Получите наше ПО бесплатно на целый месяц
⚠️ Внимание: обнаружена уязвимость!
И эта уязвимость - неосведомленность. Если вы пропустите Конференцию StopPhish 2026, ваша система защиты останется без важнейшего обновления.
8 октября в Москве соберутся все ведущие ИБ-эксперты страны. Быть здесь - мастхэв для индустрии.
Успейте занять место на главном ИБ-событии осени, пока открыта предрегистрация.
8 октября в Москве соберутся все ведущие ИБ-эксперты страны. Быть здесь - мастхэв для индустрии.
Успейте занять место на главном ИБ-событии осени, пока открыта предрегистрация.
Когда пишет ИБ-директор: как мошенники атакуют интеграторов через поддельные аккаунты
Новая цель злоумышленников – профессиональные связи
Одному из российских интеграторов недавно пришло сообщение в Telegram якобы от известного специалиста по информационной безопасности. В переписке содержалась ссылка на документ в корпоративном хранилище и пояснение, что для доступа потребуется авторизация через Telegram.
На первый взгляд ситуация выглядела привычно. Обсуждение проекта, обмен документами, рабочая коммуникация между участниками рынка. Однако аккаунт оказался поддельным. Фотография была взята из открытого профиля в LinkedIn, а ссылка вела на ресурс, предназначенный для компрометации учетной записи получателя.
Подобные атаки становятся все более распространенными. Их цель связана не с массовой рассылкой фишинга, а с эксплуатацией доверительных отношений внутри профессионального сообщества. Злоумышленники внимательно изучают связи между участниками рынка и используют реальные рабочие процессы в качестве инструмента для проникновения в организации. В зоне риска находятся интеграторы, ИБ-директора, сотрудники SOC, представители вендоров и подрядчики.
На первый взгляд ситуация выглядела привычно. Обсуждение проекта, обмен документами, рабочая коммуникация между участниками рынка. Однако аккаунт оказался поддельным. Фотография была взята из открытого профиля в LinkedIn, а ссылка вела на ресурс, предназначенный для компрометации учетной записи получателя.
Подобные атаки становятся все более распространенными. Их цель связана не с массовой рассылкой фишинга, а с эксплуатацией доверительных отношений внутри профессионального сообщества. Злоумышленники внимательно изучают связи между участниками рынка и используют реальные рабочие процессы в качестве инструмента для проникновения в организации. В зоне риска находятся интеграторы, ИБ-директора, сотрудники SOC, представители вендоров и подрядчики.
Почему интеграторы стали удобной целью
для атакующих
для атакующих
Интегратор взаимодействует одновременно с несколькими категориями контрагентов:
– заказчиками;
– вендорами;
– подрядчиками;
– регуляторами;
– сервисными партнерами.
Через одну компанию могут проходить десятки проектов и сотни контактов. Большой объем переписки снижает уровень настороженности сотрудников. Получение документов, технических заданий, запросов на коммерческие предложения и архитектурных схем является частью ежедневной работы. Именно поэтому злоумышленники часто атакуют не конечную цель напрямую, а выбирают участников цепочки доверия.
На практике наиболее часто атакуют через доверие между:
ИБ-директором ↔ интегратором;
вендором ↔ партнером;
ИБ-директором ↔ подрядчиком;
руководителем проекта ↔ поставщиком;
сотрудником SOC ↔ заказчиком.
По сути, речь идет о B2B Social Engineering. Такие атаки тщательно планируются и строятся вокруг реальных деловых коммуникаций.
Анализ инцидентов показывает, что злоумышленники используют ограниченный набор проверенных легенд, адаптируя их под конкретную компанию или проект. Ниже рассмотрим наиболее распространенные сценарии атак, с которыми могут столкнуться интеграторы, партнеры и службы информационной безопасности.
– заказчиками;
– вендорами;
– подрядчиками;
– регуляторами;
– сервисными партнерами.
