Начиналось всё как у всех, пишет якобы директор, пытается что-то узнать про коллектив и, ... и всё на этом.
Никакие "капитаны ФСБ/МВД/ТСЖ" не позвонили, никто в госизмене не обвинил, никакой подозрительной активности на счетах не было.
Пишу, конечно, по мотивам публикации Мошенники. Вектор атаки на айтишников через LinkedIn (даже картинка предпросмотра та же, - но это уже классика), когда читал, сначала подумал: "о, это прям наш случай, интересно, что же это было", но потом понял, что случай не совсем наш, а что это было, я так и не понял. Поэтому опишу как всё происходило, может сталкивались, может есть мысли.
А дело было так...
Где-то в конце прошлого, 2023 года, некоторым сотрудникам (я НЕ в их числе), написал псевдо генеральный директор в Телеграмм.
Характерно то, что все сотрудники, кому написали, работают в компании продолжительное время, не менее 4 лет, т.е. если утечки данных произошла, то не факт что вчера, сотрудникам, которые устроились относительно недавно - никто не писал.
Неожиданное появление сразу двух директоров в телеграмме - подозрительно, тем более он сидит в соседнем кабинете и можно зайти обсудить, кто-то так и сделал со словами: "смотри, ты мне сейчас пишешь и не пишешь одновременно".
То, что это мошенники сразу стало понятно, непонятно было что они хотят. А спрашивали про удовлетворённость работой, например: "есть ли у тебя какие-то трудности?", "нравится ли тебе работа?", "есть, может, какие-то пожелания?", "всё ли тебя устраивает?". Такие вопросы обо всём и не о чём конкретно.
В конце мошенник сказал, что в компании ожидается проверка, придут ревизоры и аудиторы, возможно будут писать тебе - окажи содействие. Мы уже приготовились что сейчас то и начнут писать капитан-майоры юстиции, и возможно целый генерал от инфантерии, но ничего не произошло.
Повторилось всё уже в начале этого, 2024 года, но "директор" написал уже другим людям, в этот раз, в том числе, и мне.
Тут уже характерно и то, что опять же все эти люди работают тоже очень давно, и то, что за эти несколько месяцев уже вся компания успела обсудить странных прошлогодних мошенников.
Спросил есть ли у меня какие-то конфликты на работе.
Кто-то не стал с ними общаться, сразу отправил в чёрный список, мне же был интересно чем это может закончиться, будет ли развитие, в общем нужно было как-то не спугнуть, т.е. отвечать вроде и по существу, и чтобы ничего непонятно было.
Кто-то предложил цитировать мультфильм про Масяню, ну вы поняли:
Алё… Кто это? Директор? Да пошел ты в жопу, директор, не до тебя щас.
Чтобы сразу было понятно с кем конфликт и больше не задавали глупых вопросов.
Ну это был слишком явный намёк на то, что я понял, что говорю не с директором, поэтому я просто ответил что конфликтов нет, ну и уточнил имеются ли в виду только те, кто ещё жив. Якобы шутка, разбавить якобы серьёзный разговор.
На этом всё, мошенник удалил чат и больше не писал.
Что это было?
И главное кто это был? И откуда пошла утечка? Что хотел?
Заказчик
Может это потенциальный или действующий заказчик (компания занимается заказной разработкой ПО), пытается понять, что у нас за коллектив, и не закроемся ли мы через два дня из-за внутренних конфликтов?!
Утечка, в этом случае, могла пойти из какой-нибудь конкурсной заявки (возможно даже очень старой, раз новых сотрудников в списке "опрошенных" нет).
Ну это странно, можно просто узнать историю компании, и на этом сделать вывод, тем более писали сотрудникам, которые давно работают, раз столько времени проработали, то с чего вдруг резко передумали и распались?!
Конкуренты
Как вариант с целью узнать "ху из ху", может переманить недовольных. Но опять же странно искать "недовольных" среди тех, кто работает давно, понятно что всё может неожиданно перемениться, но с этими людьми очевидно научились находить компромиссы.
Другое дело, что это я знаю кто работает давно, и для меня выглядит странно, а они - те кто пишет, могут этого и не знать.
Бывшие сотрудники
В этом случае понятно откуда утечка, понятно почему пишут только тем, кто работает давно - про остальных ничего не знают. Непонятно зачем? Какой им смысл, если хотят позвать к себе из-за позитивных воспоминаний о совместной работе, так сразу бы и написали: "Как у вас? А давай к нам!".
Версия удобная - объясняет многое, кроме самого главного.
Учредители
Ну мало ли, решили узнать, как там дела в их компании. Таким вот странным способом, от имени директора: если подозревают, что сотрудники могут скрывать что-то от учредителей, то с чего решили, что будут откровенничать с директором?!
Понятно откуда у них контакты, непонятно почему они ограничились только ими, хотя потенциально могут достучаться до всех.
И почему они так опрометчиво пишут людям, которые сидят в соседнем с директором кабинете, и могут просто к нему зайти?
