Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, предупреждает об активности мошенников, использующих новогодние праздники для атак с использованием фишинговых рассылок. Злоумышленники рассчитывают на то, что в конце декабря и начале января многие пользователи теряют бдительность. Поводом для вредоносных рассылок от злоумышленников могут стать срочные бухгалтерские документы, различные запросы и предложения, а также поздравления с Новым годом. В конце декабря аналитики Центра кибербезопасности F.A.C.C.T. зафиксировали новую волну массовых рассылок вредоносного ПО под видом уведомлений крупной логистической компании. Об этом CNews сообщили представители F.A.C.C.T.
Подозрительный конверт
Для киберпреступников не бывает выходных, а любые праздники – повод для новых атак. В преддверии Нового года специалисты компании F.A.C.C.T. назвали признаки типичного фишингового письма.
Вредоносная рассылка от киберпреступников обычно содержит вложение (доля таких рассылок составила 98,3%). В 8 из 10 таких писем получатель увидит во вложении архив, чаще всего – с расширением ZIP и RAR. Среди офисных документов злоумышленники предпочитают использовать для доставки вредоносных приложений PDF и DOCX.
В 69% фишинговых письмах преступники скрывают шпионское ПО и стилеры. В топ-3 вредоносных программ, используемых в рассылках в 2024 году, вошли шпионское ПО AgentTesla, инструмент для кражи учётных записей и персональных данных FormbookFormgrabber, а также загрузчик CloudEye.
Лишь одно из 30 вредоносных писем злоумышленники отправляли через бесплатные почтовые сервисы. Остальные — с отдельных доменов, как специально созданных, так и скомпрометированных.
Рассылка вредоносных писем по-прежнему – один из самых популярных векторов кибератак. Аналитики Центра кибербезопасности компании F.A.C.C.T. подготовили рекомендации, как распознать опасное письмо в корпоративной почте и защитить компанию от фишинговых рассылок – эти советы пригодятся в любое время года.
Вам посылка!
В качестве повода для новогодних рассылок злоумышленники могут использовать как бухгалтерские документы (конец финансового года – все в отчетах), так и разные запросы, предложения. В одной из атак злоумышленники использовали документ-приманку с поздравлением с наступающим Новым годом, который на самом деле оказался трояном удаленного доступа.
В конце декабря 2024 г. аналитики Центра кибербезопасности F.A.C.C.T. зафиксировали очередную волну массовых рассылок вредоносного ПО DarkWatchman RAT. Злоумышленники маскировали атаку под уведомления крупного логистического оператора. Письмо оформлено как уведомление об окончании срока бесплатного хранения по накладной. Во вложении прикреплен файл фальшивой накладной в архиве с расширением ZIP, внутри которого содержится исполняемый файл – троян удалённого доступа. Такие письма были направлены в несколько десятков коммерческих организаций: банки, маркетплейсы, телеком-операторы, предприятия АПК и ТЭК, логистические и ИT-компании.
Не уверен – не трогай
Как распознать опасное письмо в корпоративной почте и защитить компанию от фишинговых рассылок? Аналитики Центра кибербезопасности назвали некоторые характерные приметы вредоносных писем.
Адрес отправителя может вызвать подозрения в случае, если оно отправлено с помощью бесплатных почтовых служб, таких как Gmail, популярные российские сервисы, или название домена отличается от привычного – изменены символы (например, вместо «l» указывают «i», вместо «o» – «s») или доменная зона (например, .com, .biz или любое другое вместо .ru).
Однако мошенники могут отправить вредоносное письмо с почтового адреса компании, если перед этим взломали почтовый ящик. Также злоумышленники могут использовать спуфинг – подделать информацию об отправителе письма. В таких случаях адрес отправителя может не вызывать подозрений.
Текст письма стоит прочесть внимательно. Если получателя побуждают скорее открыть вложение или перейти по ссылке, любая попытка манипуляции – повод насторожиться. Если в тексте указан пароль к архиву, который предлагают скачать из интернета по ссылке или открыть вложение из письма, это тоже характерный признак письма от злоумышленников.
Файлы или ссылки из письма не стоит открывать, если не уверены в их безопасности. Даже установленный антивирус может проигнорировать, не обнаружить угрозу. Специалисты по кибербезу проверяют подозрительные файлы, используя специализированные инструменты анализа на наличие вредоносного кода.
Правила почтовой безопасности
Если есть хоть малейшие сомнения, что отправитель – не тот, за кого себя выдает, автор письма настаивает на срочном открытии документа из письма или ссылки, или вам пришло письмо от незнакомца, которое вы не ждали, следует отнестись к такому письму, как к любому другому подозрительному предмету.
Не «трогайте» такое письмо – не открывайте содержащиеся в нем файлы и ссылки.
Попробуйте связаться с отправителем письма и уточнить детали другим способом. Например, позвонить по телефону, но не использовать для этого контакт, указанный в письме – он также может вести к мошенникам, а позвонить по контактному телефону организации, указанному на официальном сайте.
Сообщите о подозрительном письме в службу безопасности вашей организации.
Эти рекомендации помогут немного сократить возможный риск от массовых фишинговых атак. К целевым атакам злоумышленники готовятся более тщательно: пытаются определить тон деловой переписки, свойственный атакуемой компании при взаимодействии со своими клиентами или контрагентами. Такое письмо отправляют адресно, и получатель письма, скорее всего, не увидит ничего подозрительного: письмо не будет выделяться из общей массы ежедневной корреспонденции. А вредоносная нагрузка в таком письме может не детектироваться в момент рассылки.
«Главная цель фишинговых почтовых рассылок — доставка и выполнение вредоносного кода на устройстве получателя. Функционал вредоносного ПО будет зависеть от целей киберпреступников – хищения конфиденциальных данных в рамках шпионажа, компрометации рабочих учетных данных или предоставления удаленного доступа к зараженному устройству в рамках развития более сложной атаки на всю инфраструктуру компании, ее клиентов и подрядчиков. Часто такая вредоносная нагрузка скрывается в ссылках или вложениях, маскируясь под что-то безобидное - легитимное. Поэтому, получив подозрительное или неожиданное письмо, будьте бдительны, не скачивайте и не открывайте вложения. Если возникли сомнения, отправьте такое письмо в вашу службу безопасности или проигнорируйте его и отправьте в спам», – сказал Ярослав Каргалев, руководитель Центра кибербезопасности F.A.C.C.T.
Поделиться