Phishing HR i faktury przenoszony do komunikatorów

TL;DR

Phishing coraz częściej nie kończy się na kliknięciu w wiadomość e-mail. Przestępcy próbują przenieść rozmowę do komunikatora, gdzie łatwiej wydłużyć kontakt, wywrzeć presję i dostarczyć kolejny etap ataku poza widocznością klasycznych zabezpieczeń poczty.

Proofpoint opisał TA4922 jako chińskojęzyczną grupę cyberprzestępczą, która używa lokalizowanych przynęt HR, płacowych, podatkowych i fakturowych. W kampaniach pojawiały się linki do zewnętrznych usług, archiwa z malware, kradzież poświadczeń, próby fraudu oraz zachęty do kontynuowania rozmowy w LINE, WhatsApp lub Microsoft Teams.

Dla polskich firm najważniejsza lekcja nie dotyczy samej nazwy TA4922. Ważniejszy jest mechanizm: wiarygodny temat biznesowy, lokalny język, przeniesienie rozmowy poza e-mail, a potem pobranie pliku, podanie danych albo kontakt z rzekomą osobą z firmy. Taki scenariusz trzeba ćwiczyć i wykrywać jako proces, nie jako pojedynczą wiadomość.

Phishing, który wychodzi poza skrzynkę

W klasycznym modelu użytkownik dostaje fałszywy e-mail, klika link i trafia na stronę logowania. Taki scenariusz nadal działa, ale nie opisuje już całego problemu. Coraz częściej pierwsza wiadomość jest tylko zaproszeniem do dalszej rozmowy.

Przestępcy rozumieją, że poczta firmowa jest mocniej monitorowana niż prywatny telefon, komunikator czy rozmowa w aplikacji używanej do codziennej pracy. E-mail może więc pełnić rolę bramki. Ma wyglądać wystarczająco wiarygodnie, aby użytkownik zrobił kolejny krok: otworzył archiwum, kliknął link, przeszedł do rozmowy w komunikatorze albo potwierdził odbiór dokumentu.

Proofpoint wskazuje, że TA4922 wykorzystywał przynęty dopasowane do regionu i funkcji biznesowej. W kampaniach pojawiały się tematy HR, wynagrodzeń, podatków, faktur i rutynowych dokumentów wymagających potwierdzenia. To właśnie takie wiadomości są skuteczne, bo trafiają w realne procesy firmy.

Z perspektywy użytkownika nie jest to abstrakcyjny cyberatak. To dokument z kadr. Korekta danych płacowych. Informacja o podatku. Faktura. Prośba o potwierdzenie dokumentu. Komunikat od osoby, która wygląda jak ktoś z organizacji albo zaufany partner.

Dlaczego komunikator wzmacnia socjotechnikę

Przeniesienie rozmowy z poczty do komunikatora daje atakującemu kilka przewag. Po pierwsze, ogranicza widoczność dla narzędzi bezpieczeństwa monitorujących e-mail. Po drugie, pozwala prowadzić rozmowę w czasie rzeczywistym. Po trzecie, tworzy wrażenie normalnej wymiany biznesowej, szczególnie gdy firma używa Teams, WhatsApp, Signal, Telegrama albo innych kanałów do kontaktu z klientami i współpracownikami.

W takim scenariuszu użytkownik nie podejmuje jednej decyzji. Najpierw otwiera wiadomość. Potem przechodzi do komunikatora. Następnie odpowiada na pytanie. Później pobiera plik, wysyła dokument, podaje numer telefonu, wpisuje dane logowania albo potwierdza operację. Każdy krok z osobna może wydawać się mało ryzykowny.

To dlatego w programie testów phishingowych dla firm trzeba mierzyć więcej niż kliknięcie. Warto sprawdzać, czy użytkownik rozpoznaje moment, w którym rozmowa wychodzi poza zatwierdzony kanał. To często ważniejszy sygnał odporności niż samo otwarcie wiadomości.

Komunikator daje również atakującemu możliwość korygowania scenariusza. Jeżeli ofiara zada pytanie, można odpowiedzieć. Jeżeli ma wątpliwości, można ją uspokoić. Jeżeli firma wymaga dodatkowego potwierdzenia, można zasugerować obejście procedury. Automatyzacja i gotowe skrypty rozmów dodatkowo obniżają koszt takiego działania.

Lokalizowane przynęty działają, bo przypominają codzienną pracę

Skuteczny phishing rzadko jest dziś krzykliwy. Dobrze przygotowana wiadomość wygląda zwyczajnie. Temat HR, wynagrodzenia, podatku lub faktury nie musi zawierać groźby. Wystarczy, że pasuje do rytmu firmy i wymaga prostej reakcji.

