В последние годы фишинговые кампании претерпели значительную эволюцию. Если ранее основной угрозой были массовые рассылки с подозрительными ссылками, то сегодня злоумышленники выстраивают многоступенчатые сценарии, ключевым элементом которых становится имитация живого общения со службой поддержки. В открытых источниках и отраслевых отчетах всё чаще фиксируются случаи, когда пользователи под воздействием социальной инженерии самостоятельно передают конфиденциальные данные, включая коды многофакторной аутентификации. Понимание механики таких атак — критически важный элемент защиты как для частных лиц, так и для бизнеса.
🎯 От фишинговых писем к интерактивным сценариям
Современные фишинговые кампании перестали полагаться на случайный клик по явно подозрительной ссылке. Вместо этого они выстраивают воронку доверия, где каждый последующий шаг выглядит легитимнее предыдущего. Один из наиболее эффективных методов, о котором сообщается в отраслевых разборах инцидентов, — это связка «электронное письмо → чат поддержки → поддельная страница входа».
Пользователь получает письмо, которое может выглядеть как уведомление о возврате средств, подтверждение заказа или запрос на уточнение данных. Ссылка из письма ведёт не на классический фишинговый сайт, а на страницу легитимного сервиса LiveChat (или аналогичного). Сам по себе домен, например, lc[.]chat, не вызывает подозрений у почтовых фильтров и антивирусных решений, что позволяет злоумышленникам успешно проходить первый уровень защиты. Только после этого начинается диалог, который и становится основным вектором атаки.
Такой многоступенчатый подход усложняет автоматическое детектирование. Каждый этап по отдельности может не содержать явных признаков вредоносной активности, и лишь в совокупности они образуют полноценную схему компрометации.
📩 Типовые сценарии, фиксируемые в публичных кейсах
На основе анализа открытых данных и публичных отчётов можно выделить два основных типа сценариев, которые злоумышленники используют в таких кампаниях.
Первый тип: уведомление о возврате средств.
В письме указываются конкретная сумма, дата и номер транзакции. Пользователю предлагается перейти по ссылке для уточнения деталей возврата. Этот сценарий рассчитан на привлечение внимания тех, кто ожидает возврата или позитивно реагирует на подобные сообщения. Эмоциональный фактор здесь играет ключевую роль.
Второй тип: нейтральная формулировка с элементом неопределённости.
Письмо содержит информацию об «ожидаемом заказе» или «обновлении статуса» без детализации. Формулировки носят общий характер, что может вызывать любопытство или легкую тревогу («возможно, кто-то оформил заказ от моего имени»).
В обоих случаях ссылка ведёт не на фишинговый ресурс, а на легальную платформу чата. Использование инфраструктуры известных сервисов позволяет злоумышленникам снижать риск блокировок на уровне почтовых провайдеров и систем безопасности.
💬 Как выстраивается взаимодействие в чате: обзор типовых сценариев
Попадая в чат, пользователь сталкивается с одним из двух вариантов взаимодействия, каждый из которых имеет свою специфику.
Сценарий с автоматизированным «ботом».
В некоторых кампаниях (например, имитирующих поддержку PayPal) диалог выглядит формальным и автоматизированным. Бот приветствует пользователя и сразу переходит к делу, предлагая перейти по ссылке для «завершения возврата». Ссылка ведёт на внешний сайт, где пользователя просят войти в учётную запись. После ввода логина и пароля появляется поле для кода подтверждения, который в этот момент приходит в виде настоящего СМС от сервиса. Пользователь самостоятельно вводит этот код, фактически передавая злоумышленникам сессию в реальном времени.
Сценарий с ручным общением.
Более сложный вариант, о котором сообщается в аналитике по инцидентам, предполагает общение с «оператором» вручную. Перед началом диалога пользователя могут попросить указать email, а затем — номер телефона, дату рождения, адрес. Постепенный сбор данных создаёт у жертвы иллюзию серьёзной процедуры верификации. В действительности злоумышленники собирают полный набор персональных данных, которые могут быть использованы как для восстановления доступа к аккаунту, так и для дальнейших атак, включая звонки от имени службы безопасности банка.
В ряде публичных кейсов описываются ситуации, когда собранные таким образом данные позволяли злоумышленникам успешно проводить последующие этапы социальной инженерии, убеждая жертв перевести средства на так называемые «безопасные счета».
⚙️ Технические особенности: почему такие кампании сложно детектировать
С точки зрения анализа угроз, подобные гибридные кампании объединяют несколько этапов в одной схеме:
- сбор учётных данных (логин/пароль);
- сбор персональных данных (PII);
- перехват кодов многофакторной аутентификации;
- имитация легитимного взаимодействия со службой поддержки.
