СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25.12.2025
#ИБ

Фишинг под видом ADP: похищение учетных данных и утечка информации

Недавняя кампания по phishing, нацеленная на ADP, выявила опасные методы, которыми злоумышленники проникают в учетные записи сотрудников и извлекают конфиденциальные данные. Атака использует элементы социальной инженерии и тщательно подделанные письма, максимально похожие на легитимные сообщения от ADP, что повышает вероятность взаимодействия сотрудников с вредоносным контентом.

Как работает атака

«Эта кампания использует тактику социальной инженерии, чтобы обманом заставить пользователей раскрыть свои учетные данные для входа в систему».

Схема типична для целевых phishing-кампаний, но отличается качественной имитацией официальной переписки: злоумышленники подменяют отправителя, копируют фирменный стиль и формулировки, а также вставляют ссылки на фальшивые страницы входа. После того как сотрудник вводит свои регистрационные данные, атака превращается в полноценное нарушение аккаунта — злоумышленник получает доступ к личной информации и конфиденциальным документам, хранящимся в скомпрометированной учетной записи.

Последствия для сотрудников и организации

  • Компрометация персональных данных сотрудников (включая PII и payroll-информацию).
  • Доступ к корпоративным ресурсам через скомпрометированные учетные записи, что повышает риск последующих атак (lateral movement, data exfiltration).
  • Репутационные и финансовые потери для организации: расследование инцидента, уведомления пострадавших, возможные штрафы за нарушение регуляторных требований.

Индикации фишингового письма — на что обращать внимание

  • Несоответствие адреса отправителя ожидаемому домену ADP или использование поддельных поддоменов.
  • Срочные призывы к действию и угрозы блокировки аккаунта.
  • Подозрительные ссылки: URL, которые не ведут на официальный домен; попытки замаскировать ссылку через сокращатели или похожие домены.
  • Ошибки в языке, нетипичные формулировки или несоответствие корпоративному стилю.
  • Неожиданные вложения или запросы предоставить учетные данные вне обычных процедур.
  • Умелая имитация шаблонов ADP — даже при хорошем оформлении следует сохранять осторожность.

Рекомендации по защите

Организациям и сотрудникам предлагают принять следующие меры для снижения риска успешной эксплуатации:

  • Обучение и повышение осведомленности: регулярные тренинги по распознаванию red flags в сообщениях и симуляции phishing-атак.
  • Двухфакторная аутентификация (MFA): обязать использование MFA для доступа к критическим системам, включая ADP.
  • Проверка ссылок и отправителей: перед вводом учетных данных — внимательно проверять домен и хостинг страницы; при сомнении вводить URL вручную через браузер или обращаться к IT-безопасности.
  • Процедуры инцидент-репорта: простая и доступная инструкция для сотрудников о том, как сообщить о подозрительном письме или возможной компрометации.
  • Технические меры: внедрение фильтров электронной почты, DMARC/DKIM/SPF и регулярный анализ логов доступа.
  • Регулярные обновления об угрозах: рассылки и брифинги по актуальным тактикам злоумышленников и рекомендуемым методам защиты.

Вывод

Кампания, имитирующая ADP, подчёркивает эволюцию тактик киберпреступников и указывает на уязвимость корпоративных процессов, связанных с управлением персональными данными. В современных условиях _проактивные_ меры — обучение персонала, строгие процедуры проверки подлинности и технические контрмеры — являются обязательными для снижения рисков. Сотрудники, информированные о признаках мошенничества, могут стать первой и самой эффективной линией обороны против подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: