Киберпреступники все чаще используют доверие сотрудников к VPN-сервисам для проведения фишинговых атак. Притворяясь поставщиками VPN, которыми пользуются компании, они получают доступ к корпоративным сетям. По данным исследовательской группы GuidePoint (GRIT), более 130 организаций в США уже стали жертвами таких атак.
Как работает эта атака?
С июня 2024 года злоумышленники регистрируют домены, похожие на названия популярных VPN-провайдеров. Затем они звонят сотрудникам целевых организаций на мобильные телефоны, представляясь сотрудниками службы технической поддержки, и заявляют, что решают проблемы с входом в VPN.
Если сотрудник попадается на уловку, ему отправляют ссылку через SMS, ведущую на поддельный сайт VPN. На этом сайте киберпреступники собирают данные для входа, включая логины, пароли и даже токены многофакторной аутентификации (MFA).
Если используется MFA, злоумышленники часто просят сотрудника одобрить push-уведомление, что позволяет преступникам получить полный доступ к корпоративной сети. Чтобы усилить иллюзию успешного решения проблемы, после ввода данных сотрудника перенаправляют на настоящий сайт VPN.
Важность обучения сотрудников в сфере кибербезопасности
Атаки социальной инженерии, подобные описанным, особенно сложно выявить, так как они часто обходят традиционные средства безопасности, такие как антивирусы и межсетевые экраны. Злоумышленники используют личные мобильные телефоны и SMS-коммуникации, что снижает вероятность обнаружения.
В этом контексте становится крайне важным обучение сотрудников кибербезопасности. Повышение осведомленности о фишинговых тактиках, обучение распознаванию поддельных сайтов и понимание методов работы атакующих могут значительно снизить риск успешных взломов. Компании должны регулярно проводить обучение по кибербезопасности, особенно для сотрудников, имеющих доступ к конфиденциальным данным или корпоративным VPN.
Кроме того, развитие культуры безопасности внутри компании, где сотрудники поощряются к сообщению о подозрительных звонках, SMS и письмах, поможет ИТ-отделам своевременно реагировать на потенциальные угрозы и предотвращать дальнейшие компрометации.
Как защититься от этих атак
Организациям рекомендуется регулярно мониторить логи VPN на предмет необычной активности, например, подозрительных входов с неизвестных IP-адресов. При обнаружении признаков компрометации необходимо немедленно провести расследование и принять меры для защиты сети от дальнейших атак.