Злоумышленники всё чаще похищают заработную плату сотрудников, манипулируя для этого персоналом технической поддержки без его ведома. Они вводят специалистов в заблуждение, выдавая себя за тех, чьи средства планируют украсть, и подменяют банковские реквизиты получателя на свои собственные. Организации обнаруживают факт мошенничества лишь тогда, когда сотрудники начинают сообщать о непоступивших выплатах.
В мире распространяется схема хищения зарплатных средств ещё до их зачисления на карты. Как сообщает The Register, преступники, специализирующиеся на кражах заработной платы, обманывают службы поддержки информационных систем или ИТ-отделы компаний, чтобы завладеть персональными данными сотрудников и перенаправить их выплаты на контролируемые счета.
С технической стороны злоумышленники даже не осуществляют взлом. Вместо хакерских навыков они применяют методы социальной инженерии. Им удаётся обмануть ничего не подозревающих сотрудников техподдержки, которые сами предоставляют необходимую информацию.
Один из недавних случаев применения подобной схемы был зафиксирован в конце 2025 года. Его расследованием занималась исследовательская группа ARC Labs компании Binary Defense, которая специализируется на управляемом обнаружении угроз и реагировании на инциденты. В рамках этого инцидента киберпреступник перенаправил зарплату врача на свой счёт, используя довольно простую атаку, начавшуюся с телефонного звонка в службу поддержки.
В отчёте ARC Labs указано, что злоумышленник использовал скомпрометированные учётные данные общего почтового ящика медицинского учреждения. Исследователи предполагают, что эта информация была получена в результате более ранней утечки данных, поскольку следов фишинговой атаки обнаружено не было.
Получив доступ к почтовому ящику, мошенник изучил его содержимое и определил, чью личность целесообразно использовать для обращения в службу поддержки с целью сброса пароля и обхода многофакторной аутентификации. Он выбрал врача, под видом которого и стал действовать. Преступник разработал легенду о том, что учётная запись врача во внутренней системе заблокирована, из-за чего тот не может вести приём пациентов.
С этой выдуманной историей киберпреступник обратился в техническую поддержку системы. «Если кратко, суть разговора сводилась к тому, что этот человек не может войти в свой аккаунт, ему срочно нужно принять пациентов, и поэтому ему требуется немедленный доступ», – пояснил The Register Джон Дуайер (John Dwyer), заместитель технического директора и руководитель Arc Labs.
Дуайер пояснил, что злоумышленник предоставил службе поддержки настоящие имя и уровень доступа врача, поэтому сотрудник, не заподозрив обмана, выполнил сброс пароля и кодов многофакторной проверки. Это открыло киберпреступнику путь к учетной записи медика. Затем оставалось лишь удалить из системы банковские реквизиты для зарплаты врача и подставить данные счета, находящегося под контролем атакующего.
«Здесь сочетались манипуляции с людьми и процессами, а не с технологиями, — отметил Дуайер. — Хотя технологии тоже были задействованы. Это кража персональных данных, которая началась как классическая социальная инженерия, а затем использовала уязвимый внутренний процесс для получения доступа».
По словам Дуайера, инцидент с «взломом» аккаунта врача через техподдержку — не редкость. «На протяжении последнего года, в течение которого мы отслеживаем подобные случаи, они развивались по традиционным сценариям атак с применением корпоративной почты».
В одной из таких атак на сотрудников анонимного университета, киберпреступники, получив доступ к учетным записям персонала, проникли в HR-системы, включая Workday. Достигнув цели, они перенаправили выплаты заработной платы на свои банковские счета.
Однако этот случай имеет свои особенности. Если в ситуации с врачом фишинг не был выявлен, то здесь специалисты по информационной безопасности обнаружили его сразу. Мошенники изначально получили доступ к личным данным через фишинговые письма, затем похитили коды двухфакторной аутентификации с помощью другой фишинговой ссылки, после чего получили контроль над почтовыми ящиками жертв в Microsoft Exchange Online. Завершающим шагом стал взлом профилей в Workday и перенаправление зарплатных выплат.
Дуайер акцентировал, что атака на врача отличалась от нападения на университетских сотрудников. После «восстановления» личности доктора через обращение в поддержку, злоумышленник прошёл аутентификацию через внутреннюю инфраструктуру виртуальных рабочих столов медучреждения, зарегистрировал новые устройства для входа и получил доступ к зарплатной системе Workday.
Использование корпоративной виртуальной инфраструктуры позволило преступнику обойти защитные системы, поскольку действия выглядели как легитимные: учётные записи казались принадлежащими внутренним пользователям с доверенных устройств и IP-адресов.
«Самое удивительное в этом случае — то, что злоумышленники, по-видимому, понимали, как работают системы обнаружения, — сказал Дуайер. — Эта атака была полностью осуществлена вне электронной почты, с использованием доверенного доступа через инфраструктуру VDI. При работе через внутренние виртуальные рабочие столы организации, для средств безопасности всё выглядит нормально и безопасно».
Медицинское учреждение, где работал пострадавший от кибератаки врач, ничего не знало о произошедшем до самого последнего момента. Администрация узнала о взломе лишь тогда, когда сотрудник обратился с вопросом о невыплаченной зарплате.
Как отметил Дуайер, системы расчета заработной платы и управления кадрами являются для злоумышленников особенно привлекательной мишенью. Специалистам по безопасности следует воспринимать данные о выплатах как источник телеметрии для выявления угроз, а любые корректировки в начислениях — как финансовые операции с высоким уровнем риска.
«Положительный момент заключается в том, что у нас уже есть для этого все инструменты — опыт, полученный при борьбе с мошенничеством в банковских переводах и в расчётах с дебиторами, применим и здесь, — пояснил Дуайер. — Любые изменения реквизитов для прямого депозита должны проходить дополнительное подтверждение, необходим период ожидания для проверки данных на мошенническую активность или аналогичные меры».
В то же время Дуайер признал, что, хотя у компаний и есть технические возможности для подобной защиты, у них не всегда выстроены четкие процедуры для управления такими рисками на стыке безопасности и бизнес-процессов.
