Специалисты из «Лаборатории Касперского» выявили новую фишинговую схему с использованием легитимных серверов SharePoint. Цель злоумышленников заключается в краже учётных данных от почтовых аккаунтов, таких как Yahoo!, AOL, Outlook и Office 365. Атаки такого типа проводятся против сотрудников компаний по всему миру, в том числе в России. В общей сложности за прошедшую зиму было выявлено более 1600 подобных фишинговых писем.

Источник изображения: methodshop / Pixabay

В ходе атаки злоумышленники рассылают уведомления от имени легитимного сервиса, за счёт чего удаётся обходить спам-фильтры. Такой подход позволяет не вызывать подозрений, особенно если в компании SharePoint используется на постоянной основе. Таким образом хакеры не просто прячут фишинговую ссылку на сервере SharePoint, но и распространяют её с помощью родного механизма для рассылки уведомлений. Поскольку сервис Microsoft позволяет делиться файлами, расположенными на корпоративном SharePoint с внешними участниками рабочего процесса, злоумышленникам лишь нужно получить доступ к чьему-то серверу SharePoint посредством аналогичной или другой фишинговой схемы.

Когда получатель переходит по фишинговой ссылке, он попадает на реальный сервер SharePoint, где действительно расположен заявленный файл. Однако внутри этот файл выглядит как ещё одно извещение и содержит иконку файла PDF. Получатель воспринимает это как следующий шаг для скачивания данных и кликает на вредоносную ссылку.

«Эта фишинговая схема опасна тем, что уведомления приходят от имени легитимного сервиса настоящей компании. Тем не менее в данном случае есть красные флаги. Во-первых, неизвестно, кто поделился файлом — файлы от незнакомых людей лучше не открывать. К тому же неизвестно, что это за файл — легитимные адресанты, как правило, объясняют, что они прислали и зачем. Ссылка на скачивание файла ведёт на сторонний сайт, не имеющий отношения ни к организации жертвы, ни к SharePoint. Файл якобы лежит на сервере SharePoint, а сайт имитирует OneDrive — это два разных сервиса Microsoft», — пояснил Роман Деденок, эксперт «Лаборатории Касперского» по анализу спама.

За прошедший 2022 год количество фишинговых сайтов в доменных зонах .RU и .РФ увеличилось в три раза. В числе причин эксперты называют неразбериху с SSL-сертификатами, возникшую после ухода западных удостоверяющих центров. Сократить число подобных ресурсов могла бы идентификация их владельцев через «Госуслуги», в Минцифры уже рассматривают такую возможность.

Источник изображения: Bermix Studio/unsplash.com

Статистику «Известиям» предоставил Координационный центр доменов .RU/.РФ. По данным организации, одной из ключевых причин роста числа фишинговых сайтов стали проблемы с SSL-сертификатами, подтверждающими подлинность ресурса и обеспечивающими шифрование соединения. Они возникли после ухода из России зарубежных удостоверяющих центров, занимающихся выдачей упомянутых сертификатов. В настоящее время в стране развёрнуты собственные удостоверяющие центры, поэтому проблема не так остра, как раньше.

Рост количества фишинговых ресурсов подтверждает и Роскомнадзор. По данным ведомства, в январе-феврале были удалены или заблокированы 523 мошеннических ресурсов, а в аналогичном периоде прошлого года — 313. Создатели таких площадок активно используют тему санкций, предлагая сайты с якобы услугами подсанкционных банков и клоны маркетплейсов. На таких фишинговых ресурсах выманиваются личные и платёжные данные. Массовому распространению подобных площадок способствует невысокий порог «вхождения в преступный мир». Если ранее для создания фишинговых сайтов требовалась некоторая квалификация, то теперь их можно быстро создавать с помощью веб-конструкторов, не обладая познаниями в программировании. Кроме того, в глобальной сети имеется немало инструментов для злоумышленников.

