Telegram Boss: почему мессенджер стал площадкой для фишинговых атак в России
Эксперты Angara Security проанализировали предпосылки для роста фишинга в адрес сотрудников российских компаний в 2023 году и почему мошенники выбрали именно этот мессенджер.
Так, в прошлом году в на 39% увеличилось число запросов на покупку аккаунтов в Telegram, которые далее с высокой долей вероятности используются для атак от имени политических деятелей и персон, которые имеют авторитет для собеседника. В этом мессенджере можно подделать фамилию и имя, поставить фото доверенного собеседника.
Злоумышленники рассылают сообщения с просьбой «срочно перевести деньги на счёт N или криптокошелёк», предупреждают «о звонке чиновника высокого ранга», требуют предоставить конфиденциальную информацию.
Злоумышленники работают последовательно по отдельным отраслям: государственные организации, IT-компании, предприятия ВПК, ритейл и другим. Очевидно, что для проработки тактики используются доступные в сети отраслевые базы данных.
В 2023 году в Telegram на 19% вырос спрос на базы данных, которые содержат персональные данные (email и телефоны) пользователей банковских и медицинских услуг, паспортные данные граждан. Ряд запросов содержит требования к более глубокой детализации, например, город проживания, ФИО, номер телефона, информация о заболеваниях, число проживающих в одном доме или квартире.
При этом объём предложения баз данных также вырос — на 29%, что коррелирует с данными Роскомнадзора. В 2023 году ведомство зафиксировало 168 утечек персональных данных граждан РФ, которые содержат 300 миллионов записей.
В Angara Security отметили, что в российском интернет-сегменте в 2023 году больше всего пострадали от кражи персональных данных операторы связи, медицинские учреждения, госсектор. В ряде случаев утекали данные сотрудников и партнёров компаний, но чаще всего кибератаки были нацелены на хищение данных клиентов.
«Если в 2022 году публичные утечки и похищенные базы данных распространялись на специализированных теневых форумах, то в 2023 одной из самых „востребованных“ площадок стал Telegram. Скорее всего, эта тенденция сохранится в 2024 году», — Виктория Варламова, старший эксперт по защите бренда Angara Security.
Какие цели преследуют злоумышленники?
В первую очередь финансовые: например, перевод денег на отдельный счёт «срочно, полмиллиона для оплаты штрафа на такой-то счёт». На втором месте сообщения из серии «у вас произошла утечка данных», которые рискуют стать трендом 2024 года, если будет принят законопроект об оборотных штрафах, отмечают эксперты Angara Security. Цель таких сообщений — это снижение доверия к компании, а также сбор дополнительной информации от собеседников компании. На самом деле утечек может не быть, преступники намеренно нагнетают ситуацию.
На третьем — сообщения, которые могут принести репутационные потери в результате общения с пранкерами и другими преступниками, использующими технологии deep fake, подмену голоса для атак на сотрудников компаний и другие механики.
«Бороться с этим явлением довольно сложно. Техническая поддержка Telegram не всегда быстро блокирует подозрительных пользователей, поэтому стоит аккуратно начинать новые диалоги. Мошенники — это всегда призыв к какому-то действию, спешка и запугивание. Если вас просят быстро, срочно что-то сделать, стоит взять паузу. В случае, если у вас есть номер телефона человека, который вам пишет, лучше уточнить, а он ли вам пишет», — Виктория Варламова.
Среди рабочих инструментов для борьбы с этим явлением эксперт отмечает регулярные OSINT-исследования, чтобы оценивать, какие данные о сотрудниках и партнерах можно собирать в открытых источниках, и своевременно закрывать доступ или корректировать упоминания.
Например, злоумышленники могут использовать базы данных массовых сервисов сфере подбора персонала, маркетинга, рекламы, исследований рынка, службы доставки, корпоративных библиотек, внешних образовательных платформ, корпоративных программ лояльности, цифровых платформ медицинских услуг, которые предоставляются в рамках ДМС, базы данных организаторов отраслевых мероприятий и прочее. Риски с точки зрения парсинга данных также представляют профессиональные сообщества, например, LinkedIn, Habr, профильные группы в социальных сетях, отраслевые телеграм-чаты и группы.
Для авторизации на этих ресурсах зачастую необходимо указывать корпоративный email, имя, фамилию и должность. В случае утечки такого типа данных, преступники получают доступ к массиву информации, который далее можно обогащать и использовать для фишинговых атак, в том числе от лица «топ-менеджмента» и прочее.
Перевод коммуникаций в официальные каналы — электронную почту или корпоративный мессенджер — может снизить вероятность фишинговой атаки, но для этого необходимо обучить сотрудников основам киберграмотности и периодически проводить проверки, моделируя реальные ситуации.
Присылайте свои комментарии к ситуации на digital-рынке (короткие или развёрнутые, во втором случае сделаем вам полноценную колонку в статейной ленте Коссы):
Email: 42@cossa.ru
Телеграм: @cossawer
VK: vk.com/cossa
IT-конференция МТС True Tech Day 17 мая
Что будет:
- 5 тематических треков: Main, Development, AI/ML, Cloud, Science;
- 50 спикеров с докладами про архитектуру, облачные платформы, NLP4Code, вероятностное программирование, безопасность контейнеров и другое;
- 10 часов нетворкинга;
- Цифровые зоны и digital-интеграции;
- А ещё вечеринка со звездой.
Реклама. ПАО «МТС». ИНН 7740000076. ОГРН 1027700149124
