Новую схему хищения хакерами коммерческой информации у компаний раскрыли оперативники ГУ МВД России по Запорожской области.
Конфиденциальные данные российских компаний хакеры крадут под видом «уроков информационной безопасности». Впрочем, «уроки» — это только предлог, главное в этой схеме, что злоумышленники выдают себя за представителей официальных ведомств – существующих или вымышленных.
Мошенники рассылают руководителям компаний письма на бланке некоего ведомства, уведомляющие о планах по проведению консультаций с сотрудниками компаний на тему обеспечения информационной безопасности и защиты персональных данных. От руководителя «ведомство» требует проинформировать подчиненных о предстоящем звонке «специалиста по инфобезопасности» и настроить на выполнение его требований.
Затем «подготовленным» работникам компании поступают звонки, но не от специалистов по инфобезопасности, а от злоумышленников. Они вытягивают из сотрудников конфиденциальную информацию, в том числе для входа в закрытую локальную сеть компании.
Полученные данные затем используются в незаконных целях: для совершения хакерской атаки либо продажи на черном рынке.
В связи с этим полиция региона рекомендует взять на вооружение универсальные правила информационной безопасности:
1. Никогда диктовать одноразовые коды или пароли по телефону и не пересылать их кому-либо.
2. Не предоставлять личные данные на подозрительных и неофициальных веб-сайтах, а также в разговоре с незнакомыми людьми.
3. При получении в адрес организации письма от имени органа госвласти без электронной подписи — обратиться в подразделение делопроизводства данного органа для уточнения достоверности сведений.
4. Использовать антивирусное программное обеспечение для дополнительной защиты от вредоносных программ и фишинговых атак.