Через одну компанию могут проходить десятки проектов и сотни контактов. Большой объем переписки снижает уровень настороженности сотрудников. Получение документов, технических заданий, запросов на коммерческие предложения и архитектурных схем является частью ежедневной работы. Именно поэтому злоумышленники часто атакуют не конечную цель напрямую, а выбирают участников цепочки доверия.
На практике наиболее часто атакуют через доверие между:
ИБ-директором ↔ интегратором;
вендором ↔ партнером;
ИБ-директором ↔ подрядчиком;
руководителем проекта ↔ поставщиком;
сотрудником SOC ↔ заказчиком.
По сути, речь идет о B2B Social Engineering. Такие атаки тщательно планируются и строятся вокруг реальных деловых коммуникаций.
Анализ инцидентов показывает, что злоумышленники используют ограниченный набор проверенных легенд, адаптируя их под конкретную компанию или проект. Ниже рассмотрим наиболее распространенные сценарии атак, с которыми могут столкнуться интеграторы, партнеры и службы информационной безопасности.
Сценарий № 1. Поддельный профиль CISO
Схема существует уже несколько лет, но по-прежнему регулярно используется против интеграторов, подрядчиков и поставщиков ИТ-услуг.
Атака начинается со сбора информации о человеке, чьим именем будут пользоваться злоумышленники. Обычно выбирают известных представителей отрасли: CISO крупного банка, руководителя службы информационной безопасности государственной компании, директора по ИБ промышленного холдинга или сотрудника профильного регулятора.
Фотографии, сведения о должности, местах работы и профессиональных контактах берутся из открытых источников: LinkedIn, Telegram, корпоративных сайтов, материалов конференций и публикаций в СМИ.
После этого создается фальшивый аккаунт. Внешне он максимально похож на профиль реального человека. Используется та же фотография, похожее имя и описание должности. Иногда отличается всего одна буква в имени пользователя или названии аккаунта.
Следующий этап – установление контактов. Злоумышленники добавляют в друзья интеграторов, подрядчиков, представителей вендоров и сотрудников компаний, которые потенциально могут взаимодействовать с человеком, от имени которого ведется переписка.
Как правило, первые сообщения не содержат ссылок или вложений. Общение начинается с нейтральных вопросов о проектах, рынке, отраслевых мероприятиях или возможном сотрудничестве. Это помогает сформировать доверие и убедиться, что собеседник готов продолжать диалог.
Через некоторое время в переписке появляется рабочий повод – просьба посмотреть «документ», «тендер», «архитектуру проекта», «результаты аудита» и др. Вместе с сообщением отправляется ссылка на файл, облачное хранилище или портал для совместной работы с документами.
После перехода пользователя могут попросить авторизоваться через Telegram, Microsoft 365, Google Workspace или другой корпоративный сервис. Если жертва вводит учетные данные или подтверждает вход, злоумышленники получают доступ к аккаунту.
Подобные схемы неоднократно фиксировались в LinkedIn. В ряде случаев злоумышленники месяцами поддерживали активность поддельных профилей руководителей служб информационной безопасности крупных компаний, используя их для установления контактов с поставщиками и подрядчиками.
Атака начинается со сбора информации о человеке, чьим именем будут пользоваться злоумышленники. Обычно выбирают известных представителей отрасли: CISO крупного банка, руководителя службы информационной безопасности государственной компании, директора по ИБ промышленного холдинга или сотрудника профильного регулятора.
Фотографии, сведения о должности, местах работы и профессиональных контактах берутся из открытых источников: LinkedIn, Telegram, корпоративных сайтов, материалов конференций и публикаций в СМИ.
После этого создается фальшивый аккаунт. Внешне он максимально похож на профиль реального человека. Используется та же фотография, похожее имя и описание должности. Иногда отличается всего одна буква в имени пользователя или названии аккаунта.
