Письмо несчастья: Эксперты зафиксировали крупнейшую атаку через сообщения от имени ФНС

Привет от налоговой[/i]
Group-IB совместно с ФНС в конце июля обнаружили адресную фишинговую атаку на организации и госучреждения. Всем атакуемым приходило одинаковое письмо, в адресе отправителя была указана почта info@nalog.ru, которая полностью имитировала легитимный домен ФНС. На самом деле письма рассылались с публичных почтовых сервисов, а технические заголовки были подделаны. Автор письма просил явиться в «Главное управление ФНС России» для «дачи показаний по движению денежных средств», а также распечатать и заполнить документы, находящиеся во вложении к письму. В случае невыполнения отправитель обещал применить санкции, предусмотренные УК РФ.
— ФНС фиксирует фишинговую почтовую рассылку, где под видом сотрудника службы злоумышленники просят получателя письма заполнить документы во вложении, распечатать их и представить в Главное управление ФНС России, при этом такого подразделения в ФНС не существует и не существовало. Если пользователь скачивал приложения, то отправители могли получить несанкционированный удаленный доступ к данным и ресурсам его компьютера, — сказали «Известиям» в налоговой службе.
Рассылка началась в конце июля и продолжается до сих пор. Письма отправляются сотрудникам нефтяных и горнодобывающих компаний, аэропортов, операторов связи и других организаций.
В налоговой также добавили, что официальная рассылка ФНС направляется только тем, кто указал и подтвердил адрес своей электронной почты в личном кабинете налогоплательщика. Также служба не рассылает сообщения о наличии задолженности и предложения оплатить долг онлайн. Вся необходимая информация о непогашенных налогах размещена в личном кабинете налогоплательщика.
— Работу по предотвращению дальнейших фишинговых рассылок и их последствий ФНС осуществляет совместно с правоохранительными органами, — сказали в налоговой службе.
Эта фишинговая атака отличается особой продуманностью деталей, пояснил заместитель руководителя центра реагирования на инциденты информационной безопасности компании Group-IB Ярослав Каргалев. При открытии приложения к письму на компьютер жертвы загружается легитимная программа для удаленного управления компьютером. Именно поэтому для большинства антивирусных средств подобное письмо не выглядит вредоносным.
«Лаборатория Касперского» за последнюю неделю зафиксировала около 1,6 тыс. фейковых посланий якобы от nalog.ru, пытавшихся атаковать устройства сотрудников, сказал «Известиям» руководитель отдела контентного анализа компании Константин Игнатьев.
«Письмо от ФНС» в конце июля получили даже в компании «Интернет-розыск», сообщил Игорь Бедеров.

Не совершай ошибку[i]
Сегодня около 70% сложных целенаправленных атак на российские компании и организации начинаются именно с фишинга. Это наиболее популярный способ доставки вредоносного ПО на машину жертвы, прокомментировал руководитель отдела расследования киберинцидентов JSOC CERT компании «Ростелеком» Игорь Залевский. Получив доступ хотя бы к одному корпоративному компьютеру, преступник сможет закрепиться в сети организации и обеспечить контроль над ее инфраструктурой, добавил он.
Если подобная атака прошла успешно, то последствия для организации могут быть глобальными. Во-первых, это утечка ценных корпоративных данных, включая клиентские базы, информацию о банковских счетах или партнерских контрактах. Во-вторых, в зараженном письме может содержаться вирус-шифровальщик, который способен парализовать работу всей организации, заключил эксперт.
От имени официальных органов часто делают фишинговые рассылки, пояснил руководитель аналитического центра Zecurion Владимир Ульянов. Такие письма всегда маскируют под настоящие из ведомств, подделывая внешний вид, содержание и даже адрес отправителя. Зачастую даже эксперты не сразу могут определить, что письмо фальшивое, добавил он.

Секс-шантаж, обещание помощи и другие способы вытянуть деньги через сеть
Первое, что должно насторожить адресата подобного письма, — это сам факт получения в тот момент, когда его не ждали. Это может указывать на то, что оно ненастоящее, отметил Владимир Ульянов. К тому же такую рассылку мошенники часто делают на общие адреса компаний, указанные на сайте организации. Хотя иногда такие письма приходят и на адреса конкретных сотрудников, чья почта тем или иным образом стала известна злоумышленникам, рассказал эксперт. Зачастую их выдает плохое оформление — ошибки в тексте, нелогичное содержание. Если письмо показалось подозрительным, не стоит проходить по указанным в нем ссылкам и открывать вложенные файлы, заключил Владимир Ульянов.
Любые просьбы в письме загрузить или установить файлы должны расцениваться как подозрительные, отметил Ярослав Каргалев. При получении подобного письма необходимо сообщить внутренней службе безопасности и работать с документами только после их проверки, добавил он.

Читайте еще, по этой и похожим темам: Минфин разработал правила наполнения единого регистра населения
Прокуратура России получила онлайн-доступ к ГИС ЖКХ
Как «Ростелеком» с коллекторами требуют несуществующие долги отдавать
Михаил Евраев: ГИС ЖКХ станет очень популярным информационным ресурсом
Москвичи смогут получать квитанции на e-mail и мобильный телефон