Человек заходит в офис, говорит, что он из IT-поддержки, и просит посидеть за компьютером для быстрого исправления. Большинство сотрудников почувствуют облегчение. Наконец-то кто-то пришёл решить техническую проблему. Именно на это доверие, похоже, и рассчитывает одна киберпреступная группа.
ФБР предупреждает, что группа под названием Silent Ransom Group нацелилась на американские компании, особенно юридические фирмы, выдавая себя за IT-поддержку. Сначала группа пытается уговорить сотрудников установить программное обеспечение для удалённого доступа. Когда это не удаётся, мошенничество может перейти с телефона на входную дверь.
Вот тут всё становится особенно наглым. По данным ФБР, эти самозванцы могут явиться лично с флешками, внешними жёсткими дисками и другим оборудованием. Как только они садятся за рабочую станцию, они могут скопировать конфиденциальные файлы, получить больший доступ и оставить вредоносное ПО.
Затем они уходят. Компания может больше не услышать о них до тех пор, пока не придёт требование выкупа.
Визит под видом IT-поддержки может выглядеть обыденно, пока с офисного компьютера не скопируют конфиденциальные файлы. (Jens Schlueter/Getty Images)
Подпишитесь на мой бесплатный CyberGuy Report
Как работает мошенничество с поддельной IT-поддержкой
Silent Ransom Group, также известная как Luna Moth, Chatty Spider и UNC3753, использует телефонные звонки, фишинг и старомодную наглость. Мошенничество часто начинается со звонка. Звонящий притворяется сотрудником IT-поддержки и пытается убедить сотрудника установить программное обеспечение для удалённого рабочего стола. Это ПО даёт злоумышленнику доступ к компьютеру.
Если сотрудник отказывается или план проваливается, злоумышленник может отправить кого-то в офис. Этот человек затем выдает себя за техподдержку. Он может сказать, что ему нужно устранить неполадку, обновить систему или проверить устройство. Как только он садится за компьютер, он вставляет USB-накопитель или внешний жёсткий диск. Оттуда он может выгрузить файлы и незаметно расширить свой доступ.
ФБР заявляет, что группа использует украденные данные для вымогательства у жертв. Они угрожают продать файлы или опубликовать их в интернете. Они также могут звонить сотрудникам или клиентам, чтобы оказать давление на компанию и заставить её платить. Это добавляет личный аспект атаке. Это также превращает украденные файлы в кампанию публичного унижения.
Почему мошенничество с поддельной IT-поддержкой нацелено на юридические фирмы
Юридические фирмы хранят одну из самых конфиденциальных информаций, которую может иметь бизнес. Сюда могут входить записи клиентов, судебные иски, контракты, финансовые детали и частные переговоры. Для преступников эта информация имеет ценность даже без шифрования хотя бы одного компьютера.
Похоже, эта группа сначала фокусируется на краже данных. Затем она использует смущение, юридическое давление и панику клиентов как рычаг воздействия. Это делает юридические фирмы привлекательной целью.
Однако предупреждение должно касаться любого бизнеса, который работает с конфиденциальными записями. Медицинские кабинеты, финансовые фирмы, страховые компании и малый бизнес могут столкнуться с аналогичными рисками. Поддельному IT-работнику не нужна огромная хакерская установка, если кто-то позволит ему сесть за компьютер.
Хакеры могут явиться с флешками или внешними жёсткими дисками, притворяясь, что исправляют техническую проблему. (Maxim Konankov/NurPhoto)
Почему поддельные визиты IT могут обмануть сотрудников
Большинство людей представляют хакеров, прячущихся за экранами в другой стране. Это предупреждение переворачивает это представление. Здесь угроза может явиться с бейджем, сумкой для ноутбука и спокойным голосом.
Это делает мошенничество легко упускаемым из виду. Секретарь может подумать, что у человека назначена встреча. Сотрудник может предположить, что кто-то другой одобрил визит. Занятой менеджер может пропустить его, потому что человек звучит уверенно. В этом и заключается трюк.
Злоумышленник пользуется офисными привычками. Люди хотят быть полезными. Они хотят, чтобы сломанная техника была починена. Они также могут не хотеть бросать вызов тому, кто, кажется, знает, что делает. Однако вежливость может дать преступнику необходимую лазейку.
Признаки мошенничества с поддельной IT-поддержкой
Неожиданный визит IT-специалиста должен вызвать вопросы. Будьте осторожны, если кто-то появляется без запланированной заявки, отказывается назвать, кто его послал, или просит воспользоваться компьютером без присмотра. Также обратите внимание на любого, кто приносит свою флешку или внешний диск.
Ещё один тревожный сигнал — срочность. Мошенники часто торопят людей, чтобы те пропустили обычные проверки. Они могут сказать, что проблема требует немедленного внимания. Они могут заявить, что обновление безопасности не удалось. Они могут сказать, что у вашей машины проблема, которая может затронуть весь офис. Это давление и есть цель. Замедлите ситуацию, прежде чем кто-то получит доступ.
ФБР заявляет, что компании должны проверять каждый неожиданный IT-визит, прежде чем кто-либо получит доступ к рабочей станции. (Kurt "CyberGuy" Knutsson)
Способы оставаться в безопасности от мошенничества с поддельной IT-поддержкой
Хорошая новость в том, что несколько простых привычек могут значительно затруднить поддельному IT-работнику возможность пройти мимо ресепшена, сесть за компьютер или уйти с конфиденциальными файлами.
