«Вас вызывают на ковер». Как хакеры украли доступ к 35 тысячам аккаунтов через фейковые письма от начальства

BinaryPhantom

⚡ Contributor
ACTIVE NODE
INITIATED
Ни один тренинг по кибербезопасности не учит, что делать, когда письмо выглядит как реальный разнос от начальства. А хакеры как раз на этом и сыграли.

В середине апреля 2026 года специалисты Microsoft зафиксировали масштабную фишинговую кампанию, которая затронула более 35 тысяч человек из 13 тысяч организаций в 26 странах. Около 92 процентов целей находились в США. Под удар попали компании из сферы здравоохранения, финансов, технологий и профессиональных услуг. Злоумышленники маскировали атаки под внутренние расследования нарушений на работе. Пользователям приходили письма с обвинениями в несоблюдении корпоративных правил, и вся цепочка выглядела настолько правдоподобно, что жертвы сами передавали злоумышленникам доступ к учётным записям Microsoft.

Письма приходили от имён вроде «Internal Regulatory COC», «Workforce Communications» и «Team Conduct Report». В теме указывали якобы открытое дисциплинарное дело или нарушение внутренних правил. Сообщения выглядели как официальная переписка отдела кадров или службы соответствия требованиям.

Авторы кампании тщательно продумали оформление. В письмах сообщалось, что сообщение отправили через «авторизованный внутренний канал», а ссылки и вложения «проверили и одобрили для безопасного доступа». Внизу добавляли зелёный баннер сервиса для защищённой медицинской переписки, который действительно используется в США. Такой приём должен был убедить жертву, что письмо легитимно. К каждому письму прикрепляли PDF-файл с названиями вроде «Awareness Case Log File – Tuesday 14th, April 2026.pdf» или «Disciplinary Action – Employee Device Handling Case.pdf». Внутри находилась ссылка «Review Case Materials», запускавшая цепочку атаки.

После перехода пользователя отправляли на подконтрольный злоумышленникам сайт, где показывали проверку от популярного сервиса защиты от ботов. Проверка якобы подтверждала, что пользователь вошёл через «действительную сессию». Такой шаг помогал отсекать автоматические системы анализа и песочницы. Дальше открывалась промежуточная страница с сообщением, что документы зашифрованы и требуют подтверждения учётной записи. После нажатия кнопки «Review & Sign» жертву просили ввести адрес электронной почты, затем пройти ещё одну проверку с выбором изображений.

После всех проверок пользователь попадал на финальную страницу с предложением «войти через Microsoft» для просмотра материалов дела и назначения встречи для обсуждения ситуации. Ссылка была активна всего пять минут, что создавало дополнительное давление. На этом этапе запускалась схема «злоумышленник посередине». Такой метод позволяет перехватывать сеанс авторизации в реальном времени и красть токены доступа, даже если включена многофакторная аутентификация, не защищённая от фишинга. При этом финальная страница могла меняться в зависимости от того, заходила ли жертва с мобильного устройства или с компьютера.

В отчёте Microsoft отметили, что злоумышленники использовали легальные сервисы рассылки электронной почты и облачные виртуальные машины. Письма отправляли с нескольких доменов, зарегистрированных специально для кампании.

Корпорация советует компаниям включить защиту ссылок и вложений в офисных продуктах, использовать браузеры с поддержкой защиты от фишинга и по возможности переходить на беспарольную авторизацию с ключами безопасности или приложениями-аутентификаторами.
 

qwerty567ghjklmn

🔹 Member
INITIATED
Спасибо, что рассказали. Я сам работаю в крупной компании, и у нас периодически приходят такие письма от "отдела кадров". Слава богу, я всегда настороженно отношусь к подобным запросам, но некоторые коллеги уже попадались. Очень коварный метод, особенно с использованием CAPTCHA и поддельных страниц входа. Теперь я буду обязательно предупреждать коллег, чтобы не переходили по ссылкам даже из официальных на вид писем. Будучи осторожным, можно избежать множества проблем.
 

kra-kra-Kra)))

⚡ Contributor
ACTIVE NODE
INITIATED
Вот это поворот! Я думала, что только наивные могут попасться на такие уловки, но когда письмо выглядит как реальный разнос от начальства, это реально страшно. Особенно когда они используют профессиональные термины и бренды вроде Paubox. Умно. Мошенники явно профессионально подготовились. Я теперь всегда буду проверять письма, даже если они выглядят легитимно, и не переходить по ссылкам, чтобы не рисковать аккаунтами.
 

CrazyPanda42

🔹 Member
INITIATED
Я как раз недавно читал про эту атаку на новостном портале. Специалисты Microsoft предупреждали, что с 14 по 16 апреля 2026 года было зафиксировано огромное количество взломов. Мне кажется, что такие кампании становятся все более изощренными, и научиться распознавать подделки становится все труднее. Хорошо, что они дают советы по защите, вроде включения Safe Links и Safe Attachments. Будем знать, как защититься от таких атак.
 

NoName_X

🔹 Member
INITIATED
Я работаю в сфере IT-безопасности, и могу сказать, что подобные атаки становятся все более частыми. Особенно тревожит использование легальных сервисов, таких как Paubox, для придания письмам легитимности. Это действительно сложно вычислить. Но советы по защите, данные Microsoft, очень полезны. Нужно обязательно обучать сотрудников кибергигиене и использовать современные средства защиты, такие как FIDO-ключи. В общем, бдительность и обучение - залог безопасности.
 

_Murloc_

🔹 Member
INITIATED
Что ж, очередная фишинговая кампания. Я всегда удивляюсь, как много людей все еще ведутся на подобные вещи. Но, честно говоря, письма выглядят очень правдоподобно, особенно если у вас не очень развито критическое мышление. Мошенники используют психологическое давление, угрожая дисциплинарными делами, чтобы заставить жертву действовать быстро и без раздумий. Поэтому главное не поддаваться панике и всегда перепроверять информацию. Спасибо за подробное описание кампании, это помогает быть настороже.
 
Верх