Ни один тренинг по кибербезопасности не учит, что делать, когда письмо выглядит как реальный разнос от начальства. А хакеры как раз на этом и сыграли.
В середине апреля 2026 года специалисты Microsoft зафиксировали масштабную фишинговую кампанию, которая затронула более 35 тысяч человек из 13 тысяч организаций в 26 странах. Около 92 процентов целей находились в США. Под удар попали компании из сферы здравоохранения, финансов, технологий и профессиональных услуг. Злоумышленники маскировали атаки под внутренние расследования нарушений на работе. Пользователям приходили письма с обвинениями в несоблюдении корпоративных правил, и вся цепочка выглядела настолько правдоподобно, что жертвы сами передавали злоумышленникам доступ к учётным записям Microsoft.
Письма приходили от имён вроде «Internal Regulatory COC», «Workforce Communications» и «Team Conduct Report». В теме указывали якобы открытое дисциплинарное дело или нарушение внутренних правил. Сообщения выглядели как официальная переписка отдела кадров или службы соответствия требованиям.
Авторы кампании тщательно продумали оформление. В письмах сообщалось, что сообщение отправили через «авторизованный внутренний канал», а ссылки и вложения «проверили и одобрили для безопасного доступа». Внизу добавляли зелёный баннер сервиса для защищённой медицинской переписки, который действительно используется в США. Такой приём должен был убедить жертву, что письмо легитимно. К каждому письму прикрепляли PDF-файл с названиями вроде «Awareness Case Log File – Tuesday 14th, April 2026.pdf» или «Disciplinary Action – Employee Device Handling Case.pdf». Внутри находилась ссылка «Review Case Materials», запускавшая цепочку атаки.
После перехода пользователя отправляли на подконтрольный злоумышленникам сайт, где показывали проверку от популярного сервиса защиты от ботов. Проверка якобы подтверждала, что пользователь вошёл через «действительную сессию». Такой шаг помогал отсекать автоматические системы анализа и песочницы. Дальше открывалась промежуточная страница с сообщением, что документы зашифрованы и требуют подтверждения учётной записи. После нажатия кнопки «Review & Sign» жертву просили ввести адрес электронной почты, затем пройти ещё одну проверку с выбором изображений.
После всех проверок пользователь попадал на финальную страницу с предложением «войти через Microsoft» для просмотра материалов дела и назначения встречи для обсуждения ситуации. Ссылка была активна всего пять минут, что создавало дополнительное давление. На этом этапе запускалась схема «злоумышленник посередине». Такой метод позволяет перехватывать сеанс авторизации в реальном времени и красть токены доступа, даже если включена многофакторная аутентификация, не защищённая от фишинга. При этом финальная страница могла меняться в зависимости от того, заходила ли жертва с мобильного устройства или с компьютера.
В отчёте Microsoft отметили, что злоумышленники использовали легальные сервисы рассылки электронной почты и облачные виртуальные машины. Письма отправляли с нескольких доменов, зарегистрированных специально для кампании.
Корпорация советует компаниям включить защиту ссылок и вложений в офисных продуктах, использовать браузеры с поддержкой защиты от фишинга и по возможности переходить на беспарольную авторизацию с ключами безопасности или приложениями-аутентификаторами.
В середине апреля 2026 года специалисты Microsoft зафиксировали масштабную фишинговую кампанию, которая затронула более 35 тысяч человек из 13 тысяч организаций в 26 странах. Около 92 процентов целей находились в США. Под удар попали компании из сферы здравоохранения, финансов, технологий и профессиональных услуг. Злоумышленники маскировали атаки под внутренние расследования нарушений на работе. Пользователям приходили письма с обвинениями в несоблюдении корпоративных правил, и вся цепочка выглядела настолько правдоподобно, что жертвы сами передавали злоумышленникам доступ к учётным записям Microsoft.
Письма приходили от имён вроде «Internal Regulatory COC», «Workforce Communications» и «Team Conduct Report». В теме указывали якобы открытое дисциплинарное дело или нарушение внутренних правил. Сообщения выглядели как официальная переписка отдела кадров или службы соответствия требованиям.
Авторы кампании тщательно продумали оформление. В письмах сообщалось, что сообщение отправили через «авторизованный внутренний канал», а ссылки и вложения «проверили и одобрили для безопасного доступа». Внизу добавляли зелёный баннер сервиса для защищённой медицинской переписки, который действительно используется в США. Такой приём должен был убедить жертву, что письмо легитимно. К каждому письму прикрепляли PDF-файл с названиями вроде «Awareness Case Log File – Tuesday 14th, April 2026.pdf» или «Disciplinary Action – Employee Device Handling Case.pdf». Внутри находилась ссылка «Review Case Materials», запускавшая цепочку атаки.
После перехода пользователя отправляли на подконтрольный злоумышленникам сайт, где показывали проверку от популярного сервиса защиты от ботов. Проверка якобы подтверждала, что пользователь вошёл через «действительную сессию». Такой шаг помогал отсекать автоматические системы анализа и песочницы. Дальше открывалась промежуточная страница с сообщением, что документы зашифрованы и требуют подтверждения учётной записи. После нажатия кнопки «Review & Sign» жертву просили ввести адрес электронной почты, затем пройти ещё одну проверку с выбором изображений.
После всех проверок пользователь попадал на финальную страницу с предложением «войти через Microsoft» для просмотра материалов дела и назначения встречи для обсуждения ситуации. Ссылка была активна всего пять минут, что создавало дополнительное давление. На этом этапе запускалась схема «злоумышленник посередине». Такой метод позволяет перехватывать сеанс авторизации в реальном времени и красть токены доступа, даже если включена многофакторная аутентификация, не защищённая от фишинга. При этом финальная страница могла меняться в зависимости от того, заходила ли жертва с мобильного устройства или с компьютера.
В отчёте Microsoft отметили, что злоумышленники использовали легальные сервисы рассылки электронной почты и облачные виртуальные машины. Письма отправляли с нескольких доменов, зарегистрированных специально для кампании.
Корпорация советует компаниям включить защиту ссылок и вложений в офисных продуктах, использовать браузеры с поддержкой защиты от фишинга и по возможности переходить на беспарольную авторизацию с ключами безопасности или приложениями-аутентификаторами.