В августе фонды «Кислород», «Старость в радость» и фонд Константина Хабенского подверглись кибератакам.
Мошенники использовали спуфинг. В контексте сетевой безопасности spoofing attack (англ. spoofing — подмена) — это ситуация, в которой человек или программа фальсифицирует данные, маскируется и ворует средства.
В «деле фондов» мошенники подставили ложные адреса электронной почты вместо настоящих. Они отправляли письма от лица руководителей фондов с просьбой оплатить лечение больным детям.
Перевести средства просили на личные реквизиты, чего ни одна благотворительная организация делать не должна.
Фонды обратились за помощью в Group IB, крупнейшую российскую компанию в области кибербезопасности. Специалистам компании удалось остановить атаку, но с 5 по 6 августа злоумышленники зарегистрировали еще семь доменов, которые копируют электронные адреса других фондов. В числе этих благотворительных организаций оказались фонды «Алеша» и «Подари жизнь».
В данный момент эти домены неактивны и находятся на мониторинге у Group IB.
«Мы работаем в этой сфере давно, поэтому на такие случаи реагируем спокойно»
Майя Сонина, директор БФ «Кислород»
Была атака, но не на сайт, а на почту фонда. На нашу почту написали, изменив одну букву в моем личном адресе. От моего имени, от имени директора, написали примерно следующее:
«Переводите все собранные средства на такого-то ребенка по таким-то реквизитам»
Реквизиты якобы родителей оказались подставными. Мы сразу поняли, что работают мошенники, потому что девочка — сирота, и реквизитов «родителей» попросту не может быть.
Подобные письма были отправлены не только нам, но и другим благотворительным фондам тоже. Коллеги, как и мы, подверглись кибератаке, но быстро все решили: поменяли пароли.
После этого случая мы не обращались в правоохранительные органы. У нас нет ресурсов на это.
Очевидно, что мошенникам не удалось изъять никаких средств. Мы работаем в этой сфере давно, поэтому на такие случаи реагируем спокойно (с).
Пресс-служба фонда Хабенского
Некоторое время назад рабочая почта директора фонда Хабенского Алены Мешковой и некоторых других сотрудников, которые занимают управляющие должности, была взломана мошенниками.
«Мы сразу обратились за помощью к нашим партнерам по кибербезопасности Group IB. Предоставили им все данные, в том числе письма, которые нам отправляли мошенники с почты наших сотрудников.
Насколько мы поняли, злоумышленники пытались заполучить средства, отправляя письма с просьбой перевести денежные средства на их личные счета.
Group IB удалось успешно устранить все потенциальные и уже осуществленные атаки корпоративной почты фонда. Только после этого мы смогли продолжить нормальную работу».
Как выяснилось позже, злоумышленники подделали технический заголовок, чтобы сотрудники фонда думали, что получили письмо от директора. В поле для обратного адреса преступники указали поддельный домен (bfhk[.]ru), замаскированный под официальный (bfkh[.]ru), принадлежащий фонду Хабенского (с).
«Важно всегда быть настороже»
Аналитик информационной безопасности Digital Security Александр Багов
На благотворительный фонд Константина Хабенского была предпринята кибератака с использованием фишинга (от англ. fishing — рыбная ловля: противоправное действие, совершаемое с целью заставить поделиться конфиденциальной информацией, например, паролем или номером кредитной карты).
Рабочие почты директора Фонда и некоторых его сотрудников были взломаны мошенниками.
Злоумышленники пытались заполучить средства, отправляя поддельные письма от лица руководителей благотворительных фондов их коллегам, например из финансового отдела, с просьбой срочно оплатить лечение подопечного.
Сейчас вообще наблюдается всплеск фишинга.
Атака мошенников происходит в несколько этапов:
1. Сбор информации об объекте.
2. Подготовка сценария действий и необходимых средств атаки (фишинговые ресурсы, вредоносные вложения и другое).
3. Установление связей и завоевание доверия жертвы.
4. Достижение цели (получение необходимой информации).
Злоумышленники активно воздействуют на эмоции человека. Для правдоподобия атакующий создает имейл-адрес, подобный адресу самой организации, с едва заметным различием: например, он меняет в ссылке одну неприметную букву или доменную зону.
Любой сотрудник благотворительной организации может в ответственный момент потерять бдительность и, как следствие, стать жертвой хакера. Злоумышленник получает доступ к конфиденциальной информации, что приводит к утечке данных и другим негативным последствиям.
Чтобы обезопасить компанию, необходимо рассказать сотрудникам о возможных угрозах и безопасных алгоритмах действий. Важно всегда быть настороже. В случае, если сотруднику пришло письмо с подозрительным вложением и/или ссылкой, лучше лишний раз позвонить коллеге и убедиться в его подлинности.
Сложные пароли и двухфакторная аутентификация
В открытом доступе опубликовано множество материалов с рекомендациями, где сказано о важности использования сложных паролей и обеспечения надежных способов их хранения. Чтобы усложнить работу атакующего, организациям стоит внедрить технологию двухфакторной аутентификации, если этот механизм еще не настроен (с).
Повысить осведомленность в вопросах ИБ среди пользователей поможет материал, написанный ИБ-специалистами Digital Security с простыми, но критичными для безопасности правилами — гид по безопасности электронной почты.
С переходом россиян на удаленку количество кибератак на рабочие компьютеры достигло 100 тыс. в день. По количеству таких атак с подбором пароля Россия заняла первое место. После нее в рейтинге Германия, Япония, Бразилия и Венгрия.
