Telegram Boss: почему мессенджер стал площадкой для фишинговых атак в России

Фото MikhailNilov/pexels.com
Эксперты Angara Security проанализировали предпосылки для роста фишинга в адрес сотрудников российских компаний в 2023 году и почему мошенники выбрали именно этот мессенджер.

Так, в прошлом году в на 39% увеличилось число запросов на покупку аккаунтов в Telegram, которые далее с высокой долей вероятности используются для атак от имени политических деятелей и персон, которые имеют авторитет для собеседника. В этом мессенджере можно подделать фамилию и имя, поставить фото доверенного собеседника.

Злоумышленники рассылают сообщения с просьбой «срочно перевести деньги на счет N или криптокошелек», предупреждают «о звонке чиновника высокого ранга», требуют предоставить конфиденциальную информацию.

Злоумышленники работают последовательно по отдельным отраслям: государственные организации, IT-компании, предприятия ВПК, ритейл и др. Очевидно, что для проработки тактики используются доступные в сети отраслевые базы данных.

В 2023 году в Telegram на 19% вырос спрос на базы данных, которые содержат персональные данные (e-mail и телефоны) пользователей банковских и медицинских услуг, паспортные данные граждан. Ряд запросов содержит требования к более глубокой детализации, например, город проживания, ФИО, номер телефона, информация о заболеваниях, число проживающих в одном доме или квартире.

При этом объем предложения баз данных также вырос — на 29%, что коррелирует с данными Роскомнадзора. В 2023 году ведомство зафиксировало 168 утечек персональных данных граждан РФ, которые содержат 300 миллионов записей.

В Angara Security отметили, что в российском интернет-сегменте в 2023 году больше всего пострадали от кражи персональных данных операторы связи, медицинские учреждения, госсектор. В ряде случаев утекали данные сотрудников и партнеров компаний, но чаще всего кибератаки были нацелены на хищение данных клиентов.

«Если в 2022 году публичные утечки и похищенные базы данных распространялись на специализированных теневых форумах, то в 2023 одной из самых «востребованных» площадок стал Telegram. Скорее всего эта тенденция сохранится в 2024 году», — подчеркивает Виктория Варламова, старший эксперт по защите бренда Angara Security.

Какие цели преследуют злоумышленники?

В первую очередь, финансовые, например, перевод денег на отдельный счет «срочно, полмиллиона для оплаты штрафа на такой-то счет». На втором месте сообщения из серии «у вас произошла утечка данных», которые рискуют стать трендом 2024 года, если будет принят законопроект об оборотных штрафах, отмечают эксперты Angara Security. Цель таких сообщений — это снижение доверия к компании, а также сбор дополнительной информации от собеседников компании. На самом деле утечек может не быть, преступники намеренно нагнетают ситуацию.

На третьем — сообщения, которые могут принести репутационные потери в результате общения с пранкерами и другими преступниками, использующими технологии deep fake, подмену голоса для атак на сотрудников компаний и другие механики.

«Бороться с этим явлением довольно сложно. Техническая поддержка Telegram не всегда быстро блокирует подозрительных пользователей, поэтому стоит аккуратно начинать новые диалоги. Мошенники — это всегда призыв к какому-то действию, спешка и запугивание. Если вас просят быстро, срочно что-то сделать, стоит взять паузу. В случае, если у вас есть номер телефона человека, который вам пишет, лучше уточнить, а он ли вам пишет», — комментирует Виктория Варламова.

Среди рабочих инструментов для борьбы с этим явлением эксперт отмечает регулярные OSINT-исследования, чтобы оценивать, какие данные о сотрудниках и партнерах можно собирать в открытых источниках, и своевременно закрывать доступ или корректировать упоминания.

Например, злоумышленники могут использовать базы данных массовых сервисов сфере подбора персонала, маркетинга, рекламы, исследований рынка, службы доставки, корпоративных библиотек, внешних образовательных платформ, корпоративных программ лояльности, цифровых платформ медицинских услуг, которые предоставляются в рамках ДМС, базы данных организаторов отраслевых мероприятий и пр. Риски с точки зрения парсинга данных также представляют профессиональные сообщества, например, LinkedIn, Habr, профильные группы в социальных сетях, отраслевые телеграм-чаты и группы.

Для авторизации на этих ресурсах зачастую необходимо указывать корпоративный e-mail, имя, фамилию и должность. В случае утечки такого типа данных, преступники получают доступ к массиву информации, который далее можно обогащать и использовать для фишинговых атак, в том числе от лица «топ-менеджмента» и пр.

Перевод коммуникаций в официальные каналы — электронную почту или корпоративный мессенджер − может снизить вероятность фишинговой атаки, но для этого необходимо обучить сотрудников основам киберграмотности и периодически проводить проверки, моделируя реальные ситуации.