Мир сошел с ума. Хакеры забрасывают взлом и уходят в обман по телефону

Хакеры перестали взламывать ПК своих жертв. Они переняли тактику у мошенников и втираются в доверие по телефону. В некоторых случаях они могут даже заявиться в офис потенциальной и ничего не подозревающей жертвы и уйти с нужной информацией. Киберпреступники начали использовать совершенно нетипичные для них тактики получения информации из информсистем своих жертв. Они стали переходить от классического взлома к социальной инженерии и обманывать их по телефону при помощи обычных звонков. Иными словами, хакеры переняли тактику мошенников, которую те годами успешно применяют против россиян. Притом в некоторых случаях им хватает всего нескольких минут, чтобы получить доступ к нужным данным. Согласно информации ИБ-компании Mandiant, специализирующейся на выявлении продвинутых киберугроз, особенно в этом преуспела группа хакеров UNC3753. За последние несколько месяцев она провела кампании против десятков американских фирм из сфер финансов и юриспруденции. Атаки при помощи социальной инженерии велись с января по май 2026 г. В некоторых случаях работники компаний, против которых велась хакерская игра, лично видели киберпреступников, хотя и не были в курсе, кто они – хакеры из UNC3753 лично наведывались к ним в офис, ничем себя не выдав. Как и в случае с подавляющим большинством других хакерских группировок современности, UNC3753 крадет данные у компаний с целью требования выкупа. Хакеры воруют юридические документы, данные о клиентах, в том числе и персональные, отчеты о финансах компаний, налоговые документы и многое другое. Как пишет SecurityLab, чаще всего хакеры начинают с отправки своей будущей жертве простого электронного письма без единой ссылки или прикрепленного документа. За счет этого письмо сразу отличается от потенциально опасных, в которых есть или ссылки, или подозрительные документы, или все сразу. В письме идет речь о какой-нибудь накладной или счете на оплату. После получения сотрудником компании этого письма хакеры звонят ему и выдают себя за работников внутренней службы поддержки. Затем под разными предлогами они подбивают собеседника подключиться к сеансу демонстрации экрана, а затем просят установить запустить ПО для удаленного доступа, софт для совместной работы или же вовсе приложения для удаленного администрирования. Те сотрудники, которые выполняли эту просьбу, в итоге предоставляли хакерам открытый доступ ко всей ИТ-инфраструктуре компании. Участники UNC3753 оказались весьма подкованными в мастерстве обмана – в ряде случаев им удавалось получить нужный им доступ всего за несколько часов с момента отправки электронного письма или совершения первого звонка. Но это далеко не рекорд. В особо удачные дни они проникали в компьютерные сети своих жертв спустя всего несколько минут после начала отработки схемы. Затем они проводят поиск нужной информации и высылают ее себе по электронной почте или через облачные сервисы. Также зафиксированы случаи, когда хакеры UNC3753 наведывались в офисы своих жертв, представляясь техническими специалистами и заявляя о необходимости проведения проверки оборудования и создания резервных копий. В эти моменты они подключали внешние накопители к компьютерам сотрудников и копировали нужную им информацию. В отличие от большинства «коллег», хакеры из UNC3753 не шифруют информацию – они лишь крадут чувствительные для компании сведения, которые не должны попасть ни в чужие руки, ни тем более в открытый доступ. Получив нужные им архивы, хакеры отправляют своей жертве письмо с требованием выкупа – как правило, оно приходит в течение 30 минут после выгрузки последнего файла. В письме хакеры объясняют сложившуюся ситуацию и предлагают начать переговоры в течение ближайших трех дней. Если ответа от жертвы нет, то киберпреступники направляют новое письмо, на этот раз с угрозами распространить информацию в интернете, а также сообщить об утечке всем, кто может пострадать от нее: клиентам, партнерам, сотрудникам и пр. UNC3753 – не единственная в мире группа хакеров, предпочитающая добывать информацию не взломом, а уговорами. По схожей схеме действуют и хакеры из группировки Pink – они звонят своим жертвам, представляются сотрудниками ИТ-службы и вынуждают собеседников вводить свои учетные данные на фиктивной странице авторизации. Об этой тактике сообщили эксперты Unit 42 – исследовательской группы и отдела реагирования на инциденты компании Palo Alto Networks. Получив требуемый доступ к инфраструктуре жертвы, хакеры из Pink быстро ищут и копируют в облака нужную информацию, а затем рассылают с учетной записи пользователя, поверившего в их выдумки и давшего свои данные для авторизации, сообщение о взломе и требовании выкупа.