Мошенники запустили рассылку "официальных" писем

Аналитики Solar AURA (принадлежит "РТК-Солар") установили, что мошенники использовали домены, максимально похожие на официальные доменные имена следственных органов. Злоумышленники рассылали письма с требованием ознакомиться с материалами уголовного дела, используя при этом реальные данные граждан, полученные вследствие утечек.

Ранее злоумышленники атаковали и заразили шпионским программным обеспечением (ПО) мобильные устройства сотрудников крупных корпораций.

https://www.comnews.ru/content/227877/2023-08-03/2023-w31/roskomnadzor-proverit-inostrannye-gadzhety

В рассылке мошенники обращались к жертвам по имени отчеству, в некоторых случаях указывали паспортные данные и адреса регистрации. Фигурирующие в тексте номера уголовных дел являются настоящими и получены из открытых источников. Все это создает иллюзию взаимодействия с органом государственной власти и повышает шансы, что получатель письма запустит вредоносную программу.

Аналитики выяснили, что злоумышленники воспользовались одной из утечек 2022 г.: тогда общее количество опубликованных записей достигло 30 млн, включая более 6 млн уникальных электронных почт, среди которых 78 тыс. принадлежат корпоративным доменам.

Специалисты утверждают, что схема фишинговой рассылки распространенная, но претерпела некоторые изменения. Ранее мошенники вкладывали вредоносные ZIP-файлы непосредственно в письма, однако в связи с ужесточением мер безопасности подобные сообщения теперь должны автоматически фильтроваться как спам. Поэтому злоумышленники вместо привычных вложений вставляют ссылку на файлообменник, через которую, предположительно, жертва загружает вредоносное содержимое. В этой атаке оно замаскировано под программу для распознавания текста.

Однако руководитель группы защиты от почтовых угроз "Лаборатории Касперского" Андрей Ковтун рассказал, что ссылка для скачивания файла вместо вложения не является новинкой: "Ссылка используется для распространения вредоносов в почте уже многие годы. Поэтому почтовые фильтры, как правило, умеют блокировать подобные сообщения. В последнее время мы неоднократно наблюдали атаки на корпоративных пользователей с попытками мимикрии под государственные структуры. В них вредоносный файл тоже необходимо было скачать по ссылке из письма. Однако в данной рассылке используется другое вредоносное ПО".

Эксперт центра мониторинга внешних цифровых угроз Solar AURA Диана Селехина предположила, какие мотивы могли преследовать злоумышленники: "В данном случае использование вредоноса для удаленного доступа позволяет злоумышленникам действовать от имени жертвы, от ее лица. То есть все операции будут выглядеть легитимными. Например, если мошенники зайдут в личный кабинет клиента банка с компьютера жертвы, это не вызовет подозрений системы антифрода. Более того, такую операцию потом будет очень тяжело оспорить, так как с точки зрения банка это будет обычная операция клиента, а доказать, что у него использовалось вредоносное ПО, крайне сложно, тем более что после хищения злоумышленники, как правило, удаляют вредоносную программу с компьютера жертвы, заметая тем самым следы".

Руководитель центра кибербезопасности российского разработчика для борьбы с киберпреступлениями F.A.C.C.T. Ярослав Каргалев отметил, что письма с подобным шаблоном получили распространение в начале августа 2023 г.: "Мы уже фиксировали рассылки фишинговых писем от имени следователя. В них получателя просят ознакомиться с материалами уголовного дела, по которому он проходит как свидетель, и дается ссылка на сайт-файлообменник. Злоумышленники поместили туда файл с вредоносным ПО, чтобы затруднить анализ для многих решений защиты электронной почты. Поведение и действия атакующих не отличаются от обычной ежедневной электронной корреспонденции. Хорошо подготовленные киберпреступники проводят разведку, собирают информацию о намеченной цели. Поэтому их письма могут быть убедительными, и жертва ожидает получить именно такое письмо, оно не будет выглядеть подозрительным. Кроме того, атакующие для повышения вероятности успеха часто используют новостную повестку".

Директор департамента информационной безопасности и специальных решений Sitronics Group Александр Дворянский рекомендует в целях безопасности заводить несколько адресов электронной почты: "Поскольку данные пользователей чаще всего утекают после активности в интернете, хорошим правилом станет завести отдельную почту для интернет-покупок и использования для контактов в сети интернет. Таким образом вы сможете обезопасить основную почту, где может храниться важная конфиденциальная информация. Отдельно напомню и про важность информационной гигиены в интернете: не стоит без необходимости указывать электронную почту на различных интернет-ресурсах - опросах, анкетах, тестах на IQ и т.п. В программах лояльности или при заполнении контактных данных на различных сайтах рекомендую указывать отдельный от основного электронный адрес".

Руководитель компонента R-Vision Endpoint компании, разрабатывающей системы кибербезопасности, R-Vision Петр Куценко напомнил, по каким признакам можно выявить подозрительные письма: "Для защиты от подобных атак необходимо быть внимательными при чтении электронных писем и обращать внимание на любые подозрительные признаки - например, неправильно написанные слова или грамматические ошибки. Кроме этого, важно повышать знание и степень недоверия к новым контактам. Внимательно смотреть на url-адрес при переходе по ссылке. Если есть расхождение - это должно насторожить. И самое главное - не стоит предоставлять личные данные и пароли в ответ на электронные письма".