Proofpoint выявила новую киберугрозу в лице группы хакеров под обозначением TA2900, которые активно занимаются взломом деловой электронной почты (Business Email Compromise, BEC). Основное внимание этого субъекта сосредоточено на частных лицах во Франции, однако случаи мошенничества также зарегистрированы в Канаде.
Методы работы TA2900
Злоумышленники используют мошеннические электронные письма, написанные на французском языке. Основная схема выглядит следующим образом:
- Получатели уведомляются о том, что их арендная плата не была получена.
- В письмах предлагается перевести арендную плату на другой банковский счет, ссылаясь на изменения реквизитов счета арендной компании.
- В использовании присутствуют данные международного банковского счета (IBAN), которые, как показали исследования, часто меняются.
Эмоциональная манипуляция и социальная инженерия
Используя тактики социальной инженерии, злоумышленники создают ощущение срочности, побуждая получателей действовать быстро, чтобы избежать выселения или дополнительных сборов. Эта напряженность усугубляется:
- Эмоциональным содержанием сообщений.
- Обманом, который может мешать жертвам замечать подозрительные детали.
Смена тактик в кампаниях
Ранние кампании TA2900 часто включали PDF-файлы с логотипами законных компаний по управлению недвижимостью. Однако с конца 2024 года наблюдается сокращение использования таких вложений. В некоторых случаях электронные письма не содержат банковских реквизитов, а просто побуждают жертв отвечать для получения дальнейших указаний по оплате.
Объекты безопасности TA2900
Основные банковские счета, на которые нацелены хакеры, связаны с недорогими отделениями крупных французских банков. Злоумышленники обрабатывают ответные письма на бесплатные электронные почтовые ящики, такие как Gmail и Outlook.
Происхождение и методы компрометации аккаунтов
Точное местонахождение TA2900 остается неизвестным, однако существует уверенность, что злоумышленник знаком с французской системой оплаты аренды и собрал конкретную информацию о целевых объектах недвижимости. Предполагается, что:
- Большинство сообщений написаны исключительно на французском языке.
- Автор, возможно, использует инструменты перевода, что указывает на отсутствие проживания в данном регионе.
- Скомпрометированные образовательные аккаунты, вероятно, были получены с помощью фишинга или вредоносных программ-кейлоггеров.
Таким образом, целью TA2900 является финансовая кража, с использованием уязвимостей людей через эмоционально насыщенные коммуникации для осуществления своих мошеннических действий.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "TA2900: Новый финансовый хакер атакует арендаторов во Франции".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.