- Атака «Фальшивый босс»
- Как подделывают голос
- Кого проще обмануть
- Бдительность прежде всего
- Защита IT-инфраструктуры
Атака «Фальшивый босс»
Анализ инцидентов, связанных с попытками получить незаконный доступ к информационным базам предприятий и организаций, показывает, что злоумышленники используют все более изощренные схемы. Например, в конце 2023 года в России был зафиксирован всплеск фишинговых атак с рассылкой по электронной почте писем якобы от руководителей компаний или лжесотрудников правоохранительных или надзорных органов.
В январе 2024-го мошенники сделали ставку на звуковые дипфейки, проводя атаки типа FakeBoss. Чтобы ввести в заблуждение жертву, они звонят или отправляют текстовые и голосовые сообщения от имени руководителя, требуя передать по незащищенным каналам конфиденциальную информацию или срочно совершить платеж по указанным реквизитам.
Злоумышленникам надо отдать должное: они достаточно грамотно используют психологию, социальную инженерию и фишинговые техники, буквально зомбируя человека. Одна из распространенных схем атаки: прерванный звонок на мобильный телефон сотрудника якобы от начальника; затем – СМС-сообщение за его именем с объяснением: «Связь плохая»; наконец – голосовое сообщение с постановкой той или иной задачи.
Как законодатели пытаются справиться с телефонными мошенниками
Последнее время достаточно часто атакам типа FakeBoss подвергаются сотрудники организаций госсектора и предприятий оборонно-промышленного комплекса (ОПК). Злоумышленники пытаются не только украсть деньги или корпоративные секреты, но и выведать сведения, составляющие военную и государственную тайну, нанести вред информационным ресурсам органов госуправления, связи, транспорта, энергетики, других секторов экономики.
В 2023 году «специальными службами иностранных государств во взаимодействии с частными структурами, а также международными преступными сообществами постоянно осуществлялись компьютерные атаки на объекты информационной инфраструктуры России», констатирует пресс-служба Совета безопасности РФ.
Атаки FakeBoss обычно злоумышленники тщательно готовят, не пренебрегая мелочами. Ради достижения преступных целей им важно знать точно, к кому и как обращаться, на кого сослаться, что потребовать выполнить и в какие сроки.
Как подделывают голос
Для создания звуковых дипфейков мошенники научились применять искусственный интеллект (ИИ), который помогает генерировать голос, характерные выражения и манеру разговора босса с подчиненными. Предварительно создают его фейковый аккаунт в одной из социальных сетей. По наблюдениям ИБ-специалистов, часто для этого предпочитают Telegram. Персональные данные и фотография в аккаунте – реальные. И то, и другое несложно взять, допустим, с официального сайта компании.
«Образцы» голоса нередко есть в открытом доступе. Допустим, руководитель предприятия – человек публичный, периодически выступает на телевидении или радио. Другой вариант – видео- или аудиозаписи в качестве исходного материала для генерации фейкового голосового сообщения добывают путем взлома личных страничек в мессенджерах и социальных сетях. Чем достовернее получится подделать голос и манеру общения настоящего начальника с подчиненными, тем сложнее случайному человеку идентифицировать атаку типа FakeBoss и тем тяжелее могут оказаться последствия ошибки.
Кого проще обмануть
При этом конечный результат мошеннических действий, как показывает опыт, зависит от размера компании. В крупных организациях (с большим штатом сотрудников и четкой иерархией) у фейковых голосов значительно меньше шансов ввести кого-либо в заблуждение. В корпорациях как-то не принято, чтобы гендиректор или его заместители решали текущие производственные и финансовые вопросы в нарушение корпоративной культуры и утвержденного регламента. Поэтому если топ-менеджер ни с того ни с сего напишет, а затем пришлет голосовое сообщение рядовому бухгалтеру в «личку», то у последнего неожиданный канал коммуникации почти наверняка вызовет подозрение и адекватную реакцию.
