Эксклюзив «Когда мошенники нацеливаются на зарплаты людей, мишенью становится каждый сотрудник на Земле», — заявил эксперт по безопасности Binary Defense Джон Дуайер.
В декабре 2025 года исследовательская группа ARC Labs компании Binary Defense, занимающейся управляемым обнаружением и реагированием, расследовала инцидент безопасности, в ходе которого злоумышленник перенаправил зарплату врача на свой собственный счет с помощью очень простой атаки, начавшейся с звонка в службу поддержки.
«Это было сочетание эксплуатации людей и процессов, а не технологий», — рассказал Дуайер, заместитель технического директора и руководитель Arc Labs, в эксклюзивном интервью The Register. «Это смежная с технологиями область. Это было похищение личных данных, начиная с прямой социальной инженерии и заканчивая использованием внутреннего процесса, более слабого, чем рекомендовано, для получения доступа».
Злоумышленник использовал скомпрометированные учетные данные, принадлежащие общей почте в медицинском учреждении. Специалисты Binary Defense не могут с уверенностью сказать, как злоумышленник получил эти данные. Дуайер сообщил, что его команда не обнаружила никаких признаков фишинга и предполагает, что злоумышленник получил логин к электронной почте в результате предыдущей утечки.
Получив доступ к почтовому ящику, злоумышленники изучили его и определили, чью личность они будут использовать при звонке в службу поддержки с запросом на сброс пароля и многофакторной аутентификации (MFA).
В данном случае злоумышленник выдал себя за врача, который не может войти в свою учетную запись и, следовательно, не может принимать пациентов.
«Суть звонка сводилась к тому, что этот человек не может войти в свою учетную запись, у него есть пациенты, которых нужно принять немедленно, и ему нужен немедленный доступ», — сказал Дуайер. Имя и уровень доступа поддельного врача совпали, поэтому сотрудник службы поддержки сбросил пароль и токен MFA. Это дало злоумышленнику доступ к учетной записи, что позволило реализовать остальную часть схемы с зарплатой.
Это смежная с технологиями область. Это было похищение личных данных, начиная с прямой социальной инженерии и заканчивая использованием внутреннего процесса, более слабого, чем рекомендовано, для получения доступа
«И вот здесь все становится очень, очень интересно», — продолжил Дуайер. «За последний год мы наблюдали подобные инциденты, которые следовали традиционным схемам атак с компрометацией деловой электронной почты».
В одной из таких атак, нацеленной на сотрудников университетов и задокументированной Microsoft, цифровые воры компрометировали учетные записи сотрудников для доступа к HR-платформам, таким как Workday, а затем перенаправляли прямые депозиты зарплат сотрудников. Злоумышленники получали первоначальный доступ через фишинговые электронные письма, крали коды MFA с помощью фишинговой ссылки типа «adversary-in-the-middle», а затем получали доступ к почтовым ящикам жертв в Microsoft Exchange Online, прежде чем захватить их профили Workday и отправлять зарплаты на счета, контролируемые злоумышленниками.
«Личность — новый периметр»
«Все происходит через этот доступ, через этот почтовый ящик в этой учетной записи Microsoft», — сказал Дуайер, добавив, что атака на врача выглядела иначе. После «восстановления» личности медика через звонок в службу поддержки с использованием социальной инженерии, злоумышленник аутентифицировался из собственной инфраструктуры виртуальных рабочих столов медицинской организации, зарегистрировал новые устройства аутентификации для учетной записи и вошел в систему расчета заработной платы Workday.
Войдя в Workday, мошенник изменил банковские реквизиты и данные прямого депозита, чтобы перенаправить зарплату врача на счет, контролируемый злоумышленником.
Речь идет об эксплуатации процессов и угоне личных данных, что чрезвычайно затрудняет различение вредоносного и нормального поведения, связанного с идентификацией
Использование собственной виртуальной инфраструктуры компании позволило злоумышленнику обойти средства обнаружения угроз, поскольку входы выглядели как действия легитимного внутреннего пользователя с доверенной конечной точкой и внутренним IP-адресом.
«В этом случае особенно выделяется то, что злоумышленники, похоже, осведомлены о стратегиях обнаружения против них», — отметил Дуайер. «Эта атака была проведена полностью вне электронной почты с использованием доверенного доступа через инфраструктуру VDI. Злоупотребляя собственной инфраструктурой виртуальных рабочих столов организации, с точки зрения инструментов безопасности все выглядело нормально и доверенно».
Организация даже не подозревала о компрометации, пока врач не спросил, почему ему не выплатили зарплату.
«Дело не всегда в технологическом взломе», — подчеркнул Дуайер. «Речь идет об эксплуатации процессов и угоне личных данных, что чрезвычайно затрудняет различение вредоносного и нормального поведения, связанного с идентификацией. Личность — это новый периметр, и это новый вектор угроз, при котором ваша персона должна рассматриваться как привилегированный актив, а не просто ваш компьютер или телефон».
Помимо того, что этот инцидент подчеркивает угрозы безопасности, связанные с использованием общих почтовых ящиков, он показывает, что платформы расчета заработной платы и управления персоналом следует рассматривать как высокоценную цель для злоумышленников, добавил Дуайер. Для защитников это означает необходимость рассматривать информацию о заработной плате как поток телеметрии для обнаружения угроз и рассматривать изменения в платежных ведомостях как высокорискованные финансовые события.
«Хорошая новость в том, что у нас уже есть модель для этого — уроки, извлеченные из мошенничества с банковскими переводами и мошенничества с оплатой и расчетами с поставщиками, применимы и здесь», — сказал Дуайер. «Изменения, вносимые в информацию о прямом депозите, должны подтверждаться каким-либо механизмом, должен быть временный период ожидания, в течение которого они проходят некий обзор для обнаружения мошенничества, или что-то в этом роде».
Хотя у организаций есть технологии для этого, у них не всегда есть процессы для устранения такого рода рисков безопасности и бизнеса, добавил он.
«Организации должны рассматривать прямой депозит как реальный, жизнеспособный вектор угроз», — заключил Дуайер. «Будучи бизнес-лидером, я бы хотел быть на шаг впереди, потому что я не хотел бы вступать в какой-либо спор с сотрудником из-за потерянной зарплаты». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
