© ComNews
10.09.2018

На территории ЦФО зафиксированы случаи действий кибермошенников, которые пытаются получить доступ к компьютерам и личным данным пользователей. Преступники усыпляют бдительность абонентов, прикрываясь в рассылке почтовых сообщений, содержащих вредоносный код, брендом "Ростелеком". С одной только разницей: мошенники указывают форму собственности ОАО, а "Ростелеком" с 2015 г. - ПАО.

"К сожалению, все крупные и известные компании сталкиваются с тем, что злоумышленники пытаются использовать их бренд в неблаговидных целях - например, для фишинговых рассылок. "Ростелеком" старается максимально проинформировать своих абонентов о правилах "цифровой гигиены", информация об этом размещена на сайте. После последней рассылки мы направили абонентам письма-напоминания с подробной инструкцией, как опознать фишинговые рассылки и не стать жертвами злоумышленников", - сообщил корреспонденту ComNews представитель пресс-службы "Ростелекома".

Вредоносные письма похожи на официальную рассылку. Злоумышленники используют простые, но эффективные методы социальной инженерии: в сообщении говорится о переходе абонентов "Ростелекома" к его "партнерам" в связи с вышедшими из строя линиями связи. Компания заявляет, что только эта часть сообщения уже должна насторожить абонентов, поскольку линии связи "выйти из строя" в принципе не могут. "Нарушения в работе линий связи случаются только в случаях физического повреждения кабеля или сетевых устройств, и эти аварии устраняются в регламентные сроки", - сообщают представители "Ростелекома".

Текст сообщения содержит ссылки, при переходе по которым сразу начинается загрузка вредоносного ПО. Через уязвимости в браузере загружается вирус, что позволяет злоумышленникам получить полный контроль над компьютером пользователя. Письмо в том числе содержит файл-вложение Word, при открытии которого также происходит заражение компьютера.

Пользователям нужно быть внимательными: письма приходят не с домена @rt.ru, а с нетипичных адресов, таких как, например, info@primrub.ru, info@ribrab.ru, info@rubpr.ru. "Ростелеком" в письмах-напоминаниях просит внимательно изучать адреса ссылок, потому что зачастую мошенники используют адреса, похожие на названия легальных ресурсов, заменяя или переставляя местами лишь одну или пару букв.

По мнению экспертов в области кибербезопасности, на практике мошенники не так часто используют имена телеком-операторв для вредоносных рассылок. "Выбор идет не в пользу телекома, а именно в пользу популярных компаний. "Ростелеком" - гигант, поэтому от его имени и рассылают письма. Российская компания выбрана потому, что фишинговая схема ориентирована на российских пользователей. Однако на месте "Ростелекома" могла быть и западная компания, услуги которой популярны у российских юзеров - например, Apple или Google", - объяснил корреспонденту ComNews специалист компании "Доктор Веб" Александр Вураско.

Старший спам-аналитик "Лаборатории Касперского" Татьяна Щербакова отмечает, что рассылки, в которых так или иначе упоминаются известные бренды, являются одними из самых популярных во вредоносном спаме. "Телеком-операторы, в частности отечественные телеком-компании, не так часто встречаются во вредоносном спаме. В основном это самые крупные мировые компании с большим количеством клиентов", - говорит она.

"То, что в данном случае выбран "Ростелеком", - не случайно. Это крупный оператор, имеющий огромное количество абонентов. Соответственно, при нецелевой рассылке в адрес неограниченного круга лиц шансы попасть на абонента "Ростелекома" достаточно высоки. Именно поэтому злоумышленники прикрываются именами наиболее популярных сервисов - охват потенциальных жертв выше", - прокомментировал ситуацию Александр Вураско.

Он отметил, что компания "Доктор Веб" сталкивалась с фишинговой рассылкой, которая упоминается в сообщении "Ростелекома". "Основная задача таких писем - заставить пользователя перейти по ссылке, загрузить вредоносную программу, запустить ее. Отсюда и подача: потенциальную жертву пытаются вынудить совершить быстрые необдуманные действия. Это стандартная тактика: "Проблемы с договором - подробности по ссылке", "В вашу учетную запись iTunes осуществлен несанкционированный вход - поменяйте пароль по ссылке", "Ваша банковская карта заблокирована - перейдите в личный кабинет по ссылке" - это все старые, но эффективные методы", - рассказал корреспонденту ComNews Александр Вураско.

В последнее время эксперты отмечают увеличение вредоносных рассылок, хотя и незначительное. "Количество подобных рассылок остается стабильно высоким в последнее десятилетие. Ожидать существенного уменьшения их количества в ближайшие годы не стоит", - считает Александр Вураско.

"Количество подобных рассылок незначительно увеличивается. Это может быть связано с тем, что использование известных брендов во вредоносном спаме остается очень эффективным, хотя уже давно не новым способом установки вредоносного ПО", - рассуждает Татьяна Щербакова.

Эксперты советуют никогда не переходить по ссылкам, полученным с неизвестных адресов, даже если текст сообщения кажется очень важным. "Первое, что надо всегда помнить, что ни в коем случае нельзя переходить по ссылкам из подозрительных писем и открывать вложения, даже если письма очень похожи на настоящие, - советует Татьяна Щербакова. - Дело в том, что помимо традиционных файлов - zip, rar, exe и пр. - встречаются и незнакомые пользователям расширения, например igy, pub, iso. Но это совсем не означает, что данные вложения безопасны, наоборот. Киберпреступники используют встроенные официальные функции файлов для обхода защитных решений. Всегда необходимо обращать внимание на адрес отправителя, часто он совсем не похож на легитимный - например, указан сторонний домен. Кроме того, необходимо использовать надежные защитные решения с актуальными фишинговыми базами".

Рекомендации просты. Не торопиться и не предпринимать необдуманных решений. В случае получения подобного или любого другого подозрительного письма, необходимо обратиться в данную организацию, но не по ссылке из письма, а непосредственно зайти на сайт организации или позвонить по телефону, указанному на сайте", - поделился Александр Вураско.

Отметим, что мошенники и ранее использовали имя "Ростелекома" в своих целях. При этом схемы мошеннических действий могут быть различными. Например, несколько лет назад в Петербурге произошел ряд случаев, когда злоумышленники, совершив несанкционированное отключение абонентов от сети кабельного телевидения "Ростелекома" и представившись сотрудниками компании, проникали в квартиры абонентов под предлогом устранения неисправностей. Мошенники имитировали восстановление услуг и взимали плату за выполнение работ (см. новость ComNews от 11 апреля 2016 г.).