Следующий этап – установление контактов. Злоумышленники добавляют в друзья интеграторов, подрядчиков, представителей вендоров и сотрудников компаний, которые потенциально могут взаимодействовать с человеком, от имени которого ведется переписка.
Как правило, первые сообщения не содержат ссылок или вложений. Общение начинается с нейтральных вопросов о проектах, рынке, отраслевых мероприятиях или возможном сотрудничестве. Это помогает сформировать доверие и убедиться, что собеседник готов продолжать диалог.
Через некоторое время в переписке появляется рабочий повод – просьба посмотреть «документ», «тендер», «архитектуру проекта», «результаты аудита» и др. Вместе с сообщением отправляется ссылка на файл, облачное хранилище или портал для совместной работы с документами.
После перехода пользователя могут попросить авторизоваться через Telegram, Microsoft 365, Google Workspace или другой корпоративный сервис. Если жертва вводит учетные данные или подтверждает вход, злоумышленники получают доступ к аккаунту.
Подобные схемы неоднократно фиксировались в LinkedIn. В ряде случаев злоумышленники месяцами поддерживали активность поддельных профилей руководителей служб информационной безопасности крупных компаний, используя их для установления контактов с поставщиками и подрядчиками.
Сценарий № 2. Фальшивый запрос
на коммерческое предложение
на коммерческое предложение
В последние месяцы специалисты по безопасности регулярно сталкиваются с атаками под видом запросов на проведение работ.
Типичное сообщение выглядит следующим образом:
«Добрый день! Нам нужен аудит информационной безопасности для группы компаний. Направьте КП. Подробности во вложении».
К письму или сообщению прикрепляются файлы:
– NDA.docx;
– Scope.pdf;
– Architecture.zip.
В архиве пользователя ждет вредоносная нагрузка. В зависимости от целей атакующих это может быть стилер для кражи учетных данных, RAT для удаленного управления устройством или загрузчик дополнительного вредоносного ПО.
Особенность подобных атак заключается в том, что содержание обращения полностью соответствует повседневной деятельности интегратора.
Типичное сообщение выглядит следующим образом:
«Добрый день! Нам нужен аудит информационной безопасности для группы компаний. Направьте КП. Подробности во вложении».
К письму или сообщению прикрепляются файлы:
– NDA.docx;
– Scope.pdf;
– Architecture.zip.
В архиве пользователя ждет вредоносная нагрузка. В зависимости от целей атакующих это может быть стилер для кражи учетных данных, RAT для удаленного управления устройством или загрузчик дополнительного вредоносного ПО.
Особенность подобных атак заключается в том, что содержание обращения полностью соответствует повседневной деятельности интегратора.
Сценарий № 3. Поддельный ИБ-директор
клиента
клиента
Именно этот вариант наиболее похож на случай с поддельным Telegram-аккаунтом, который использовался против одного из интеграторов.
Мошенники создают профиль с фотографией реального сотрудника из LinkedIn; с похожим именем; иногда даже с похожим пользовательским именем; с указанием настоящей компании.
После установления контакта отправляется сообщение: или «Посмотрите документ», или «Согласуйте финальную версию договора», или «Архитектура размещена в корпоративном хранилище». Ссылка ведет на страницу авторизации, визуально напоминающую Microsoft 365, Google Workspace или другой сервис, используемый в компании.
Основная цель злоумышленника – захватить корпоративный аккаунт партнера. После компрометации учетной записи злоумышленники получают возможность развивать атаку дальше по цепочке взаимодействия между организациями.
Мошенники создают профиль с фотографией реального сотрудника из LinkedIn; с похожим именем; иногда даже с похожим пользовательским именем; с указанием настоящей компании.
После установления контакта отправляется сообщение: или «Посмотрите документ», или «Согласуйте финальную версию договора», или «Архитектура размещена в корпоративном хранилище». Ссылка ведет на страницу авторизации, визуально напоминающую Microsoft 365, Google Workspace или другой сервис, используемый в компании.
