Хакеры научились незаметно воровать зарплату сотрудников компаний. Им бесплатно помогают сотрудники техподдержки
Мошенники стали активно красть зарплату рядовых сотрудников компаний, используя для этого сотрудников технической поддержки, но против их воли. Они втираются к ним в доверие, представляясь тем, кого собираются ограбить, и меняют банковские реквизиты жертвы на собственные. Компании узнают о взломе лишь когда работники начинают жаловаться на отсутствие зарплаты.
Нам платите, а им не платите
В мире набирает обороты схема по отъему заплаты у населения до того, как деньги поступят на карту. Как пишет The Register, мошенники, занимающиеся кражей заработной платы, обманывают службы поддержки информационных систем или ИТ-отделы компаний, чтобы украсть личные данные сотрудников и перенаправить их зарплаты на собственные счета.
С технической точки зрения мошенники даже ничего не взламывают. Вместо навыков хакинга они применяют знания в социальной инженерии. Они обводят вокруг пальца ничего не подозревающих работников технической поддержки, и те сами предоставляют им нужные данные.
Один из недавних примеров реализации такой схемы произошел в конце 2025 г. Его расследовала исследовательская группа ARC Labs компании Binary Defense, специализирующейся на управляемом обнаружении и реагировании на инциденты. В ходе этого инцидента безопасности киберпреступник перенаправил зарплату врача на свой собственный счет, используя очень простую атаку, начавшуюся со звонка в службу поддержки.
Что произошло
В отчете ARC Labs отмечено, что злоумышленник использовал скомпрометированные учетные данные общего почтового ящика в медицинском учреждении. Исследователи полагают, что эту информацию он получил в результате более ранней утечки данных, так как никаких следов фишинга обнаружено не было.
В мире несовершенных информационных технологий и доверчивых работников техподдержки остаться без зарплаты — проще простого
Получив доступ к почтовому ящику, мошенник изучил его содержимое и смог выяснить, чью личность следует использовать при обращении в службу поддержки для сброса пароля и многофакторной аутентификации. Это был врач, коим мошенник и притворился. Он придумал легенду, что профиль врача во внутренней системе был заблокирован, вследствие чего он мог принимать пациентов.
С этой легендой киберпреступник обратился в техподдержку системы. «Вкратце, разговор заключался в том, что этот человек не может войти в свою учетную запись, ему нужно срочно принять пациентов, и ему необходим немедленный доступ», – сказал The Register Джон Дуайер (John Dwyer), заместитель технического директора и глава Arc Labs.
Дуайер отметил, что хакер назвал подлинные имя и уровень доступа врача, так что сотрудник службы поддержки, не увидев подлога, сбросил пароль и токен многофакторной аутентификации. Это позволило злоумышленнику получить доступ к учетной записи врача. После этого дело оставалось за малым – потребовалось лишь удалить банковские реквизиты врача, по которым он получал зарплату, и вписать данные счета, контролируемого злоумышленником.
«Это было сочетание эксплуатации людей и процессов, а не технологий, – сказал Дуайер. – Это близко к технологиям. Это была кража личных данных, переросшая из чистой социальной инженерии в использование уязвимого внутреннего процесса для получения доступа».
Проблема массовая
По словам Дуайера, случай со «взломом» личного кабинета врача через сотрудника техподдержки далеко не единичный. «За последний год, в течение которого мы наблюдали подобные инциденты, они следовали традиционным схемам атак с использованием корпоративной электронной почты».
В одной из таких атак, направленной против сотрудников неназванного университета, киберпреступники взломали учетные записи работников, чтобы получить доступ к HR-платформам, включая Workday. Добившись желаемого, они перенаправили зарплату этих людей на свои банковские счета.
Но этот случай все же немного отличается. Если в ситуации с врачом фишинг обнаружен не был, то здесь ИБ-специалисты выявили его сразу. Мошенники получили первоначальный доступ к персональным данным через фишинговые электронные письма, после чего украли коды многофакторной аутентификации с помощью другой фишинговой ссылки, а затем получили доступ к почтовым ящикам жертв в Microsoft Exchange Online. Последний этап – взлом профилей жертв в Workday и отправка их зарплаты на свои счета.
Обнаружить взлом непросто
Дуайер подчеркнул, добавив, что атака на врача выглядела иначе, нежели атака на сотрудников вуза. В случае с доктором после «восстановления» его личности после обращения в службу поддержки злоумышленник прошел аутентификацию через собственную инфраструктуру виртуальных рабочих столов медицинской организации, зарегистрировал новые устройства аутентификации для учетной записи и вошел в систему расчета заработной платы Workday.
Использование собственной виртуальной инфраструктуры компании позволило злоумышленнику обойти системы безопасности, поскольку учетные записи выглядели как учетные записи легитимных внутренних пользователей с доверенной конечной точкой и внутренним IP-адресом.
«В этом случае самое поразительное то, что злоумышленники, похоже, были осведомлены о стратегиях обнаружения, направленных против них, – сказал Дуайер. – Эта атака была проведена исключительно вне электронной почты и с использованием доверенного доступа через инфраструктуру VDI. Используя собственную инфраструктуру виртуальных рабочих столов организации, с точки зрения инструментов безопасности все выглядит нормально и надежно».
Организация, на которую работает врач, ставший жертвой кибератаки, до последнего пребывала в неведении. Руководство не было в курсе о взломе, пока врач не поинтересовался, почему ему не заплатили.
Предупрежден – вооружен
По словам Дуайера платформы для расчета заработной платы и управления персоналом следует рассматривать как особо ценную цель для злоумышленников. Для специалистов по защите это означает необходимость рассматривать информацию о заработной плате как поток телеметрии для обнаружения угроз и рассматривать изменения в заработной плате как финансовые события высокого риска.
«Хорошая новость в том, что у нас уже все необходимое для этого – уроки, извлеченные из мошенничества с банковскими переводами и мошенничества с платежами и дебиторской задолженностью, применимы и здесь, – сказал Дуайер. – Изменения, внесенные в информацию для прямого зачисления средств, должны подтверждаться каким-либо механизмом, должен быть предусмотрен временный период ожидания, пока информация проходит проверку на предмет мошенничества, или что-то подобное».
Впрочем, Дуайер признал, что хотя у организаций есть необходимые технологии для этого, у них не всегда имеются отлаженные процессы для решения подобных рисков в области безопасности и бизнеса.