Другое дело – малый и средний бизнес, который не обременяет себя строгими бюрократическими правилами и не всегда придает должное значение вопросам информационной безопасности. В небольших коллективах общение сотрудников по рабочим вопросам в мессенджерах и социальных сетях – явление распространенное. Переписка с первым лицом вполне допустима, следовательно, и атака может оказаться успешной.
Бдительность прежде всего
Исключить такие инциденты поможет выполнение общеизвестных правил кибергигиены. Чтобы эффективно противодействовать атакам типа FakeBoss, надо научить персонал отличать фейковые сообщения от реальных и понимать, как на них реагировать. Задача выполнимая, если установленные в компании протоколы работы с конфиденциальными данными будут обязательны к исполнению для всех.
Достаточно проявлять бдительность. Если возникло подозрение, что сообщения в социальной сети от имени директора шлет мошенник, то нелишним будет для начала сверить номер телефона отправителя с номером из корпоративного справочника, связаться с начальником по другим каналам. Не следует продолжать диалог, пытаться разыграть злоумышленника. Разумнее дать делу законный ход: сообщить об инциденте в отдел информационной безопасности, ведь не исключено, что жертвами атаки типа FakeBoss в следующий раз станут коллеги.
Очень рискованно открывать присланные непонятно кем сомнительные файлы или ссылки. В них часто содержится вредоносное ПО, которое рассылают, чтобы незаметно проникнуть в ИТ-инфраструктуру организации. С фишинговых писем, согласно статистике, начинается 9 из 10 кибератак. И если верить опросам, то треть респондентов, мало задумываясь о последствиях, переходят по вредоносным ссылкам в персонализированных письмах.
Цель злоумышленников – получить доступ к конфиденциальным данным, зашифровать информацию, содержащуюся в базах компании, с целью последующего шантажа и вымогательства. Так что безответственность, пренебрежение нормами информационной безопасности чреваты неприятными последствиями.
Любые сведения, касающиеся производственной деятельности организации, нельзя передавать без подтверждения подлинности запроса. Активация настроек двухфакторной аутентификации для аккаунтов сотрудников существенно повышает уровень информационной безопасности.
Корпоративные ИТ-системы должны принимать только сложные пароли, менять их необходимо регулярно (не реже одного раза в три месяца). Другие инструменты пассивной защиты – установка разных кодов доступа для разных сервисов плюс сегментация сетевого доступа к корпоративным порталам: у руководителей – без ограничений, у рядовых работников – только к тем, которые необходимы для работы.
Защита IT-инфраструктуры
Помимо социальной инженерии и фишинговых ссылок кибермошенники пытаются взломать корпоративные системы посредством технических средств. Арсенал богатый: SQL-инъекции (специальные синтаксические конструкции для подделки запросов к базе и получения данных из таблиц), XSS-атаки (их цель – межсайтовый скриптинг, при котором совместно с выводом данных на веб-странице у пользователя выполняется вредоносный алгоритм), CSRF-атаки (межсайтовая подделка запроса), DDOS-атаки (нарушают стабильность работы веб-ресурса).
От Демосфена к вирусам: что представляет собой мошенничество в цифровую эпоху
Очевидно, что уровень киберугроз в обозримом будущем будет только возрастать. Например, количество DDoS-атак в текущем году, согласно прогнозам многих ИБ-специалистов, может увеличиться по сравнению с прошлым годом чуть ли не на 300%.
Перед публикацией новых сервисов обязательно нужно делать пентест – это вид тестирования, в котором моделируются возможные атаки, что позволяет вскрывать и оперативно устранять уязвимости корпоративной сети. Защита ИТ-инфраструктуры предприятия или организации будет эффективной, если программы и операционные системы поддерживать в актуальном состоянии, своевременно обновлять ПО, не пренебрегать межсетевыми экранами и шлюзами. Это помогает разграничивать доступ к сетевым ресурсам компании и предотвращать несанкционированное проникновение, в том числе атаки типа FakeBoss.
Автор – эксперт по сетевым угрозам ИБ-компании