Мы видим, что первым этапом является отправка специально сформированного сообщения электронной почты, которое должно быть открыто жертвой, и она должна либо пройти по ссылке в письме, либо открыть вложение с вредоносным содержимым.

По этому этапу у злоумышленника возникает ряд вопросов, ответы на которые повышают эффективность его работы:

  • Как узнать адрес жертвы?
  • Как вступить с ней в доверительные отношения?
  • Почему жертва должна прочитать письмо?
  • Почему жертва должна кликнуть по ссылке или открыть вложение?

Как узнать адрес жертвы?

Узнать адрес жертвы сегодня не так сложно. Можно купить уже готовые базы, собранные маркетинговыми агентствами или теми же злоумышленниками. Преимущество таких баз — их фокус на конкретном направлении, интересующем злоумышленника: отрасль (все банки), география (все банки Москвы), должность (все бухгалтеры московских банков). Можно реализовать эту задачу и дешевле, но дольше. Достаточно пройтись по группам в социальных сетях или тематическим форумам и посмотреть списки их участников.       

Как вступить с ней в доверительные отношения?

Чтобы ваше письмо было прочитано, ссылка нажата, а вложение открыто, вы должны быть в определенных доверительных отношениях с жертвой. Это достигается наличием «дружеских» отношений в соцсетях (многих ли своих «друзей» вы знаете лично), наличием общих друзей в тех же социальных сетях, участие в одной группе или форуме, или ссылка на общие интересы, например на участие в совместном семинаре (о котором можно узнать из профиля пользователя в соцсети или списка участников семинара, который часто публикуется его организатором для привлечения рекламодателей). Итог будет всегда один — доверие к злоумышленнику со стороны жертвы возрастает, и шанс заразить компьютер пользователя тоже.

Почему жертва должна открыть письмо и произвести с ним какие-либо действия?

Но есть и еще один вариант, часто используемый злоумышленниками и эксплуатирующий свойства человеческой психологии — любопытство или страх жертвы. Например, можно отправить пользователю письмо с «описанием вакансии», вероятность открытия которого в наше непростое с экономической точки зрения время достаточно высока. А можно отправить письмо якобы от Банка России или налоговой инспекции о проведении скорой проверки или выпуске нового разъяснения законодательства или новой отчетности. Обычно к таким письмам получатели относятся с особым пиететом и открывают не задумываясь. Особенно если в заголовке сообщения написаны правильные слова.

Электронная почта, которой мы так привыкли пользоваться, создавалась в те времена, когда о безопасности мало кто думал.

К сожалению, электронная почта, которой мы так привыкли пользоваться, создавалась в те времена, когда о безопасности мало кто думал. Поэтому злоумышленникам не составляет большого труда сформировать сообщение e-mail от имени любого пользователя и любой организации. И если раньше такие фокусы делались ради шутки, то сегодня злоумышленники взяли эти невинные забавы на вооружение. Я подготовил небольшой ролик, демонстрирующий как легко могут быть обмануты пользователи, если с ними не проводить работу по повышению осведомленности и если в организации не использовать эффективные средства защиты электронной почты.

А теперь факты. На днях в интернете была опубликована информация о троянской программе Ratopak, атакующей сотрудников шести российских банков. А началась эта вредоносная кампания в декабре прошлого года. Пока еще неустановленные злоумышленники рассылали письма якобы от Банка России с предложением о трудоустройстве (а вы бы хотели устроиться на работу в Центральный банк?). Описание вакансии находилось в приложенном запароленном архиве (пароль был указан в том же письме), который на самом деле и содержал троянского коня, скрытно следящего за действиями пользователя на компьютере. Установка пароля на архив позволяла обходить многие средства защиты, установленные в организациях. Пикантности данной истории придавал факт отправки сообщения с домена cbr.com.ru якобы Банка России (у настоящего финансового регулятора домен иной — cbr.ru). И ориентировано сообщение было на специалистов, готовящих в кредитных организациях бухгалтерскую и налоговую отчетность.

Поэтому мне хотелось бы еще раз напомнить, что безопасность организации определяется безопасностью самого слабого звена, которым чаще всего являются пользователи, не знакомые с основами кибербезопасности своих рабочих, да и домашних тоже, компьютеров. И этим активно пользуются злоумышленники, легко проникающие внутрь банковских сетей. А уж что они делают там, это тема отдельной заметки.