Основная цель злоумышленника – захватить корпоративный аккаунт партнера. После компрометации учетной записи злоумышленники получают возможность развивать атаку дальше по цепочке взаимодействия между организациями.
Сценарий № 4. Поддельный сотрудник регулятора
Еще один сценарий связан с использованием авторитета государственных структур. По оценке экспертов StopPhish, в ближайшие 12 месяцев можно ожидать роста числа атак через поддельные аккаунты представителей государственных органов и отраслевых регуляторов в России, Казахстане, Узбекистане, Армении и других странах СНГ.
Интерес злоумышленников к таким легендам объясняется высоким уровнем доверия к официальным коммуникациям и возможностью оказывать дополнительное психологическое давление на получателей сообщений.
Для создания правдоподобной легенды злоумышленники могут выдавать себя за сотрудников Банка России, Минцифры России, ГосСОПКА, национальных центров кибербезопасности, а также зарубежных регуляторов и государственных организаций, отвечающих за цифровое развитие и информационную безопасность (NCA KSA, ADGM, CBUAE и др.). Выбор конкретной организации зависит от страны, отрасли и круга контактов потенциальной жертвы.
Как правило, в переписке фигурируют запросы, связанные с выполнением нормативных требований, проведением проверок, уточнением сведений об информационной безопасности или ознакомлением с новыми рекомендациями регулятора.
Например: «Требуется уточнить информацию по выполнению требований информационной безопасности»; «Просим ознакомиться с обновленными методическими рекомендациями»; «Необходимо заполнить форму для актуализации данных организации»; «Подтвердите получение уведомления и ознакомьтесь с приложенными материалами».
Расчет строится на том, что адресат опасается проигнорировать обращение, связанное с нормативными требованиями или проверками.
Интерес злоумышленников к таким легендам объясняется высоким уровнем доверия к официальным коммуникациям и возможностью оказывать дополнительное психологическое давление на получателей сообщений.
Для создания правдоподобной легенды злоумышленники могут выдавать себя за сотрудников Банка России, Минцифры России, ГосСОПКА, национальных центров кибербезопасности, а также зарубежных регуляторов и государственных организаций, отвечающих за цифровое развитие и информационную безопасность (NCA KSA, ADGM, CBUAE и др.). Выбор конкретной организации зависит от страны, отрасли и круга контактов потенциальной жертвы.
Как правило, в переписке фигурируют запросы, связанные с выполнением нормативных требований, проведением проверок, уточнением сведений об информационной безопасности или ознакомлением с новыми рекомендациями регулятора.
Например: «Требуется уточнить информацию по выполнению требований информационной безопасности»; «Просим ознакомиться с обновленными методическими рекомендациями»; «Необходимо заполнить форму для актуализации данных организации»; «Подтвердите получение уведомления и ознакомьтесь с приложенными материалами».
Расчет строится на том, что адресат опасается проигнорировать обращение, связанное с нормативными требованиями или проверками.
Сценарий № 5. Поддельный сотрудник вендора
Для повышения доверия злоумышленники часто выдают себя за сотрудников известных производителей решений в области информационной безопасности и ИТ.
В переписке могут фигурировать представители Check Point, CrowdStrike, Microsoft, Palo Alto Networks, Cisco и других крупных вендоров, чьи продукты широко используются в корпоративном секторе.
В качестве предлога для контакта чаще всего используются вопросы безопасности и лицензирования. Получателю сообщают об обнаруженной уязвимости, необходимости срочного обновления, предоставлении NFR-лицензии или изменениях в партнерской программе. Далее следует ссылка на поддельный портал, страницу авторизации или вредоносный файл, замаскированный под техническую документацию. После перехода по ссылке жертва попадает на фишинговый ресурс либо загружает вредоносный файл.
В переписке могут фигурировать представители Check Point, CrowdStrike, Microsoft, Palo Alto Networks, Cisco и других крупных вендоров, чьи продукты широко используются в корпоративном секторе.
