAF) и другие. Следующий шаг защиты корпоративного сегмента – внутренний мониторинг с анализом трафика внутри сети между пользователями, серверами и сетевым оборудованием, добавил эксперт.

«Также важно помнить, что успех кибербезопасности на 70% зависит от людей и правильно выстроенных процессов и лишь на 30% — от технологий. Поэтому компаниям необходимо разработать нормативно-правовую базу, создать подразделение информационной безопасности, наделить его полномочиями и регулярно проводить обучение сотрудников вопросам ИБ», — сказал эксперт.

Сами сотрудники в целом уже достаточно хорошо умеют распознавать схему fake boss, даже когда в ней используются голосовые или видео-дипфейки, комментирует руководитель по направлению развития культуры информационной безопасности «Норникеля» Анна Терская. Они сами сигнализируют службе информационной безопасности о появлении очередного поддельного аккаунта руководителя. «Это не отменяет наши усилия по обучению сотрудников противодействовать фишинговым атакам: у нас разработан специальный обучающий курс, мы регулярно проводим тестирования и вебинары, изготавливаем обучающие видеоролики и плакаты с информацией о способах противодействия фишингу», — уточняет представитель «Норникеля».

Общество настолько привыкло к фишингу, что уже не задумывается о его возможных последствиях, продолжает Терская. Необдуманный переход по ссылке может скомпрометировать информационную систему даже крупной компании, уделяющей значительное внимание кибербезопасности, подчеркивает она.

В рассылках, ориентированных на корпоративный сектор, часто используются сообщения, призванные заинтересовать сотрудников лично и обещающие им выгоду в вопросах, не связанных с работой. Так, по словам заместителя начальника департамента защиты информации Газпромбанка Алексея Плешкова, наиболее популярными в фишинговых рассылках в адрес работников финансовых организаций и их родственников были выплаты от государства к Новому году, получение призов в предновогодних акциях и розыгрышах, быстрые схемы заработка на инвестициях, срочные подработки без опыта, пересчет пенсии и получение налогового вычета.

Для защиты от фишинговых атак работает комплексный подход, включающий организационные и технические меры, говорит Плешков. К первым относятся повышение осведомленности и зрелости работников, ответы на типовые вопросы и проведение обучения с работниками, которые находятся в группе риска. Ко второй категории – внедрение почтовых фаерволлов, антисмапа, обязательных проверок всей поступающей корреспонденции.

В своих схемах мошенники стали использовать привычку россиян к онлайн-покупкам, рассказывает генеральный директор «Технического центра Интернет» Алексей Рогдев. Злоумышленники звонят, представляются службой доставки и выясняют, ожидает ли человек посылку. На фоне «оформления» его убеждают назвать код из SMS от сервиса, чье название на слуху, например, СДЭК. Параллельно инициируют вход или сброс пароля в другом сервисе, которым человек ранее пользовался, и настойчиво требуют второй код «для накладной». Получив его, они быстро подтверждают доступ, чтобы потерпевший слышал: «Он сказал код», обрывают звонок, а потом на жертву обрушивается поток SMS о якобы подписанных документах и «спасительный» звонок от «правоохранительных органов». Дальше человека пытаются принудить к действиям, которые могут повлечь материальный ущерб.

Такими действиями злоумышленники в том числе наносят вред репутации логистических компаний, которые, со своей стороны, тоже могут способствовать снижению рисков, считает Рогдев. Для этого им стоит минимизировать необходимость устных подтверждений, закреплять курьеров за конкретными районами для узнаваемости и доверия, внедрять строгие процедуры идентификации и информировать клиентов о том, что коды по телефону они не запрашивают.