Как злоумышленники атакуют компании без использования вредоносного ПО
Эксперты по безопасности не устают повторять ― в основе большинства атак на компании стоит человеческая ошибка. К примеру, один сотрудник случайно перешел по фишинговой ссылке, другой скачал зараженный файл.
В некоторых случаях злоумышленникам даже не приходится использовать вредоносное ПО: им удается получить доступ к инфраструктуре компании исключительно с помощью социальной инженерии и легальных технических средств.
Например, атака на компанию начинается с мошеннической рассылки якобы от представителей онлайн-сервисов. Злоумышленники имитируют оформление подписки получателем и убеждают его в том, что оплата за нее спишется на следующий день. Для отмены платежа сотруднику предлагаю позвонить по телефону, который можно найти в самом письме или в прикрепленном к нему PDF-файле.
Как ни странно, файл не содержит никаких зловредов, а значит, антивирус с большой долей вероятности пропустит его к пользователю. Задача атакующих на этом этапе только в том, чтобы заставить какого-нибудь сотрудника позвонить по номеру. И когда это происходит, во время разговора злоумышленники обманом заставляют жертву установить средство удаленного администрирования (RAT — remoteadministration tool) на свое устройство. Данная программа не относится к нелегальному ПО.
Так действует группировка Luna Moth, которая специализируется на воровстве корпоративных данных и шантаже. Уникальность Luna Moth состоит именно в том, что она добывает информацию без использования вредоносного ПО. Конечно, они рассчитывают на неопытность жертвы. Но в результате злоумышленники получают удаленный доступ и контроль над устройством, которое находится в корпоративной сети.
Можно ли бизнесу сделать выводы из этой истории? Думаю, да. Несмотря на наличие защитных решений, риски потерять ценные данные или понести финансовый урон становятся выше, если сотрудники компании не подготовлены с точки зрения цифровой грамотности к атакам при помощи социальной инженерии.
Эксперты рекомендуют: продуманная стратегия киберзащиты должна включать в себя не только установку технических средств, но и повышение осведомленности сотрудников о современных киберугрозах и мошеннических приемах.