Аудиторы
Если кто-то нанимает аудиторов, то и данные мог бы предоставить им, хоть и некрасиво, - поэтому видимо и шифруются.
И непонятно зачем это нужно аудиторам, их больше бухгалтерия должна интересовать, а не конфликты в коллективе. Может идея в том, что те "у кого зуб", могут рассказать в каком шкафу прячутся скелеты...
Проверка на болтливость
Кто-то из своих решил попробовать поговорить со всеми и определить кто из коллег самый беспечный и болтливый, а у кого рот на замке.
Но тогда непонятно зачем понадобился второй заход, ведь когда только начали писать - то сразу весь коллектив уже знал, что какие-то странные люди задают странные вопросы, - смысла продолжать не было. Да и с самого начала не было смысла писать тем, кто заметит что чата с директором вдруг стало два.
Тру мошенники
С первых сообщений прошло уже около полугода, если это стандартный развод с обвинениями в нарушении конституции, то как-то начали очень издалека и играют в долгую. Неужели у мошенников такой большой горизонт планирования?!
?
Собственно у меня нет правдоподобных версий, понятно что кто-то хочет обманом выведать какую-то информацию. Какая от неё польза - мне не ясно.
Приходилось ли вам с чем-то подобным сталкиваться? Может есть представления о том зачем это?
UPD. Вывод
Самое простое и вероятное объяснение случившемуся, которое превалирует в комментариях, что всё двигалось по сценарию описанному в публикации: Капитан ФСБ, шпионы и подставной гендиректор: разбираем атаку на нашего топ-менеджера. С той лишь разницей, что мошенники переключились на более перспективных жертв (немного обидно, что даже жулики посчитали меня бесперспективным), а второй заход спустя большое время - это какая-то накладка.
В этом случае ничего нового я не озвучил, но о написанном - не сожалею, ведь если ещё есть "более перспективные жертвы", значит сценарий рабочий, и огласка - то, что поможет кому-то не попасться на удочку.
Возможно в инструктаж по безопасности следует включить пункт "что делать если пишет директор?". А пока будьте бдительны.
Комментарии (21)
d-stream
26.04.2024 06:08Версия: часть "хитрых" решила обмануть фейкового директора... И дабы не потерять его - добавила себе в контакты.
И у части из этой части была включена опция "показывать номер телефона только контактам".
В итоге у жуликов база обогатилась связкой телефон-аккаунт телеги
velon Автор
26.04.2024 06:08+1Но для того чтобы написать в телеграмм нужно изначально знать либо телефон, либо никнейм. Никнейм вряд ли попадает в утечки, так что остаётся телефон, - тут для жуликов никакой новой инфы не будет
d-stream
26.04.2024 06:08Бывает разное. К примеру из произвольной группы в телеге можно добыть ники.
velon Автор
26.04.2024 06:08Да. Но там не добыть ФИО гендира.
Тем более писали сразу нескольким сотрудникам, единственная группа в которой все эти люди состоят - рабочий чат.
Поэтому я думаю что писали зная номер телефона
PLANAR-CHEL
26.04.2024 06:08+1Судя по нашему опыту (пишут бывшим сотрудникам) - сначала ищут гендиректора по каким-то базам, а потом ищут сотрудников через другие базы (может даже через иноформацию о зарплатных проектах в банках). Клонируют директора в телеграме, а потом ищут там сотрудников по номерам телефонов
velon Автор
26.04.2024 06:08Спасибо что поделились наблюдением.
Мне кажется что они не разбирают бывший это сотрудник или нет, у нас все действующие, может и бывшим писали.
Скорее всего базы, по которым они ищут, - старые (3 или 4 года), и за это время часть сотрудников стали "бывшими"
DonStron
26.04.2024 06:08+1В компании, где работает жена, примерно раз в месяц сотрудникам пишет фейковый гендир с такими вопросами. Некоторые сотрудники за последние пол года уже по нескольку таких гендиров блокировали. То есть всем эти гендиры уже наскучили.
Это я к тому, что скорей всего схема ещё не выработала себя, даёт заработок и поэтому данным мошенничеством занимается много разных не связанных друг с другом "коллцентров".
Вот они и связываются не зная, что поляну вытоптали уже другие "гендиры" до них.
Так что имхо самое простое объяснение: связывались разные не связанные друг с другом группы мошенников. И, как тут уже заметили в комментариях, скорей всего после первых общений, они сосредоточились на других компаниях, где сотрудники проявили себя более "перспективно".
Wakeonlan
26.04.2024 06:08+1О,недели 2 назад в вацапе клон директора, от которого я уволился года два как начал про налоговые проверки вещать.компания ни разу не айти. Добавил в чс
velon Автор
26.04.2024 06:08Наш более осторожен - просто спросил как дела и слился, наверно ещё зелёный.
Где мой саспенс про проверки!? Даже обидно как-то.
