«Пик уже пройден»: хакеры стали реже атаковать сотрудников от лица топ-менеджеров

Привет от «шефа»

Утром 20 августа сотруднику московской IT-компании пришло необычное сообщение в Telegram. Его отправили с аккаунта под именем, фамилией и с фотографией генерального директора компании. Сообщение содержало письмо в формате PDF, в котором говорилось о внеплановой проверке силовиков. Проверка якобы касается утечки документов сотрудников и возможного вмешательства иностранных спецслужб. Получатель письма сообщил о нем своему руководству. И вскоре генеральный директор этой компании опубликовал в своих сторис скриншот аккаунта двойника с подписью: «Это фейк».

Гендиректор IT-компании, рассказавший Forbes об этой ситуации, не согласился дать официальный комментарий, так как это не касается напрямую основной деятельности. «[Такие атаки случаются с частотой] примерно раз в два-три месяца. Волнами. Мои знакомые руководители других компаний в эти же дни, как правило, сообщают об аналогичных инцидентах, — рассказывает собеседник Forbes. — Пишут всегда сотрудникам, в том числе бывшим, которые год или два как не работают». По его словам, цели атакующих ему неизвестны. «Как правило, дальше первых приветственных фраз не доходило», — добавил он.

Это не единственный случай подделки аккаунтов руководителей бизнеса в Telegram, известный Forbes. Например, в июле с этим столкнулись как минимум два сотрудника одного из федеральных СМИ. В конце июля они получили сообщения от аккаунта, имя и фамилия которого совпадали с данными генерального директора издания. «У меня важный разговор, только между нами», — гласило сообщение «гендиректора» одному из сотрудников, но тот не стал продолжать переписку. 

Эволюция обмана

О мошеннической схеме с фейковыми аккаунтами в Telegram стало известно около года назад. Так, специалисты компании F.A.C.C.T. обнаружили ее летом-осенью 2023 года, рассказал ее представитель. Эксперты назвали схему FakeBoss, поскольку мошенники действуют через фейкового руководителя в расчете на то, что подчиненный не сможет отказать начальнику и выполнит все, о чем его попросят, вспоминает представитель F.A.C.C.T.

Суть схемы FakeBoss в том, чтобы провести предварительную психологическую подготовку жертвы: усыпить ее бдительность, запугать именем крупного руководителя, который предупредит о проверке «сверху» или о звонке якобы из силовых структур, отмечает руководитель Bi.Zone Brand Protection Дмитрий Кирюшкин. С такой схемой мошенники достигают успеха значительно чаще, чем если действуют без предварительной подготовки, полагает он. 

Атака выглядит следующим образом. На первом этапе преступники создают в мессенджерах аккаунты-клоны руководителей госучреждений и предприятий и от их имени вступают в переписку с подчиненными, рассказывает представитель F.A.C.C.T. В этих аккаунтах ФИО и фото — реальные, продолжает он. Далее — от имени «фейкового руководителя» сотрудникам отправляют сообщения, что на предприятии или в организации произошел инцидент, сейчас идет разбирательство и с ними свяжется полиция или ФСБ, рассказывает собеседник в F.A.C.C.T.

Схему «обкатывали» сначала на учителях и врачах, после переключились на сотрудников российских предприятий, госкомпаний, а затем, продолжает представитель F.A.C.C.T., «стали целиться в чиновников — сотрудников администраций, финансовых учреждений». В сентябре 2023 года массовые атаки на сотрудников крупного российского бизнеса и представителей государственных организаций с использованием фейковых Telegram-аккаунтов топ-менеджеров зафиксировала и компания Bi.Zone (основана Сбербанком в 2016 году, сейчас не раскрывает собственников). 