В качестве предлога для контакта чаще всего используются вопросы безопасности и лицензирования. Получателю сообщают об обнаруженной уязвимости, необходимости срочного обновления, предоставлении NFR-лицензии или изменениях в партнерской программе. Далее следует ссылка на поддельный портал, страницу авторизации или вредоносный файл, замаскированный под техническую документацию. После перехода по ссылке жертва попадает на фишинговый ресурс либо загружает вредоносный файл.
Как развивалась атака
в рассматриваемом кейсе
в рассматриваемом кейсе
Если реконструировать действия злоумышленников, вероятная цепочка выглядит следующим образом:
1. Из LinkedIn взяли фотографию специалиста по информационной безопасности.
2. Создали поддельный аккаунт в Telegram.
3. Собрали список интеграторов и подрядчиков, взаимодействующих с этим человеком.
4. От имени специалиста начали рассылать сообщения.
5. Получателям направлялись ссылки на документ с авторизацией через Telegram.
6. Конечная цель – компрометация цепочки доверия между ИБ-директором и интегратором.
Данный кейс демонстрирует характерный пример целевой социальной инженерии против профессионального сообщества. Атакующие не действуют наугад: они заранее изучают участников рынка, их партнерские связи и особенности взаимодействия между компаниями, после чего маскируют вредоносную активность под обычную рабочую коммуникацию. Именно поэтому такие атаки представляют особую опасность для интеграторов, подрядчиков и компаний, работающих в сфере информационной безопасности.
1. Из LinkedIn взяли фотографию специалиста по информационной безопасности.
2. Создали поддельный аккаунт в Telegram.
3. Собрали список интеграторов и подрядчиков, взаимодействующих с этим человеком.
4. От имени специалиста начали рассылать сообщения.
5. Получателям направлялись ссылки на документ с авторизацией через Telegram.
6. Конечная цель – компрометация цепочки доверия между ИБ-директором и интегратором.
Данный кейс демонстрирует характерный пример целевой социальной инженерии против профессионального сообщества. Атакующие не действуют наугад: они заранее изучают участников рынка, их партнерские связи и особенности взаимодействия между компаниями, после чего маскируют вредоносную активность под обычную рабочую коммуникацию. Именно поэтому такие атаки представляют особую опасность для интеграторов, подрядчиков и компаний, работающих в сфере информационной безопасности.
Юрий Другач, генеральный директор StopPhish:
«Использование поддельных аккаунтов ИБ-директоров, сотрудников регуляторов и представителей вендоров позволяет злоумышленникам обходить традиционные механизмы защиты, поскольку атака строится на доверии к человеку, а не на технической уязвимости. Подобные кейсы показывают, что жертвами социальной инженерии могут становиться (и становятся) даже специалисты, профессионально занимающиеся информационной безопасностью.
В этих условиях одной только технической защиты уже недостаточно. Сотрудники должны регулярно отрабатывать навыки распознавания мошеннических схем и быть готовы к новым сценариям атак, которые постоянно меняются и усложняются.
По данным проектов StopPhish, системное обучение, регулярные тренировки и моделирование актуальных фишинговых атак позволяют снизить количество успешных переходов по мошенническим ссылкам и случаев компрометации учетных записей в среднем в 20-30 раз.
Именно поэтому постоянное повышение киберграмотности сотрудников является обязательным элементом защиты организации».
В этих условиях одной только технической защиты уже недостаточно. Сотрудники должны регулярно отрабатывать навыки распознавания мошеннических схем и быть готовы к новым сценариям атак, которые постоянно меняются и усложняются.
По данным проектов StopPhish, системное обучение, регулярные тренировки и моделирование актуальных фишинговых атак позволяют снизить количество успешных переходов по мошенническим ссылкам и случаев компрометации учетных записей в среднем в 20-30 раз.
Именно поэтому постоянное повышение киберграмотности сотрудников является обязательным элементом защиты организации».
Мы в социальных сетях