W Polsce podobny schemat może zostać oparty o kadry, PPK, PIT, ZUS, e-Doręczenia, faktury kosztowe, korekty danych kontrahenta, zamówienia, potwierdzenia odbioru, dokumenty z CRM albo wiadomości z systemu HR. W małej firmie może to być wiadomość od biura rachunkowego. W większej organizacji: komunikat z działu kadr, finansów, zakupów albo obsługi dostawców.

TA4922 jest przykładem grupy, która nie ogranicza się do jednego typu celu. Proofpoint opisał kampanie obejmujące malware, phishing poświadczeń i próby fraudu. To ważne, bo firma nie powinna rozdzielać tych ryzyk sztucznie. Ten sam e-mail może być początkiem przejęcia konta, instalacji malware, kradzieży danych lub manipulacji płatnością.

W firmowej praktyce oznacza to, że podejrzana wiadomość HR nie jest wyłącznie problemem działu kadr. Podejrzana faktura nie jest wyłącznie problemem księgowości. A rozmowa w komunikatorze nie jest wyłącznie prywatnym kanałem pracownika, jeśli dotyczy danych, dostępu, dokumentów lub płatności.

Od linku do archiwum i malware

W kampaniach opisanych przez Proofpoint pojawiały się archiwa ZIP lub RAR, usługi hostingu plików, skracacze adresów, legalne narzędzia, techniki DLL sideloading oraz rodziny malware takie jak Atlas RAT, RomulusLoader, SilentRunLoader i ValleyRAT/Winos4.0. Dla przeciętnego czytelnika nazwy malware są mniej ważne niż sam wzorzec działania.

Użytkownik ma pobrać coś, co wygląda jak dokument służbowy. Archiwum może zawierać plik wykonywalny i bibliotekę DLL. Po uruchomieniu następuje kolejny etap: zdalny dostęp, pobranie dodatkowego komponentu, instalacja narzędzia zdalnego zarządzania albo kradzież danych z przeglądarki.

To szczególnie groźne, gdy atak dotyczy osoby z dostępem do finansów, HR, administracji, systemów SaaS albo danych klientów. Przejęcie jednej stacji roboczej może dać przestępcom dostęp do poczty, sesji przeglądarki, komunikatora, dokumentów i dalszych kontaktów w organizacji.

Warto też zauważyć, że użycie legalnych usług i narzędzi utrudnia obronę. Link do znanej platformy hostingu plików albo instalacja popularnego narzędzia zdalnego dostępu nie zawsze wygląda jak oczywisty incydent. Dlatego detekcja powinna obejmować kontekst: kto pobiera, skąd, po jakiej wiadomości i co dzieje się po uruchomieniu pliku.

Co powinien zrobić użytkownik

Najważniejszym momentem zatrzymania jest prośba o przeniesienie rozmowy poza standardowy kanał. Jeżeli wiadomość HR, fakturowa, podatkowa albo zakupowa każe przejść do prywatnego komunikatora, utworzyć grupę, skontaktować się przez nieznany numer albo pobrać dokument z zewnętrznego hostingu, użytkownik powinien przerwać proces i zweryfikować sprawę inną drogą.

Weryfikacja nie polega na odpowiedzi w tym samym wątku. Jeżeli wiadomość rzekomo pochodzi z działu HR, trzeba użyć znanego kontaktu z intranetu lub książki adresowej. Jeżeli dotyczy faktury, warto sprawdzić ją w systemie księgowym lub u właściciela procesu. Jeżeli dotyczy dokumentu od partnera, najlepiej użyć numeru lub adresu znanego z wcześniejszej, potwierdzonej współpracy.

Użytkownik nie powinien też traktować komunikatora jako kanału mniej formalnego, ale równie zaufanego. Microsoft Teams, WhatsApp czy LINE mogą być używane legalnie, ale sam fakt rozmowy w znanej aplikacji nie potwierdza tożsamości rozmówcy.

W praktyce dobra zasada brzmi: jeśli wiadomość służbowa zmienia kanał, przyspiesza decyzję i prowadzi do pliku, logowania albo płatności, to jest scenariusz wymagający zgłoszenia, nie tylko ostrożnej odpowiedzi.

Co powinny zrobić IT, Security i SOC

Zespoły bezpieczeństwa powinny traktować takie kampanie jako wielokanałowy łańcuch ataku. Analiza samej wiadomości e-mail może nie wystarczyć, bo kluczowa część rozmowy odbywa się poza skrzynką. W procedurach zgłoszeń trzeba więc uwzględnić zrzuty ekranu z komunikatorów, numery telefonów, linki do plików, nazwy archiwów, czas rozmowy i dane rzekomego nadawcy.

