Netikras IT pagalbos pokalbis per „Teams“ gali baigtis kompiuterio perėmimu: plinta „Snow“ kenkėjiškų įrankių grandinė

Darbuotojas pirmiausia gauna šlamšto laiškų laviną, tada per „Microsoft Teams“ parašo tariamas IT pagalbos specialistas ir pasiūlo „sutvarkyti problemą“. Būtent taip, pasak „Google“ priklausančios „Mandiant“, veikia nauja UNC6692 grupės kampanija: pasitikėjimas įmonės pokalbių platforma panaudojamas tam, kad žmogus pats paspaustų nuorodą ir įdiegtų kenkėjišką „Snow“ įrankių rinkinį.

Kodėl ši ataka pavojingesnė už įprastą sukčiavimo laišką

Dauguma žmonių jau įprato atsargiau vertinti keistus el. laiškus: tikrina siuntėją, įtaria prisegtukus, neskuba spausti neaiškių nuorodų. Tačiau „Teams“ pokalbis psichologiškai veikia kitaip. Jei žmogui parašo „IT pagalba“, ypač po to, kai jo pašto dėžutę užplūdo šlamštas, situacija atrodo logiška: problema yra, kažkas iš techninės komandos ją sprendžia.

„Mandiant“ aprašyta schema prasideda nuo el. pašto bombardavimo – aukos pašto dėžutė užverčiama laiškais, sukuriamas chaosas ir skubos jausmas. Tada užpuolikai per „Microsoft Teams“ apsimeta pagalbos tarnyba ir įtikina darbuotoją priimti pokalbį iš išorinio naudotojo. Toliau siūloma paspausti nuorodą ir įdiegti tariamą pataisą nuo šlamšto.

Čia ir slypi pagrindinis triukas: žmogus ne tik apgaunamas, bet ir įtraukiamas į „pagalbos“ scenarijų. Jis mano, kad sprendžia problemą kartu su IT specialistu, nors iš tiesų atveria duris įmonės tinklui.

Kas yra „Snow“ ir ką ji gali padaryti kompiuteryje

„Snow“ nėra viena paprasta programa. Tai kelių dalių kenkėjiškų įrankių rinkinys. Viešai aprašomi trys pagrindiniai komponentai: „SnowBelt“, „SnowBasin“ ir „SnowGlaze“. „SnowBelt“ siejamas su kenkėjišku „Chromium“ pagrindu veikiančiu naršyklės plėtiniu, „SnowBasin“ veikia kaip užpakalinės durys nuotolinei prieigai, o „SnowGlaze“ naudojamas ryšiui ir duomenų srautui maskuoti.

Tai reiškia, kad tikslas nėra vien pavogti vieną slaptažodį. Užpuolikai gali siekti išlikti sistemoje, vykdyti komandas, rinkti duomenis, daryti ekrano kopijas, perimti prisijungimo informaciją ir judėti giliau organizacijos tinkle. „BleepingComputer“ taip pat nurodo, kad šios kampanijos tikslas – jautrių duomenų vagystė po gilesnio tinklo kompromitavimo, įskaitant domeno perėmimo riziką.

Svarbiausia pamoka Lietuvos įmonėms paprasta: pavojinga nuoroda šiandien gali ateiti ne tik el. paštu, bet ir per platformą, kuria darbuotojai pasitiki kasdien.

Kenkėjiškos programos Teams / Natee Meepian / Shutterstock.com

Kodėl tai aktualu ir Lietuvos įmonėms

„Teams“ plačiai naudojama versle, švietime, viešajame sektoriuje ir organizacijose, kur darbuotojai kasdien gauna žinutes iš kolegų, partnerių ar paslaugų teikėjų. Dėl to ataka per pokalbių platformą atrodo natūraliau nei klasikinis laiškas iš nepažįstamo siuntėjo.

Rizika padidėja, jei organizacijoje leidžiami pokalbiai su išoriniais naudotojais, darbuotojai nėra apmokyti tikrinti IT pagalbos tapatybės, o techninė pagalba realiai kartais prašo diegti programas ar plėtinius nuotoliniu būdu. Užpuolikams tereikia imituoti įprastą procesą.

„Microsoft“ dar 2025 m. yra perspėjusi apie grėsmes, kai nusikaltėliai piktnaudžiauja „Teams“ ir kitomis „Microsoft 365“ paslaugomis, platina kenkėjiškas nuorodas, apsimeta patikimais kontaktais ar bando įtikinti naudotojus įdiegti nuotolinės prieigos įrankius.

Kaip atpažinti netikrą IT pagalbą

Įtarimų turėtų sukelti bet koks „IT specialistas“, kuris staiga parašo iš išorinės paskyros, prašo skubiai spausti nuorodą, diegti naršyklės plėtinį, paleisti failą, įvesti prisijungimo duomenis neįprastame puslapyje ar apeiti įmonės saugumo įspėjimus.

Dar vienas signalas – istorija atrodo pernelyg patogi. Pirmiausia prasideda problema, pavyzdžiui, paštą užplūsta šlamštas, o po kelių minučių atsiranda „pagalba“, siūlanti greitą pataisą. Būtent toks skubos ir palengvėjimo derinys dažnai priverčia žmogų paspausti tai, ko įprastai nespaustų.

Darbuotojams verta įsidėmėti vieną taisyklę: jei IT pagalba prašo kažką įdiegti, prisijungti ar suteikti prieigą, patvirtinkite tai kitu kanalu – paskambinkite vidiniu numeriu, parašykite žinomam IT kontaktui arba naudokite oficialią pagalbos sistemą.

Ką turėtų padaryti organizacijos

Įmonėms verta peržiūrėti, ar „Teams“ leidžia išorinių naudotojų žinutes visiems darbuotojams. Jei tokio poreikio nėra, geriau riboti išorinį bendravimą arba taikyti aiškias taisykles, kas gali priimti išorinius kvietimus.

Taip pat svarbu uždrausti savavališką naršyklės plėtinių diegimą, riboti „AutoHotkey“ ar panašių scenarijų vykdymą, stebėti netikėtus plėtinius, įtartinus „WebSocket“ ryšius ir neįprastą nuotolinės prieigos aktyvumą. Darbuotojų mokymai turi apimti ne tik el. paštą, bet ir „Teams“, „Slack“, „WhatsApp“, „Zoom“ bei kitus kanalus.

Praktiškai svarbiausia sukurti aiškią procedūrą: IT pagalba niekada neprašo diegti „pataisų“ per atsitiktinę pokalbio nuorodą, neveda į neaiškius prisijungimo puslapius ir nereikalauja apeiti saugumo perspėjimų.

Jei jau paspaudėte nuorodą

Jeigu darbuotojas paspaudė įtartiną nuorodą, įdiegė plėtinį ar įvedė prisijungimo duomenis, svarbu neslėpti incidento. Reikia nedelsiant atjungti įrenginį nuo tinklo, pranešti IT ar saugumo komandai, pakeisti slaptažodžius iš švaraus įrenginio ir patikrinti, ar nebuvo įdiegti naršyklės plėtiniai, nuotolinės prieigos programos ar neįprasti scenarijai.

Šio tipo atakos pavojingos tuo, kad jos neatrodo kaip ataka. Jos atrodo kaip pagalba. Todėl ateityje didžiausias saugumo klausimas bus ne tik „ar neatidarėte įtartino laiško“, bet ir „ar tikrai žinote, kas jums rašo per įmonės pokalbių programą“.

Įvertinkite šį straipsnį:

😡

😕

😐

🙂

😍

Kraunami duomenys...