AVX
26.04.2024 06:08+1если это стандартный развод с обвинениями в нарушении конституции, то как-то начали очень издалека и играют в долгую
сейчас многие мошенники стали значительно больше времени уделять на разводы. Даже банальные "ваш счёт в опасности" и то стали подводить к основной фразе довольно долгое время - я лично разок наткнулся на мошенников, с которыми беседовал более часа, хотел найти каким способом будут далее у меня доступы выуживать. Дошло до банального фишинга в ватсапе, я на этом закончил всё. Для меня это уже превращается в некий "челендж", насколько близко "к провалу" я смогу подобраться, но без каких-то последствий для себя. Присылаемые смски с кодами уже не впечатляют, вот они видимо уже начинают более длительные психологические "обработки" людей.
alysnix
странные люди. понимают что им звонят жулики, но стараются выяснить - зачем им звонят жулики.
обьясняю, жулики звонят, чтобы вас или кого-то другого обжулить, короче - развести на деньги.
вот это надо было читать.
https://habr.com/ru/companies/StartX/articles/781616/
ну и погуглить - "мошенники звонит майор фсб".
velon Автор
Да, я тоже сначала так подумал, но если сравнивать с Капитан ФСБ, шпионы и подставной гендиректор: разбираем атаку на нашего топ-менеджера, то дальше первого шага не зашло.
Т.е. цель видимо другая, а не:
8. Звонит дополнительный «куратор», который объясняет, как снять деньги и куда их перевести.
Ну а если это "подготовительный этап", то он сильно затянулся.
alysnix
не зашло, потому что одна бригада мошенников обрабатывают несколько десятков таких клиентов как вы, за день. просто в дальнейшую разработку пошли более "перспективные", чем вы, а вас отложили, до лучших времен.
инфу они берут из утечек каких-то бухгалтерских документов или вроде того. опять же, это все деятели под кураторством СБУ. а СБУ под кураторством бритов и амеров, и у них свои каналы добычи подобной инфы имеются.
velon Автор
Возможно так и есть, но "отложить до лучших времён" - не получится, обычно мошенники давят на "срочность".
Возвращаться к теме полугодовой давности и оперировать срочностью будет проблематично.
DonStron
На срочность они давят, когда нужно непосредственно "снимать деньги и отправлять их на секретный счёт". А когда делают заход со стороны фейкового гендира, там не срочность, там давят на "важность и страх" (расследование ФСБ, обвинение в госизмене и т.д.), и на первом этапе "обработки" важно найти сотрудника, который во всё это поверит, проникнется атмосферой "никому нельзя доверять, мне можно", убедить, что с этим сотрудником свяжется ещё более важный следователь "аж оттуда" и т.д. Тут срочности никакой не нужно. Сотрудник ведь даже обрадуется немного поиграть в шпиона, ведь "в бухгалтерии какая-то крыса, на меня возлагают ответственную миссию помочь её найти".
Все эти атаки не на компанию! Это просто такие сложные ходы, чтобы убедить простого обывателя, что всё серьезно, в бухгалтерии предприятия произошел слив и деньги этого обывателя в опасности, их нужно срочно снимать и переводить на секретный счет. И кредит брать быстрее с этими же целями, чтобы уже никто не смог взять кредит.
velon Автор
Тут проблема в том, что если на срочность не напирать, то жертва может успеть как-то обсудить это с коллегами в курилке, если не с коллегами, то с друзьями за кружкой пива, ну или с женой за просмотром сериала.
Да чего уж там, - даже на Хабр может успеть написать.
И обязательно кто-нибудь скажет: "Походу мошенники был похожий случай..."
Важность и страх важны, но это всё в комплексе, без срочности жертва свой страх может отрефлексировать.
Radisto
Или всё проще: в первый раз вас отсеяли как неперспективных, а "в работу" пошли более годные немамонты, а во второй никто просто не вспомнил, что вы уже были "в разработке" (если там было кому помнить - мы же не знаем об их текучке кадров, хранении архивов и прочих деталях "бизнеса". Там возможно ничего этого нет - стул, стол, ноутбук и человек - и все это каждый раз новое)
velon Автор
Вряд ли они что-то хранят, - всё что сохранят может быть использовано против них, так что да, есть и такой вариант, что забыли и написали повторно.
Либо это разные группы работающие по одному сценарию.
Меня смутило именно то, что написали повторно спустя какое-то время, но у этого действительно может быть много разных объяснений
MountainGoat
На спутниках своих низенько-низенько пролетают и в окна заглядывают!
alysnix
да не. скамеры с украины тырят у россиян прям под носом у сбу и их кураторов. а в конце разводят на -поджечь релейный шкаф, военкомат или избирательную урну(с чего бы это надо скамерам?). а потом в инете сами трепят языком, что у них надежная крыша - сбу.
а связь сбу с бритами и амерами это даже не секрет.
Classic_Fungus
Зачем пишут это понятно. А мне вот иногда приходят всякие ссылки. Я их хочу посмотреть (разумеется безопасно), но каждый раз получаю 404. обидно как-то, что не узнаешь, как тебя хотели развести.