Мошенники рассылают вредоносные письма бухгалтерам

Киберпреступники продолжают совершенствовать схемы атак на компании, делая ставку на человеческий фактор и доверие сотрудников к служебной переписке. Как отмечают специалисты, особенно уязвимыми часто оказываются бухгалтеры и сотрудники финансовых отделов, поскольку именно через их компьютеры злоумышленники пытаются получить доступ к денежным операциям и корпоративным счетам.

Мошенники заражают компьютеры бухгалтеров с помощью вредоносных писем, после чего выводят деньги на счета подставных лиц, которые используются как транзитные для последующего обналичивания и сокрытия следов похищенных средств, рассказали РИА Новости в компании-разработчике F6. Такие схемы позволяют преступникам быстро дробить и перегонять деньги между несколькими счетами, усложняя их отслеживание правоохранительными органами и банками.

"Киберпреступная группировка Hive0117 действует с конца 2021 года. С начала 2026 года злоумышленники атаковали более 3 тысяч организаций из разных отраслей: с помощью вредоносных писем заражали компьютеры бухгалтеров и выводили деньги на счета дропов, в том числе под видом перечисления зарплаты", - говорится в сообщении компании. По данным экспертов, подобные атаки затрагивают не только коммерческие структуры, но и организации из сферы услуг, промышленности и других направлений, что делает проблему массовой и особенно опасной. В компании также подчеркивают, что для защиты от таких угроз важны регулярное обучение персонала, проверка вложений и усиление контроля над финансовыми операциями.

В последнее время специалисты отмечают рост числа фишинговых рассылок, в которых злоумышленники тщательно имитируют легитимные компании и деловую переписку. Для своей схемы они заранее подготавливают инфраструктуру: регистрируют домены для массовых рассылок и управляющие адреса, а также нередко используют уже задействованные ранее доменные имена, чтобы быстрее обходить фильтры и вызывать меньше подозрений. Такие письма внешне выглядят как обычные рабочие сообщения и нередко содержат темы, хорошо знакомые сотрудникам бухгалтерии и финансовых отделов.

После подготовки злоумышленники отправляют вредоносные сообщения под видом стандартной деловой корреспонденции. Чаще всего в качестве приманки используются темы вроде «Документы», «Счет на оплату», «Накладная», «Акт сверки» или «Задолженность по оплате». Подобные названия подбираются не случайно: они вызывают у получателя ощущение срочности и снижают бдительность, побуждая его быстрее открыть вложение или перейти по ссылке.

Как правило, вредоносное содержимое скрывается внутри архивов или файлов, замаскированных под привычные бухгалтерские документы. Для дополнительного сокрытия пароль к архиву часто указывается прямо в тексте письма, что помогает преступникам обходить автоматические проверки почтовых сервисов и антивирусных решений. Когда пользователь открывает такой архив и вводит пароль, он запускает спрятанный внутри файл, после чего на устройство может быть установлено вредоносное программное обеспечение.

В итоге на компьютере жертвы может оказаться троян удаленного доступа, позволяющий злоумышленникам контролировать систему, получать доступ к данным и использовать зараженное устройство для дальнейших атак. Поэтому важно внимательно проверять источник писем, не открывать подозрительные вложения и обязательно сверять любые финансовые документы по альтернативным каналам связи.

Подобные атаки особенно опасны тем, что пользователь часто не замечает момента компрометации и продолжает работать как обычно. В результате злоумышленники могут получить доступ к сохранённым в браузере паролям, активным сессиям, cookies и другим важным пользовательским данным. Бухгалтер, находясь за компьютером, может даже не подозревать, что в это же время на устройстве уже происходит несанкционированная активность.

Для киберпреступников такая схема удобна тем, что позволяет действовать скрытно и длительное время оставаться незамеченными. Это повышает шансы не только на кражу данных, но и на дальнейшее развитие атаки внутри корпоративной инфраструктуры. По данным F6, около 400 кибератак на российские компании оказались успешными, а средняя сумма ущерба выросла до 10 миллионов рублей.

Эксперты отмечают, что для этой группировки характерны волнообразные всплески активности: после массовых рассылок обычно следует период затишья, который иногда может длиться несколько месяцев. Такой подход помогает злоумышленникам снижать внимание со стороны специалистов по безопасности и готовить новые кампании без лишнего шума.

Переписанный текст:

Пик подобных рассылок пришелся на февраль и март, после чего их интенсивность начала заметно снижаться, а общее число сообщений уменьшилось в десятки раз. Специалисты отмечают, что в отдельных эпизодах вредоносные письма отправлялись уже от имени ранее скомпрометированной компании и распространялись по ее контрагентам. Такой подход повышал доверие получателей и, как следствие, увеличивал вероятность успешного проведения атаки.

Подобные схемы особенно опасны тем, что злоумышленники используют реальные деловые связи и маскируют атаку под обычную рабочую переписку. Это делает фишинговые письма более убедительными и затрудняет их своевременное распознавание. В компании подчеркнули, что именно поэтому подобные кампании нередко приводят к заражению корпоративных устройств и утечке конфиденциальных данных.

Аналитики F6 рекомендуют бухгалтерии и сотрудникам финансовых подразделений проявлять повышенную осторожность при работе с входящей почтой. Не следует открывать вложения и переходить по ссылкам без предварительной проверки, особенно если письмо пришло от неизвестного отправителя или вызывает даже минимальные подозрения. При обнаружении признаков вредоносной активности на компьютере устройство необходимо немедленно изолировать от внешней сети, чтобы предотвратить дальнейшее распространение угрозы и возможный ущерб для организации.

Источник и фото - ria.ru