ИБ-аналитики из компании Agari сообщают о росте числа кибератак, нацеленных на кражу заработной платы сотрудников государственных и частных компаний. Злоумышленники применяют спуфинг email-адресов и методы социальной инженерии, чтобы убедить HR-специалистов изменить платежные реквизиты работника.

Злоумышленники используют один из вариантов BEC-атаки и отправляют в кадровую службу запрос от имени сотрудника компании. В письме мошенники сообщают о смене реквизитов для перевода заработной платы и просят обновить эти сведения в бухгалтерских реестрах организации. Если HR-специалист требует для подтверждения аннулированный чек или письмо на бланке нового банка, киберпреступники ссылаются на недоступность этих сведений, однако предоставляют номер счета и другую информацию, необходимую для получения платежа.

Иногда атакующие предварительно получают данные действительного банковского аккаунта сотрудника, например под предлогом проверки кредитоспособности. Мошенники просят жертву переслать им копию удостоверения личности и последние две страницы отчета о поступлениях. Из этих документов злоумышленники узнают название банка и другие реквизиты работника. В дальнейшем они оперируют этими сведениями в переписке с кадровой службой для придания убедительности просьбе о смене аккаунта.

Как утверждают исследователи, последствия такой атаки могут оставаться незамеченными в течение нескольких недель и даже месяцев — в зависимости от того, как часто сотрудник проверяет свой банковский счет. Для предотвращения подобных инцидентов эксперты рекомендуют ввести практику двухфакторной аутентификации для подобных запросов, а также выполнять дополнительную проверку их легитимности при помощи телефонного звонка или личного обращения.

Атаки, направленные на похищение зарплаты сотрудника — относительно новое явление, поскольку обычно целью BEC-мошенников являются переводы между организациями. На них сосредоточила силы криминальная группировка London Blue, атаковавшая компании по всему миру. Злоумышленники использовали собственную базу контактов финансовых директоров и других ответственных лиц для отправки писем с просьбами о платеже в адрес одного из партнеров жертвы. По словам ИБ-специалистов, в адресном списке киберпреступников находилось более 50 тыс. записей.

Категории: Мошенничество, Спам