В начале августа 2020 года организация SANS Institute подверглась атаке, в ходе которой произошла утечка 28 000 записей, содержащих личные данные. Тогда аудит обнаружил, что в учетной записи одного из сотрудников организации была настроена пересылка писем на неизвестный внешний email-адрес.
Прежде чем эту брешь заметили, на внешний адрес электронной почты было отправлено 513 писем, большинство из которых не содержало важной информации, однако в руки неизвестных злоумышленников все же попали 28 000 записей, содержащих личные данные. В основном на сторону утекли рабочие контактные данные, которые и так можно было найти в открытом доступе, в том числе: email-адреса, ФИО, рабочие телефоны, должности, информация о стране пребывания и так далее. Не раз подчеркивалось, что утечка не коснулась паролей и какой-либо финансовой информации.
Теперь представители SANS Institute сообщают, что компрометация произошла еще 24 июля 2020 года. Тогда хакеры отправили фишинговые послания нескольким сотрудникам организации, и один из них попался на удочку злоумышленников.
«[Фишинговое письмо] побудило одного пользователя установить вредоносный аддон Office 365 для своей учетной записи. Этот аддон настроил правила переадресации в учетной записи жертвы, и в результате 513 писем были перенаправлены на неизвестный внешний адрес электронной почты», — объясняют в SANS.
При этом на адрес злоумышленников пересылались не все письма, а лишь содержащие определенные ключевые слова, связанные с финансовой информацией. Исходя из этого, специалисты делают вывод, что данная атака не была направлена конкретно на SANS, и организация стала случайной жертвой обычных мошенников, преследующих финансовую выгоду.