Мошенники рассылают вредоносные письма бухгалтерам

МОСКВА, 18 июн - РИА Новости.

В последние годы кибермошенники все чаще используют сложные схемы обмана, нацеленные на сотрудников финансовых служб и бухгалтерий, поскольку именно через их рабочие компьютеры можно получить доступ к корпоративным платежам и важным данным. Специалисты по информационной безопасности отмечают, что такие атаки становятся более изощренными и опасными для бизнеса, особенно когда злоумышленники маскируют свои действия под обычную деловую переписку.

Как сообщили РИА Новости в компании-разработчике F6, мошенники заражают компьютеры бухгалтеров с помощью вредоносных писем, после чего получают возможность выводить деньги на счета подставных лиц. Эти счета киберпреступники используют в качестве транзитных для дальнейшего обналичивания и сокрытия похищенных средств. Такая схема позволяет злоумышленникам быстрее запутывать следы и усложняет расследование.

"Киберпреступная группировка Hive0117 действует с конца 2021 года. С начала 2026 года злоумышленники атаковали более 3 тысяч организаций из разных отраслей: с помощью вредоносных писем заражали компьютеры бухгалтеров и выводили деньги на счета дропов, в том числе под видом перечисления зарплаты", - говорится в сообщении компании. По словам экспертов, подобные атаки особенно опасны тем, что злоумышленники тщательно подбирают формулировки писем и используют темы, связанные с кадровыми и финансовыми вопросами, чтобы повысить вероятность открытия вложений или перехода по вредоносной ссылке.

В F6 напоминают, что организациям важно усиливать контроль за электронной перепиской, регулярно обучать сотрудников правилам кибербезопасности и проверять подозрительные платежные поручения дополнительными способами. Только комплексный подход к защите способен снизить риск подобных атак и предотвратить финансовые потери.

В последние месяцы специалисты по кибербезопасности отмечают рост числа атак, в которых злоумышленники тщательно маскируются под реальные компании, сервисы и деловых партнеров. Для проведения рассылок они создают собственную инфраструктуру, включая домены для отправки писем и управления вредоносной активностью, при этом нередко повторно используют уже засвеченные домены и шаблоны, чтобы ускорить подготовку кампаний и усложнить их отслеживание. Такие письма выглядят максимально правдоподобно и визуально почти не отличаются от обычной рабочей переписки.

После подготовки инфраструктуры преступники направляют вредоносные сообщения под видом стандартной деловой корреспонденции, делая ставку на невнимательность сотрудников и доверие к привычному формату общения. Чаще всего в качестве тем для писем используются знакомые и вызывающие интерес формулировки: «Документы», «Счет на оплату», «Накладная», «Акт сверки», «Задолженность по оплате». Подобные заголовки подталкивают получателя как можно быстрее открыть вложение, не вызывая подозрений на первом этапе.

Особую опасность представляет то, что вредоносный файл скрывается внутри архива и оформляется как обычный документ, с которым бухгалтеры и офисные сотрудники сталкиваются ежедневно. Чтобы снизить вероятность обнаружения фильтрами почтовых сервисов и антивирусными решениями, злоумышленники часто указывают пароль к архиву прямо в тексте письма, создавая иллюзию стандартной процедуры защиты конфиденциальных файлов. В результате сообщение выглядит как типичный рабочий обмен документами и не вызывает немедленного подозрения.

Если пользователь открывает такой архив и запускает вложенный файл, на устройство незаметно устанавливается троян удаленного доступа. После этого злоумышленники могут получить контроль над системой, перехватывать данные, наблюдать за действиями пользователя и использовать зараженное устройство для дальнейшего проникновения в корпоративную сеть. Именно поэтому специалисты рекомендуют внимательно проверять отправителя, не открывать подозрительные вложения и обязательно перепроверять любые запросы, связанные с документами, счетами и финансовыми операциями.

Сегодня подобные атаки представляют особую опасность, поскольку нередко остаются незамеченными до момента серьезных последствий. В итоге злоумышленникам могут стать доступны сохраненные в браузере пароли, активные сессии, а также другие важные пользовательские данные. Бухгалтер, продолжая работать за компьютером, зачастую даже не подозревает, что в это же время вредоносные действия уже выполняются в фоне. Такие схемы особенно коварны тем, что позволяют преступникам незаметно получать доступ к корпоративной информации и учетным записям.

По данным F6, порядка 400 кибератак на российские компании завершились успехом, а средний размер ущерба вырос до 10 миллионов рублей. Это свидетельствует о том, что злоумышленники не только совершенствуют свои инструменты, но и все чаще нацеливаются на наиболее чувствительные участки корпоративной инфраструктуры. В результате даже одна успешная атака может привести к серьезным финансовым потерям, остановке рабочих процессов и утечке конфиденциальных сведений.

Для данной группировки характерны выраженные всплески активности: после массовых рассылок, как правило, наступает период затишья, который иногда продолжается несколько месяцев. Такая тактика помогает им снижать риск обнаружения и выстраивать новые волны атак более избирательно. Эксперты отмечают, что подобный подход делает угрозу особенно сложной для своевременного выявления и требует от компаний постоянного контроля за безопасностью, внимательного обучения сотрудников и регулярного обновления средств защиты.

Пик массовых рассылок вредоносных писем пришелся на февраль и март, после чего их число стало заметно снижаться и в итоге уменьшилось в десятки раз. По словам специалистов, в отдельных случаях такие письма отправлялись уже от имени ранее скомпрометированной организации и распространялись по ее контрагентам, что существенно повышало вероятность успешного завершения атаки для злоумышленников. Подобные схемы особенно опасны, поскольку вызывают больше доверия у получателей и позволяют преступникам эффективнее маскировать вредоносную активность.

Кроме того, аналитики F6 обращают внимание на то, что подобные рассылки нередко нацелены на сотрудников бухгалтерии и финансовых подразделений, поскольку именно они чаще работают с документами, счетами и служебной перепиской. В связи с этим эксперты рекомендуют не открывать без предварительной проверки вложения и файлы, полученные от неизвестных отправителей, даже если письмо выглядит правдоподобно. Также при появлении любых признаков подозрительной активности на компьютере следует немедленно изолировать устройство от внешней сети, чтобы снизить риск распространения угрозы и предотвратить возможную утечку данных.

Источник и фото - ria.ru