Как собирают данные? В первую очередь, их добывают из открытых источников, начиная со списка сотрудников на сайте компании. Много информации приносят социальные сети: по связям между аккаунтами сотрудников в LinkedIn можно без проблем воссоздать внутреннюю организационную структуру, понять, кто кому подчиняется.
Следующий уровень — различные виды атак типа Business E-mail Compromise. Любопытный пример атаки начинается с реального поста сотрудника в соцсети о том, что он находится в отпуске. Далее злоумышленники от его имени связываются с бухгалтерией и просят сменить банковские реквизиты для перевода зарплаты. Невозможность связаться по телефону для подтверждения запроса объясняется пребыванием в другой стране.
Выше уровнем по сложности располагаются атаки с использованием утекшей в Сеть корпоративной информации. Например, внутренние документы компании могут оказаться в открытом доступе в облачной системе. Даже если они сами по себе не позволяют украсть средства, информацию можно использовать для социального инжиниринга.
Самый необычный пример «почтовой» атаки в обзоре — использование трекингового пикселя. Работает это так: сотрудник компании из высшего менеджмента получает вроде бы бессмысленные электронные сообщения, иногда маскирующиеся под тестовую рассылку. Просматривает и удаляет их, но вставленное в тело письма трекинговое изображение передает злоумышленникам массу данных: IP, с которого происходит подключение, а также примерные часы работы сотрудника. Используя эти данные, можно повысить достоверность мошеннических сообщений, требующих «срочно связаться с внешним консультантом» или «немедленно перевести средства на определенный банковский счет».
Фишинг в сводке разделен на две категории: обычный и телефонный. С обычным все понятно, пример приведен выше. В таких сообщениях, как правило, пользователя просят пройти по ссылке и ввести пароль от корпоративного сервиса. Пример голосового фишинга: присылаем сотруднику e-mail с сообщением якобы о блокировке аккаунта. Через некоторое время поступает телефонный звонок якобы от сотрудника техподдержки на ту же тему. В качестве успешного примера мимикрии под саппорт приводится
Заключительная часть обзора описывает совсем уж нестандартные типы корпоративного доксинга. Например, взлом учетной записи в соцсети конкретного сотрудника, без атак на корпоративную инфраструктуру. Если сотрудник высокопоставленный, заявления от его имени в частном аккаунте могут повлиять на курс акций компании и принести прибыль атакующим. Наконец, будущее корпоративного мошенничества — синтез голоса высших менеджеров компании для кражи средств, нанесения ущерба репутации и прочего. Единичные успешные атаки получили развитие в соцсети Clubhouse, где неоднократно были замечены фейковые голосовые трансляции от лица известных персон.
Что еще произошло
Уязвимость в Microsoft Exchange закрывают невероятно быстрыми темпами. В отчете Microsoft за 22 марта
Выпущенное 26 марта обновление iOS, iPadOS и watchOS
Проведенный организацией CitizenLab анализ исходного кода приложения TikTok
Издание ZDNet