Po stronie technicznej istotne są kontrole pobrań z zewnętrznych usług, uruchamiania plików z katalogów użytkownika, archiwów zawierających pliki wykonywalne, nietypowych procesów potomnych oraz instalacji narzędzi zdalnego dostępu. Endpoint Detection and Response, czyli EDR, powinien patrzeć na ciąg zdarzeń, a nie tylko na pojedynczy plik.

W środowiskach Microsoft 365 i Google Workspace warto analizować nietypowe logowania, nowe reguły pocztowe, przekierowania, zmiany metod wieloskładnikowego uwierzytelniania oraz nagłe użycie komunikatorów do tematów finansowych lub kadrowych. W firmach korzystających z SaaS trzeba też sprawdzać, czy przejęte konto nie zostało użyte do pobrania danych, dodania integracji albo zaproszenia nowych użytkowników.

Dla SOC ważna jest jeszcze jedna rzecz: użytkownik może zgłosić tylko fragment zdarzenia. Jedna osoba zgłasza dziwny e-mail, druga wiadomość w Teams, trzecia link do archiwum. Dopiero połączenie tych sygnałów pokaże pełny schemat.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik tylko otrzymał wiadomość i nie kliknął linku, powinien zgłosić ją zgodnie z procedurą. Zespół bezpieczeństwa może zablokować nadawcę, domenę, skracacz lub link do hostingu plików, zanim ktoś inny zrobi kolejny krok.

Jeżeli rozmowa została przeniesiona do komunikatora, trzeba zabezpieczyć jej treść: zrzuty ekranu, numery, nazwy kont, linki i godziny kontaktu. Nie należy usuwać rozmowy przed zgłoszeniem. W wielu incydentach to właśnie komunikator pokazuje, czego atakujący próbował się dowiedzieć.

Jeżeli pobrano plik, ale go nie uruchomiono, nie należy otwierać go w celu sprawdzenia. Plik powinien trafić do IT lub Security zgodnie z procedurą analizy. Jeżeli został uruchomiony, urządzenie trzeba potraktować jako potencjalnie skompromitowane, odłączyć od sieci zgodnie z zasadami firmy i nie usuwać artefaktów przed analizą.

Jeżeli użytkownik podał dane logowania, trzeba zmienić hasło z zaufanego urządzenia, unieważnić sesje, sprawdzić metody MFA, przejrzeć reguły pocztowe i sprawdzić logowania. Jeżeli temat dotyczył faktury lub płatności, należy niezwłocznie zweryfikować, czy nie doszło do zmiany rachunku, wysłania danych kontrahenta albo zatwierdzenia przelewu.

Jak ćwiczyć taki scenariusz w awareness

Dobry test nie powinien kończyć się na wiadomości e-mail. Można zbudować scenariusz, w którym użytkownik dostaje informację HR, fakturę albo prośbę o potwierdzenie dokumentu, a następnie widzi sugestię przejścia do komunikatora. Celem nie jest złapanie pracownika na błędzie, tylko sprawdzenie, czy rozpozna zmianę kanału jako ryzyko.

W ćwiczeniu warto mierzyć kilka punktów: otwarcie wiadomości, kliknięcie, przejście do komunikatora, odpowiedź na prośbę o dane, pobranie pliku, zgłoszenie incydentu i reakcję po zauważeniu podejrzanego elementu. Dopiero taka mapa pokazuje, gdzie organizacja traci kontrolę nad procesem.

Po teście trzeba omówić scenariusz językiem codziennej pracy. Dla HR będzie to dokument kadrowy. Dla księgowości faktura. Dla sprzedaży wiadomość od partnera. Dla IT archiwum z narzędziem lub dokumentacją. Ten sam mechanizm powinien być pokazany w różnych kontekstach, bo pracownicy najlepiej rozpoznają ryzyko wtedy, gdy widzą je w swoich procesach.

Najważniejsza zasada

TA4922 jest nazwą konkretnego klastra aktywności, ale wniosek dla organizacji jest szerszy. Phishing nie musi wygrać w skrzynce pocztowej. Wystarczy, że skłoni użytkownika do przejścia w miejsce, gdzie firma ma mniej kontroli, a rozmowa staje się bardziej osobista i trudniejsza do zweryfikowania.

Jeżeli wiadomość biznesowa prowadzi do komunikatora, pliku, logowania albo płatności, traktuj zmianę kanału jako część ataku, a nie jako wygodny skrót komunikacyjny.