1) Проверяйте каждый IT-визит перед предоставлением доступа
Никогда не позволяйте кому-либо садиться за компьютер только потому, что он звучит официально. Позвоните в известный вам IT-отдел вашей компании. Не используйте номер, который даёт вам посетитель. Подтвердите имя человека, причину визита и номер заявки. Если ваш бизнес пользуется услугами сторонней техподдержки, держите список одобренных поставщиков на ресепшене. Сотрудники должны знать, кто может войти, а кому нужно одобрение руководства.
2) Требуйте видимого одобрения для сторонней поддержки
Создайте простое правило. Ни один внешний техник не получает доступ к рабочей станции без одобрения менеджера или руководителя IT-отдела. Это одобрение должно происходить через известный канал. Быстрого устного заявления никогда не должно быть достаточно. Это также защищает сотрудников. Это даёт им разрешение приостановить подозрительную ситуацию, не чувствуя себя грубыми.
3) Ограничьте использование USB-накопителей и внешних накопителей
Компании должны ограничить доступ к USB, где это возможно. Если сотрудникам не нужны внешние диски для повседневной работы, заблокируйте их. Если они им нужны, ограничьте доступ одобренными устройствами. Злоумышленники любят съёмные накопители, потому что они могут быстро перемещать данные. Это маленькое устройство может вынести файлы клиентов, платёжные ведомости или юридические документы за считанные минуты.
4) Обучите сотрудников подвергать сомнению неожиданную техподдержку
Обучение безопасности должно включать очные схемы мошенничества, а не только фишинговые письма. Сотрудники должны знать, что дружелюбный посетитель всё ещё может быть опасен. Они должны чувствовать себя комфортно, говоря: «Мне нужно сначала это проверить». Эта одна фраза может остановить атаку.
5) Следите за необычными инструментами удалённого доступа
ФБР сообщает, что SRG часто пытается заставить жертв установить инструменты управления удалённым рабочим столом. Ваша IT-команда должна отслеживать появление нового ПО для удалённого доступа. Они также должны проверять оповещения, когда такие инструменты появляются на компьютерах, где их быть не должно. Легитимные инструменты могут стать опасными, когда их используют преступники.
6) Ограничьте доступ к конфиденциальным файлам
Сотрудники должны иметь доступ только к тем файлам, которые необходимы для их работы. Таким образом, если один компьютер будет скомпрометирован, злоумышленник получит меньше данных. Надёжный контроль доступа может уменьшить ущерб от украденной сессии на ноутбуке или поддельного IT-визита.
7) Используйте надёжное логирование и мониторинг конечных точек
Компании должны отслеживать подключения устройств, передачу файлов и изменения привилегий. Это может помочь выявить подозрительную активность после несанкционированного визита. Это также может дать следователям более чёткую временную шкалу, если данные покинули сеть.
8) Имейте процедуру безопасности на ресепшене
У секретаря или офис-менеджера должен быть письменный контрольный список для неожиданных посетителей. Этот список может включать удостоверение личности с фото, название компании, номер заявки и контактное лицо для подтверждения. Посетители никогда не должны бродить по офису в одиночку. Поддельный IT-работник рассчитывает на неразбериху. Контрольный список создаёт препятствие.
9) Сообщайте о подозрительных попытках выдачи себя за IT-специалиста
Если кто-то появляется, притворяясь IT-поддержкой, немедленно сообщите об этом своему менеджеру, своей IT-команде и, при необходимости, в местные правоохранительные органы. Компании также могут сообщать о киберпреступлениях в Центр жалоб на киберпреступления ФБР на сайте IC3.gov. Даже если человек ушёл до получения доступа, попытка всё равно засчитывается. Это может помочь следователям связать этот визит с более крупной кампанией.
10) Используйте надёжное программное обеспечение безопасности на каждом компьютере
Установите доверенное ПО безопасности на офисные компьютеры, чтобы помочь обнаружить вредоносные программы, программы-вымогатели и другие угрозы, если кто-то получит доступ к машине. Например, хорошее антивирусное ПО обеспечивает защиту в реальном времени от вредоносных программ, шпионского ПО, программ-вымогателей и других онлайн-угроз на ПК или Mac. Тем не менее, ПО должно дополнять ваши проверки посетителей, контроль USB и обучение сотрудников, а не заменять их. Получите мой выбор лучших средств защиты от вирусов на 2026 год для ваших устройств на Windows, Mac, Android и iOS на Cyberguy.com.
Ключевые выводы Курта
Тревожная часть этого предупреждения ФБР в том, насколько нормально выглядит атака. Никакого драматического взлома. Никакого хакерского экрана в стиле Голливуда. Просто кто-то, притворяющийся, что помогает. Вот почему эта схема может сработать. Она вписывается в обычный рабочий день. Она использует доверие, скорость и офисное давление, чтобы обойти защиту. Так что в следующий раз, когда кто-то скажет, что он из IT, сделайте паузу, прежде чем передавать свою клавиатуру.
Стали бы вы оспаривать неожиданный визит техподдержки на работе или предположили бы, что кто-то другой уже одобрил его? Дайте нам знать, написав нам на Cyberguy.com.
Подпишитесь на мой бесплатный CyberGuy Report
Copyright 2026 CyberGuy.com. Все права защищены.
Курт «CyberGuy» Кнутссон — удостоенный наград технический журналист, который глубоко любит технологии, оборудование и гаджеты, делающие жизнь лучше, со своими материалами для Fox News и FOX Business, начиная с утренних программ «FOX & Friends». Есть технический вопрос? Получите бесплатную рассылку CyberGuy от Курта, поделитесь своим мнением, идеей для статьи или комментарием на CyberGuy.com."
