Письмо несчастья: объем фишинга во втором квартале вырос на 71%
Объем фишинга в России растет двузначными темпами. Только во II квартале количество поддельных ресурсов, копирующих настоящие сайты организаций, выросло на 71%, рассказали «Известиям» в Group IB. При этом вредоносные рассылки часто настолько хорошо замаскированы, что распознать фальшивку трудно, а антивирусы не всегда способны отфильтровать письмо от мошенников. Именно такую адресную рассылку — якобы от имени ФНС — зафиксировали в конце июля в Group IB. Под видом писем от налоговой распространялся софт, позволяющий злоумышленникам получать контроль над компьютером.
Не с того адреса
Количество фишинговых сайтов выросло во II квартале на 71% по сравнению с аналогичным периодом прошлого года, сообщили «Известиям» в Group IB.
Всего в России более 1 млн фальшивых сайтов, рассылается до 1 млн сообщений в день, которые направляются на электронные ящики частных лиц и организаций, подсчитал генеральный директор компании «Интернет-розыск» Игорь Бедеров. Он добавил, что доля фишинговых сообщений сегодня может составлять до 10% от всего объема электронных почтовых сообщений.
Общий объем ущерба организациям, который возникает из-за фишинговых атак, посчитать трудно, но от одной такой успешной атаки можно в среднем потерять от 2 до 50 тыс. рублей, пояснил Игорь Бедеров.
Только в российском банковском секторе за первое полугодие Центробанк выявил 119 тыс. фишинговых сайтов, приводит статистику эксперт. При этом число электронных сообщений, ведущих на эти сайты, не поддается исчислению, но можно предположить, что в день банковские фишеры делают рассылку не менее чем по 100 тыс. адресам российских пользователей интернета, заключил Игорь Бедеров.
Привет от налоговой
Group-IB совместно с ФНС в конце июля обнаружили адресную фишинговую атаку на организации и госучреждения, рассказали «Известиям» в компании. Всем атакуемым приходило одинаковое письмо, в адресе отправителя была указана почта info@nalog.ru, которая полностью имитировала легитимный домен ФНС. На самом деле письма рассылались с публичных почтовых сервисов, а технические заголовки были подделаны, отметили в компании. Автор письма просил явиться в «Главное управление ФНС России» для «дачи показаний по движению денежных средств», а также распечатать и заполнить документы, находящиеся во вложении к письму. В случае невыполнения отправитель обещал применить санкции, предусмотренные УК РФ.
— ФНС фиксирует фишинговую почтовую рассылку, где под видом сотрудника службы злоумышленники просят получателя письма заполнить документы во вложении, распечатать их и представить в Главное управление ФНС России, при этом такого подразделения в ФНС не существует и не существовало. Если пользователь скачивал приложения, то отправители могли получить несанкционированный удаленный доступ к данным и ресурсам его компьютера, — сказали «Известиям» в налоговой службе.
Рассылка началась в конце июля и продолжается до сих пор. Письма отправляются сотрудникам нефтяных и горнодобывающих компаний, аэропортов, операторов связи и других организаций.
В налоговой также добавили, что официальная рассылка ФНС направляется только тем, кто указал и подтвердил адрес своей электронной почты в личном кабинете налогоплательщика. Также служба не рассылает сообщения о наличии задолженности и предложения оплатить долг онлайн. Вся необходимая информация о непогашенных налогах размещена в личном кабинете налогоплательщика.
— Работу по предотвращению дальнейших фишинговых рассылок и их последствий ФНС осуществляет совместно с правоохранительными органами, — сказали в налоговой службе.
Эта фишинговая атака отличается особой продуманностью деталей, пояснил заместитель руководителя центра реагирования на инциденты информационной безопасности компании Group-IB Ярослав Каргалев. При открытии приложения к письму на компьютер жертвы загружается легитимная программа для удаленного управления компьютером. Именно поэтому для большинства антивирусных средств подобное письмо не выглядит вредоносным.
«Лаборатория Касперского» за последнюю неделю зафиксировала около 1,6 тыс. фейковых посланий якобы от nalog.ru, пытавшихся атаковать устройства сотрудников, сказал «Известиям» руководитель отдела контентного анализа компании Константин Игнатьев.
«Письмо от ФНС» в конце июля получили даже в компании «Интернет-розыск», сообщил Игорь Бедеров.
Не совершай ошибку
Сегодня около 70% сложных целенаправленных атак на российские компании и организации начинаются именно с фишинга. Это наиболее популярный способ доставки вредоносного ПО на машину жертвы, прокомментировал руководитель отдела расследования киберинцидентов JSOC CERT компании «Ростелеком» Игорь Залевский. Получив доступ хотя бы к одному корпоративному компьютеру, преступник сможет закрепиться в сети организации и обеспечить контроль над ее инфраструктурой, добавил он.
Если подобная атака прошла успешно, то последствия для организации могут быть глобальными. Во-первых, это утечка ценных корпоративных данных, включая клиентские базы, информацию о банковских счетах или партнерских контрактах. Во-вторых, в зараженном письме может содержаться вирус-шифровальщик, который способен парализовать работу всей организации, заключил эксперт.
От имени официальных органов часто делают фишинговые рассылки, пояснил руководитель аналитического центра Zecurion Владимир Ульянов. Такие письма всегда маскируют под настоящие из ведомств, подделывая внешний вид, содержание и даже адрес отправителя. Зачастую даже эксперты не сразу могут определить, что письмо фальшивое, добавил он.
Первое, что должно насторожить адресата подобного письма, — это сам факт получения в тот момент, когда его не ждали. Это может указывать на то, что оно ненастоящее, отметил Владимир Ульянов. К тому же такую рассылку мошенники часто делают на общие адреса компаний, указанные на сайте организации. Хотя иногда такие письма приходят и на адреса конкретных сотрудников, чья почта тем или иным образом стала известна злоумышленникам, рассказал эксперт. Зачастую их выдает плохое оформление — ошибки в тексте, нелогичное содержание. Если письмо показалось подозрительным, не стоит проходить по указанным в нем ссылкам и открывать вложенные файлы, заключил Владимир Ульянов.
Любые просьбы в письме загрузить или установить файлы должны расцениваться как подозрительные, отметил Ярослав Каргалев. При получении подобного письма необходимо сообщить внутренней службе безопасности и работать с документами только после их проверки, добавил он.
