Find Trap (от англ. «найди ловушку») — это сценарий, при котором злоумышленник не присылает вам вредоносный файл или ссылку, а побуждает самостоятельно найти их в интернете.

Вам присылают приманку (некую информацию) и вы начинаете искать ее, например, в Яндексе. Во время поиска вам попадается поддельный сайт, файл или инструкция, заранее подготовленные злоумышленником. Внешне они выглядят правдоподобно и логично, потому что пользователь пришёл к ним сам.

Ключевая особенность сценария: жертва считает найденную информацию безопасной, так как она не была получена напрямую от злоумышленника.

Сценарий поискового фишинга начинается с письма, звонка или сообщения без вредоносных вложений и ссылок, но с задачей на поиск: проблема с доступом, платежом, доставкой, документом или обновлением.

Вместо прямых инструкций сотруднику предлагают разобраться самостоятельно — найти сайт, скачать шаблон или уточнить информацию в интернете. Он вводит запрос в Яндекс и видит убедительный сайт, документ или файл с нужным названием, который на самом деле заранее подготовлен злоумышленником.

Дальнейшие действия выглядят безопасно — ввод ваших учётных данных, скачивание файла, открытие какой-то инструкции — но после этого ваш пароль крадут или вы заражаете компьютер вирусом.

Почему это работает

Во-первых, отсутствует ощущение атаки: никто ничего плохого не прислал и ни к чему не принуждал.

Во-вторых, включается доверие к результатам поиска и знакомым сайтам.

Поэтому сотрудники часто не применяют стандартные меры осторожности, которые они применили бы к письму или вложению.

ПРИМЕРЫ АТАК

Фальшивые сайты обновлений и инструментов
Массово фиксировались атаки, при которых сотрудников подталкивали искать «обновление для VPN», «программа для видеоконференций». В результатах поиска в Яндексе и рекламе появлялись поддельные сайты, визуально неотличимые от оригиналов. Загрузка «обновления» приводила к установке вредоносных программ и взлому корпоративных устройств.

Атаки через поддельные порталы документооборота
Сотрудникам сообщали о проблеме с документом или подписью, не прикладывая ссылку. При самостоятельном поиске они находили поддельные копии популярных сервисов и вводили свои пароли на них.

Кампании с фальшивыми инструкциями и шаблонами
Жертвам предлагали самостоятельно найти шаблон договора, форму заявления или инструкцию. В результатах поиска появлялись поддельные файлы с вредоносным кодом, размещённые на внешне легитимных площадках.

К чему приводит нарушение этих правил

Использование непроверенных внешних ресурсов для рабочих задач может привести к краже паролей, заражению устройства и доступу злоумышленника к корпоративным системам.

В таких сценариях инцидент начинается с одного запроса в поисковой системе, а последствия затрагивают всю компанию.

Роль ИБ-подразделения

ИБ-служба помогает проверить источники, обновления, файлы и сервисы, используемые в работе.

Обращение к ИБ в ситуации сомнений — это нормальная практика, а не признак ошибки или некомпетентности.

Чем раньше источник будет проверен, тем ниже риск инцидента для сотрудника и компании.

Помните правило, которое помогает защититься в большинстве мошеннических сценариев: если от вас требуют какое-то действие -- включайте критическое мышление.

Сразу проверяйте, кто с вами связался и как убедиться, что вам говорят правду.