Как мошенники под видом клиента чуть не взломали нашу компанию. Мошенничество через фишинг страницу Zoom
Хочу поделиться историей, которая произошла сегодня в нашем офисе. Это не просто пример попытки фишинга, а хорошо спланированная атака, нацеленная на IT-бизнес под видом перспективного клиента. Наш опыт может уберечь вас от потери данных и денег.
Для тех, кто не знаком с нашей деятельностью: моя компания INFINITY + DIGITAL специализируется на комплексной цифровизации бизнеса. Мы автоматизируем производства и рутинные процессы, внедряем AI-решения для анализа данных и оптимизации, создаем корпоративные сайты и мощные SAAS-платформы. Наше ключевое детище — проект PORT AI, платформа с магазином готовых приложений для автоматизации типовых бизнес-задач. Именно поэтому запрос на автоматизацию и ИИ для сети магазинов был для нас столь логичным и желанным.
Идеальный клиент, которого не было
Все началось с личного сообщения в Telegram:
Добрый день, Родион! Меня зовут Дмитрий, я исполнительный менеджер сети магазинов «Разливной *****». По вопросу автоматизации бизнес-процессов и внедрению ИИ-инструментов актуально обратиться?
Запрос был на 100% целевым. Моя компания как раз занимается автоматизацией производств и внедрением ИИ. В его профиле Telegram (@Denys**80**) всё выглядело солидно: указана должность «менеджер по закупкам сети различного пива, 250+ магазинов», ссылка на сайт ********.ru, даже номер телефона и день рождения. Полный комплект для доверия.
Диалог развивался профессионально:
Дмитрий:
По поручению руководителя сейчас изучаю решения по автоматизации бизнес-процессов и внедрению ИИ-инструментов в операционку сети. Увидел, что вы специализируетесь... Когда вам будет удобно выйти на связь?
Я:
Можем созвониться по телефону, можем в Тг, можем по связи мобильной
Дмитрий:
Спасибо за обратную связь🤝 Нужно согласовать всё с генеральным директором. Он сейчас не в стране. Я лишь отвечаю за комуникацию
Уже здесь была первая уловка: он сразу создал легенду о «генеральном за границей», отсекая возможность быстрого звонка по телефону и подготавливая почву для многоходовочки.
Подготовка к «встрече»
Через некоторое время он вернулся с согласованным временем:
Дмитрий:
Родион, добрый день! Согласовал с генеральным: он сможет подключиться в понедельник... Предлагаю назначить созвон в Zoom — формат для него самый удобный, так как позволяет сразу показать структуру процессов и экраны. Вам комфортно в понедельник в 13:00 по МСК?
Я согласился. Всё выглядело стандартно. Накануне встречи я попросил прислать ссылку.
Финальный аккорд и разоблачение
В назначенное время я спросил ссылку. И вот она — кульминация аферы.
Дмитрий:
Добрый день, Родион. Сейчас на связи с генеральным🤝 Присоединяйтесь к нам... Для корректного отображения приглашения добавьте меня в контакты тут в телеграмме
Это был странный запрос, но я выполнил его и тогда пришла ссылка: https://us09webzoom.top/j/12202342233720***************
Мой внутренний детектив сработал мгновенно. Вместо официального домена zoom.us был подозрительный us09webzoom.top - но разгледеть такие нюансы не всегда можно, в операционный вопросах компании или в целом если ты на бегу.
Ссылка была типично фишинговой, предназначенной для кражи логинов и паролей или установки вредоносного ПО.
Я начал задавать неудобные вопросы:
Я:
Что за ссылка? Кто вам посоветовал нашу компанию?
Дмитрий:
Вас ожидать или нет? А то я не сильно понимаю, что за вопросы
Я:
Постарайся сильно понять. Вопрос простой. Ты написал мне в личные сообщения - кто посоветовал мой контакт?
И тут аферист начал нервничать и давить:
Дмитрий:
Мне его дал Вячеслав Владимирович... Мы просто на связи и ожидаем Вас. Поэтому пока я тут переписываюсь с Вами, мне походу нужно еще обьяснять Вячеславу Владимировичу почему вы не присоединяетесь
Попытка создать давление и чувство вины — классический прием мошенников. После этого диалог был моментально удален с его стороны.
Что это было? Краткий анализ угрозы
1. Целевой фишинг (Spear Phishing): Атака была не массовой, а направленной лично на меня и мою компанию. Мошенники изучили наш профиль и подстроились под наши услуги.
2. Социальная инженерия: Легенда с генеральным директором, давление и спешка — всё это элементы манипуляции.
3. Опасная ссылка: Ссылка us09webzoom.top — стопроцентно мошенническая. Она ведет на фальшивую страницу, имитирующую вход в Zoom. Введя там свои данные, я бы отдал мошенникам логин и пароль от своей учетной записи, что открыло бы им доступ к корпоративной информации и, возможно, банковским данным.
Что я сделал дальше? ЧБД
Я немедленно написал официальное письмо на почту реальной компании, чье имя использовали мошенники (@********.ru), чтобы предупредить их о том, что от имени их сотрудника совершается попытка мошенничества.
Выводы для бизнеса
Коллеги, будьте бдительны! Такие атаки становятся нормой.
Вероятно крупные компании которых взломали за последний год - возможно подвергались подобным атакам.
• Всегда проверяйте доменные имена в ссылках. Официальные сервисы не используют домены вроде webzoom.top.
• Не поддавайтесь на давление. Настоящий клиент всегда пойдет навстречу и ответит на ваши вопросы.
• Используйте двухфакторную аутентификацию везде, где это возможно.
• Проверяйте контакты. Если к вам обратился представитель крупной компании, найдите их официальный телефон на сайте и перезвоните, чтобы подтвердить личность.
В нашем случае бдительность одного сотрудника помогла избежать потенциально серьезных убытков. Не дайте мошенникам воспользоваться вашим желанием заработать.
P.S. Если у вас были похожие случаи — делитесь в комментариях. Давайте вместе делать бизнес-среду безопаснее.
Автор: Родион Сазонов, CEO IT-компании INFINITY + DIGITAL