Исследователи из Лаборатории Касперского обнаружили гибридную схему мошенничества через электронную почту и телефон, основанную на поддельных счетах Microsoft.
Злоумышленники научились вставить собственный текст в подлинные благодарственные сообщения, отправляемые Microsoft 365 новым корпоративным подписчикам с легитимного адреса microsoft-noreply@microsoft.com.
– Трудно представить адрес электронной почты с более надежной репутацией, поэтому сообщение легко проходит через любые фильтры почтовых серверов, – говорит эксперт по анализу спама Роман Деденок.
В электронном письме получателя благодарят за покупку и сообщают о мошенничестве с «платежной информацией», указывая собственный номер телефона и призывая получателя перезвонить, если ему понадобится помощь.
– Они играют на распространенном страхе сотрудников: дорогая, ненужная покупка может создать проблемы на работе. А поскольку решить вопрос по электронной почте невозможно – сообщение приходит с адреса, не предназначенного для ответов, – у жертвы практически не остается выбора, кроме как позвонить по указанному номеру телефона, – уточняет Роман Деденок.
Если жертва все же звонит, начинается следующий этап: мошенники настаивают на установке программного обеспечения поддержки и отправляют EXE-файл, который, вероятно, содержит троян удаленного доступа (RAT).
Мошенник также обещает вернуть деньги на банковский счет жертвы и просит войти в интернет-банкинг, чтобы проверить, прошла ли транзакция – что потенциально позволяет им перехватить учетные данные жертвы с помощью RAT.
Остается загадкой, как именно злоумышленники умудряются отправлять уведомления Microsoft своим жертвам.
Эксперты советуют организациям предупредить своих сотрудников об угрозе и обучить их распознавать признаки мошенничества. Они также должны установить надежное решение безопасности на каждое корпоративное устройство для защиты от шпионского и вредоносного ПО.
