Злоумышленник попросил платить ему зарплату вместо сотрудника.
Исследователи из Abnormal Security выявили группировку Chiffon Herring, нацеленную на сотрудников университетов в новых атаках по перехвату заработной платы (Payroll Diversion). Chiffon Herring действует с марта и в основном нацелена на местные школьные округа и университеты в США. Злоумышленники, предположительно, находятся в Нигерии и Южной Африке.
В рамках атаки киберпреступник выдает себя за преподавателя и отправляет электронное письмо заведующему кафедрой в университете или офисным сотрудникам школьного округа.
В электронном письме злоумышленник от имени преподавателя пишет, что он недавно сменил банк и ему необходимо обновить свои банковские реквизиты. Чтобы создать ощущение срочности, в электронном письме также упоминается, что предыдущая учетная запись станет неактивной до следующего дня выплаты зарплаты. В результате атаки мошенник указывает реквизиты своего счета, чтобы зарплата жертвы поступила на его счет. Согласно анализу, Chiffon Herring также использует инфраструктуру крупнейшего в мире регистратора доменов GoDaddy для отправки писем.
Почти во всех атаках Chiffon Herring предоставляет банковские реквизиты банка Green Dot для перенаправления средств. Счета в этих банках относительно легко открыть, и в основном они связаны с предоплаченными картами.
Карты предоплаты обычно используются в атаках по перехвату заработной платы для получения прямых депозитов за 48 часов до дня выплаты зарплаты. Таким образом, злоумышленник может иметь доступ к перенаправленным средствам в течение нескольких дней, прежде чем жертва обнаружит факт мошенничества.
Для обеспечения защиты от такой атаки нужно обучить всех сотрудников, особенно финансовых и кадровых, обнаруживать признаки фишинговых атак. Кроме того, учреждения и школы также должны внедрить решение для защиты электронной почты, чтобы блокировать вредоносные электронные письма.
Наш канал — питательная среда для вашего интеллекта