В 2024 году этот способ мошенничества усложнился. «В этом году злоумышленники уже активно используют аудио- и видеодипфейки», — отмечает представитель F.A.C.C.T.  Еще одно нововведение эксперты заметили этим летом. В последние недели атаки стали проводиться через групповые чаты, рассказал главный эксперт «Лаборатории Касперского» Сергей Голованов. «Атакующие создают групповой чат, куда добавляют реальных сотрудников организации и несколько фейковых аккаунтов руководителей, где сообщают, что в компании проходит проверка и участникам чата стоит ожидать звонка от правоохранительных или контролирующих организаций», — говорит Голованов.

По данным пресс-службы «Сбера», в последнее время участились случаи атак, когда «руководитель» не просит прямо о совершении операции, а сообщение от него является лишь первым этапом обмана. «Жертве сообщают, что якобы в организации проводится серьезная проверка, необходимо ожидать звонка от сотрудника силовых структур (чаще ФСБ) и выполнять все его инструкции. Спустя некоторое время «уполномоченный сотрудник» связывается с жертвой и сообщает, что необходимо перевести все деньги на «безопасный счет», — рассказал представитель Сбербанка. По его словам, чтобы запугать и убедить жертву совершить необдуманные действия, ей сообщают, что якобы злоумышленники переводят деньги на счета организаций или лиц, занимающихся нелегальной деятельностью — финансированием терроризма, ВСУ, Украины.

«Пик уже пройден»

Спустя год после появления схема FakеBoss, по данным экспертов, остается популярной у злоумышленников, хотя отдельные компании заметили снижение частоты ее применения.

«В последнее время атак, построенных по схеме «звонок/сообщение от руководителя», стало несколько меньше, то есть основной пик уже пройден, — отмечает Дмитрий Кирюшкин. — Такой спад, скорее всего, связан с тем, что попытки обмана уже предпринимались от имени слишком многих руководителей и схема получила широкую огласку». Хотя Кирюшкин затруднился привести «точное число жертв», ему известно, что подобной атаке подвергались многие компании. «Сотрудникам компании Bi.Zone мошенники за последний год трижды пытались писать от имени руководства организации, но каждый раз безуспешно», — добавил он.

Схема, когда злоумышленники связываются с жертвой, используя фейковый аккаунт текущего или бывшего руководителя, остается одной из самых актуальных, отмечает Сергей Голованов. «В среднем одна группа злоумышленников атакует одну компанию в час, и сейчас активны десятки таких групп», — сообщил он. При этом злоумышленникам доверяет каждая десятая жертва, оценивают в «Лаборатории Касперского». Оценить количество таких инцидентов сейчас стало сложнее, так как мошенники начали скрывать свои аккаунты, отмечает Голованов. Они начали это делать примерно с начала лета, сообщает представитель «Лаборатории Касперского». 

Схема мошенничества сохраняет свою актуальность, отмечают в пресс-службе «Сбера», добавляя, что однозначно судить о частоте таких атак затруднительно. «Клиенты, которые распознали атаку уже в начале коммуникации с мошенниками, никуда о ней не сообщают и просто прекращают диалог. Многие просто не отвечают на звонки с неизвестных, в том числе мошеннических номеров», — отмечают в банке. При этом если мошенники смогут убедить жертву перевести деньги со счета организации, компании, а также личные средства и даже оформить кредиты, то «суммарный размер хищений по такой схеме может составлять несколько десятков миллионов рублей», полагают в «Сбере». Злоумышленники также могут убедить жертву переслать им важные корпоративные документы или раскрыть другую конфиденциальную информацию, напоминает Дмитрий Кирюшкин.

Атака мошенников сама по себе не так интересна, отмечает в разговоре с Forbes гендиректор IT-компании, ставший жертвой подделки своего аккаунта в Telegram. «Интересно другое: исходные базы персональных данных, где есть должности сотрудников. Интересно, откуда их берут? Очевидно, что мы имеем дело с системным сливом данных большого числа компаний и организаций», — рассуждает собеседник Forbes. По его словам, «необходима реально эффективная борьба» не только с утечками, но и с потребителями краденых персональных данных и, возможно, незаконным использованием данных из соцсетей и других открытых источников.