Мошенники запустили рассылку "официальных" писем

<p dir="ltr">Аналитики Solar AURA (принадлежит "РТК-Солар") установили, что мошенники использовали домены, максимально похожие на официальные доменные имена следственных органов. Злоумышленники рассылали письма с требованием ознакомиться с материалами уголовного дела, используя при этом реальные данные граждан, полученные вследствие утечек.</p> <p dir="ltr">Ранее злоумышленники атаковали и заразили шпионским программным обеспечением (ПО) мобильные устройства сотрудников крупных корпораций.</p> <blockquote class="quote4"> <p dir="ltr"><a href="https://www.comnews.ru/content/227877/2023-08-03/2023-w31/roskomnadzor-proverit-inostrannye-gadzhety">https://www.comnews.ru/content/227877/2023-08-03/2023-w31/roskomnadzor-proverit-inostrannye-gadzhety</a></p> </blockquote> <p dir="ltr">В рассылке мошенники обращались к жертвам по имени отчеству, в некоторых случаях указывали паспортные данные и адреса регистрации. Фигурирующие в тексте номера уголовных дел являются настоящими и получены из открытых источников. Все это создает иллюзию взаимодействия с органом государственной власти и повышает шансы, что получатель письма запустит вредоносную программу.</p> <p dir="ltr">Аналитики выяснили, что злоумышленники воспользовались одной из утечек 2022 г.: тогда общее количество опубликованных записей достигло 30 млн, включая более 6 млн уникальных электронных почт, среди которых 78 тыс. принадлежат корпоративным доменам.</p> <p dir="ltr">Специалисты утверждают, что схема фишинговой рассылки распространенная, но претерпела некоторые изменения. Ранее мошенники вкладывали вредоносные ZIP-файлы непосредственно в письма, однако в связи с ужесточением мер безопасности подобные сообщения теперь должны автоматически фильтроваться как спам. Поэтому злоумышленники вместо привычных вложений вставляют ссылку на файлообменник, через которую, предположительно, жертва загружает вредоносное содержимое. В этой атаке оно замаскировано под программу для распознавания текста.</p> <p dir="ltr">Однако руководитель группы защиты от почтовых угроз "Лаборатории Касперского" Андрей Ковтун рассказал, что ссылка для скачивания файла вместо вложения не является новинкой: "Ссылка используется для распространения вредоносов в почте уже многие годы. Поэтому почтовые фильтры, как правило, умеют блокировать подобные сообщения. В последнее время мы неоднократно наблюдали атаки на корпоративных пользователей с попытками мимикрии под государственные структуры. В них вредоносный файл тоже необходимо было скачать по ссылке из письма. Однако в данной рассылке используется другое вредоносное ПО".</p> <p dir="ltr">Эксперт центра мониторинга внешних цифровых угроз Solar AURA Диана Селехина предположила, какие мотивы могли преследовать злоумышленники: "В данном случае использование вредоноса для удаленного доступа позволяет злоумышленникам действовать от имени жертвы, от ее лица. То есть все операции будут выглядеть легитимными. Например, если мошенники зайдут в личный кабинет клиента банка с компьютера жертвы, это не вызовет подозрений системы антифрода. Более того, такую операцию потом будет очень тяжело оспорить, так как с точки зрения банка это будет обычная операция клиента, а доказать, что у него использовалось вредоносное ПО, крайне сложно, тем более что после хищения злоумышленники, как правило, удаляют вредоносную программу с компьютера жертвы, заметая тем самым следы".</p> <p dir="ltr">Руководитель центра кибербезопасности российского разработчика для борьбы с киберпреступлениями F.A.C.C.T. Ярослав Каргалев отметил, что письма с подобным шаблоном получили распространение в начале августа 2023 г.: "Мы уже фиксировали рассылки фишинговых писем от имени следователя. В них получателя просят ознакомиться с материалами уголовного дела, по которому он проходит как свидетель, и дается ссылка на сайт-файлообменник. Злоумышленники поместили туда файл с вредоносным ПО, чтобы затруднить анализ для многих решений защиты электронной почты. Поведение и действия атакующих не отличаются от обычной ежедневной электронной корреспонденции. Хорошо подготовленные киберпреступники проводят разведку, собирают информацию о намеченной цели. Поэтому их письма могут быть убедительными, и жертва ожидает получить именно такое письмо, оно не будет выглядеть подозрительным. Кроме того, атакующие для повышения вероятности успеха часто используют новостную повестку".</p> <p dir="ltr">Директор департамента информационной безопасности и специальных решений Sitronics Group Александр Дворянский рекомендует в целях безопасности заводить несколько адресов электронной почты: "Поскольку данные пользователей чаще всего утекают после активности в интернете, хорошим правилом станет завести отдельную почту для интернет-покупок и использования для контактов в сети интернет. Таким образом вы сможете обезопасить основную почту, где может храниться важная конфиденциальная информация. Отдельно напомню и про важность информационной гигиены в интернете: не стоит без необходимости указывать электронную почту на различных интернет-ресурсах - опросах, анкетах, тестах на IQ и т.п. В программах лояльности или при заполнении контактных данных на различных сайтах рекомендую указывать отдельный от основного электронный адрес".</p> <p dir="ltr">Руководитель компонента R-Vision Endpoint компании, разрабатывающей системы кибербезопасности, R-Vision Петр Куценко напомнил, по каким признакам можно выявить подозрительные письма: "Для защиты от подобных атак необходимо быть внимательными при чтении электронных писем и обращать внимание на любые подозрительные признаки - например, неправильно написанные слова или грамматические ошибки. Кроме этого, важно повышать знание и степень недоверия к новым контактам. Внимательно смотреть на url-адрес при переходе по ссылке. Если есть расхождение - это должно насторожить. И самое главное - не стоит предоставлять личные данные и пароли в ответ на электронные письма".</p>