Каждый этап происходит на разных ресурсах: письмо, чат на легитимной платформе, фишинговая страница входа, дополнительные формы для сбора данных. Такое распределение усложняет детектирование для автоматических систем, которые традиционно ориентированы на поиск единой точки компрометации.
В российском регуляторном контексте (включая требования 152-ФЗ и 187-ФЗ) подобные инциденты создают дополнительные сложности. Пользователь проходит многофакторную аутентификацию самостоятельно, добровольно передавая коды третьим лицам. С точки зрения регулятора, такая операция может классифицироваться как совершённая под влиянием мошеннических действий, что усложняет доказательство того, что оператор связи или банк должен был её заблокировать.
🛡️ Рекомендации по защите: что может сделать бизнес и частные лица
На основе анализа реальных инцидентов можно сформулировать ряд практических мер, которые позволяют существенно снизить риски.
1. Критически относиться к ссылкам в письмах, даже ведущим на знакомые домены.
Даже если ссылка ведёт на легальный сервис (например, lc[.]chat), это не гарантирует, что сам сценарий является безопасным. Оптимальная практика — открывать официальный сайт вручную через браузерную закладку или поисковик.
2. Помнить: служба поддержки не запрашивает код из СМС и не просит вводить личные данные в чате.
Если в диалоге вас просят ввести код подтверждения, полученный по СМС, или сообщить реквизиты карты — это является прямым признаком мошеннической схемы.
3. Использовать многофакторную аутентификацию, но с осторожностью относиться к вводу кодов.
Предпочтительнее использовать приложения-аутентификаторы (TOTP) или аппаратные ключи, так как они менее подвержены перехвату методами социальной инженерии по сравнению с СМС-кодами.
4. Проверять фактический домен сайта, а не только его визуальное оформление.
Злоумышленники могут точно копировать дизайн известных сервисов. Всегда необходимо обращать внимание на адресную строку. Подозрительные домены (например, содержащие слова refund, support или необычные зоны) — повод закрыть страницу.
5. Любое сообщение о неожиданном возврате, заказе или обновлении данных воспринимать как потенциальную угрозу.
Если вы не инициировали действие, о котором говорится в письме, не следует переходить по ссылкам и взаимодействовать с указанными контактами.
6. Никогда не вводить данные банковских карт на сайтах, переход на которые произошёл из чата поддержки.
Даже если страница визуально напоминает сайт банка или платёжной системы.
7. Для бизнеса: настраивать системы контроля действий пользователей (EDR, DLP) и использовать защитные DNS-фильтры.
Современные решения Endpoint Detection and Response (EDR) позволяют фиксировать аномальное поведение, включая переходы на подозрительные ресурсы и последующий ввод учётных данных. DNS-фильтры с функцией категоризации могут блокировать доступ к некатегоризированным или подозрительным доменам (например, .chat, .xyz, свежезарегистрированным).
8. Регулярно проводить обучение сотрудников на основе реальных примеров.
Наиболее эффективным методом признаны практические тесты: рассылка тестовых фишинговых писем, имитирующих актуальные сценарии (включая связку «письмо + чат»). Это позволяет не только оценить уровень уязвимости, но и сформировать у сотрудников устойчивые навыки распознавания угроз.
9. Мониторить утечки учётных данных.
Многие атаки используют пароли, которые уже были скомпрометированы ранее. Использование сервисов мониторинга утечек позволяет своевременно выявлять и заменять скомпрометированные учётные данные.
📌 Вместо заключения: комплексный подход как основа защиты
Описанные сценарии демонстрируют, что современные атаки редко строятся на сложных технических эксплойтах. Основной уязвимостью остаётся человеческий фактор в совокупности с недостаточной технической защитой. Злоумышленники не взламывают системы в классическом понимании — они выстраивают условия, при которых пользователь самостоятельно предоставляет им доступ.
Эффективная защита в таких условиях требует комплексного подхода: сочетания технических средств контроля (EDR, DNS-фильтрация, мониторинг утечек), регулярного обучения персонала на актуальных кейсах и выстроенных процессов реагирования на инциденты.
Если вы хотите оценить текущий уровень защищённости вашей компании от подобных атак, провести аудит процессов и технических средств, мы рекомендуем обратиться к профильным специалистам для проведения анализа и выработки дорожной карты по усилению защиты.
⚖️ Данный материал носит информационно-аналитический характер. Все выводы основаны на открытых источниках и не являются утверждением фактов, не подтверждённых официально. Материал не является юридической или технической рекомендацией. Любые решения принимаются читателем самостоятельно.
══════
Больше материалов: Центр знаний SecureDefence.
Оставьте заявку на бесплатную консультацию: [Перейти на сайт]