Эксперты Angara Security проанализировали предпосылки для роста фишинга в адрес сотрудников российских компаний в 2023 году и почему мошенники выбрали именно этот мессенджер.

Так, в прошлом году в на 39% увеличилось число запросов на покупку аккаунтов в Telegram, которые далее с высокой долей вероятности используются для атак от имени политических деятелей и персон, которые имеют авторитет для собеседника. В этом мессенджере можно подделать фамилию и имя, поставить фото доверенного собеседника.

Злоумышленники рассылают сообщения с просьбой «срочно перевести деньги на счет N или криптокошелек», предупреждают «о звонке чиновника высокого ранга», требуют предоставить конфиденциальную информацию.

Злоумышленники работают последовательно по отдельным отраслям: государственные организации, IT-компании, предприятия ВПК, ритейл и др. Очевидно, что для проработки тактики используются доступные в сети отраслевые базы данных.

В 2023 году в Telegram на 19% вырос спрос на базы данных, которые содержат персональные данные (e-mail и телефоны) пользователей банковских и медицинских услуг, паспортные данные граждан. Ряд запросов содержит требования к более глубокой детализации, например, город проживания, ФИО, номер телефона, информация о заболеваниях, число проживающих в одном доме или квартире.

При этом объем предложения баз данных также вырос — на 29%, что коррелирует с данными Роскомнадзора. В 2023 году ведомство зафиксировало 168 утечек персональных данных граждан РФ, которые содержат 300 миллионов записей.

В Angara Security отметили, что в российском интернет-сегменте в 2023 году больше всего пострадали от кражи персональных данных операторы связи, медицинские учреждения, госсектор. В ряде случаев утекали данные сотрудников и партнеров компаний, но чаще всего кибератаки были нацелены на хищение данных клиентов.

«Если в 2022 году публичные утечки и похищенные базы данных распространялись на специализированных теневых форумах, то в 2023 одной из самых „востребованных“ площадок стал Telegram. Скорее всего эта тенденция сохранится в 2024 году», — подчеркивает Виктория Варламова, старший эксперт по защите бренда Angara Security.

Какие цели преследуют злоумышленники?

В первую очередь, финансовые, например, перевод денег на отдельный счет «срочно, полмиллиона для оплаты штрафа на такой-то счет». На втором месте сообщения из серии «у вас произошла утечка данных», которые рискуют стать трендом 2024 года, если будет принят законопроект об оборотных штрафах, отмечают эксперты Angara Security. Цель таких сообщений — это снижение доверия к компании, а также сбор дополнительной информации от собеседников компании. На самом деле утечек может не быть, преступники намеренно нагнетают ситуацию. На третьем — сообщения, которые могут принести репутационные потери в результате общения с пранкерами и другими преступниками, использующими технологии deep fake, подмену голоса для атак на сотрудников компаний и другие механики.

«Бороться с этим явлением довольно сложно. Техническая поддержка Telegram не всегда быстро блокирует подозрительных пользователей, поэтому стоит аккуратно начинать новые диалоги. Мошенники — это всегда призыв к какому-то действию, спешка и запугивание. Если вас просят быстро, срочно что-то сделать, стоит взять паузу. В случае, если у вас есть номер телефона человека, который вам пишет, лучше уточнить, а он ли вам пишет», — комментирует Виктория Варламова.

Среди рабочих инструментов для борьбы с этим явлением эксперт отмечает регулярные OSINT-исследования, чтобы оценивать, какие данные о сотрудниках и партнерах можно собирать в открытых источниках, и своевременно закрывать доступ или корректировать упоминания.

Например, злоумышленники могут использовать базы данных массовых сервисов в сфере подбора персонала, маркетинга, рекламы, исследований рынка, службы доставки, корпоративных библиотек, внешних образовательных платформ, корпоративных программ лояльности, цифровых платформ медицинских услуг, которые предоставляются в рамках ДМС, базы данных организаторов отраслевых мероприятий и пр. Риски с точки зрения парсинга данных также представляют профессиональные сообщества, например, LinkedIn, Habr, профильные группы в социальных сетях, отраслевые телеграм-чаты и группы.

Для авторизации на этих ресурсах зачастую необходимо указывать корпоративный e‑mail, имя, фамилию и должность. В случае утечки такого типа данных, преступники получают доступ к массиву информации, который далее можно обогащать и использовать для фишинговых атак, в том числе от лица «топ-менеджмента» и пр.

Перевод коммуникаций в официальные каналы — электронную почту или корпоративный мессенджер − может снизить вероятность фишинговой атаки, но для этого необходимо обучить сотрудников основам киберграмотности и периодически проводить проверки, моделируя реальные ситуации.