Как заявляют специалисты Координационного центра, пресечь деятельность киберпреступников могло бы обязательное подтверждение паспортных данных лица, регистрирующего права на доменное имя через портал государственных услуг. Сейчас тоже необходимо указывать паспортные данные, но на момент регистрации они не проверяются, благодаря чему домены регистрируются массово. В Минцифры сообщили, что регистрация через «Госуслуги» прорабатывается, и предложения о внесении соответствующих изменений в закон «Об информации» обсуждаются заинтересованными ведомствами.

Любой пользователь Рунета может пожаловаться на фишинговый ресурс с помощью системы «ИС Антифишинг» Минцифры России, а уже пострадавшие от действий злоумышленников могут обратиться в Центр правовой помощи гражданам в цифровой среде, где помощь оказывают бесплатно.

Программные продукты «Лаборатории Касперского» в январе этого года заблокировали 151 тыс. попыток перехода на фишинговые ресурсы, имитирующие Telegram, что в десятки раз превышает аналогичный показатель годом ранее. Соответствующее сообщение опубликовано на официальном сайте компании.

Источник изображений: pixabay.com

«Это в 37 раз больше, чем за аналогичный период прошлого года, и составляет почти половину от общего числа таких попыток за весь 2022 год по России. Всплеск количества подобных фишинговых атак начался в ноябре прошлого года», — говорится в сообщении «Лаборатории Касперского».

Согласно имеющимся данным, основная цель создателей фишинговых ресурсов заключается в выманивании учётных данных: телефонного номера и кода подтверждения. После получения доступа к Telegram-аккаунтам жертв злоумышленники могут использовать их для разных целей, в том числе для кражи данных, шантажа и рассылки мошеннических сообщений.

Отмечается, что злоумышленники активно используют тактики социальной инженерии. Одна из наиболее распространённых схем связана с предложением принять участие в голосовании, например, за лучший детский рисунок. В некоторых случаях злоумышленники предлагают жертвам бесплатно протестировать премиум-подписку Telegram. В любом из случаев жертв побуждают перейти по ссылке, после чего они попадают на ресурс, где нужно ввести свои данные. После этого злоумышленники получают доступ к Telegram-аккаунту атакуемого.

Сотрудники нескольких российских компаний, в том числе из IT-сектора, получили вредоносные письма в июне 2022 года. Теперь же стало известно, что за атакой с использованием вредоносных писем стояли китайские хакеры из группировки Tonto Team, которая также известна под названиями HeartBeat, Karma Panda, CactusPete и др. Об этом пишет издание Forbes со ссылкой на данные компании Group-IB, работающей в сфере информационной безопасности.

Источник изображения: Pixabay

По данным Group-IB, используемая компанией система Managed XDR выдала оповещение о блокировке вредоносных электронных сообщений 20 июня. На тот момент было установлено получение таких писем двумя сотрудниками компаний, но в получателях также значились десятки представителей ведущих IT- и ИБ-компаний. При этом о каких именно компаниях идёт речь, сказано не было. В сообщении говорится, что целью хакеров стали сотрудники «телеком-операторов, разработчиков программного обеспечения, вендоры, один известный поисковик».

Для рассылки вредоносных писем злоумышленники использовали фальшивую почту, которую зарегистрировали в бесплатном сервисе Global Message eXchange. Специалисты Group-IB провели собственное расследование этого инцидента, в ходе которого сумели получить доказательства причастности к атаке хакеров из Tonto Team.

В компании пояснили, что хакеры использовали фишинговые письма для рассылки документов Microsoft Office, созданных с помощью компоновщика вредоносных RTF-эксплойтов Royal Road Weaponizer. Отмечается, что этот инструмент уже давно используют китайские прогосударственные хакеры. Помимо этого, специалисты обнаружили бэкдор Bisonal.DoubleT, созданный членами группировки Tonto Team.

Агентство по кибербезопасности и защите инфраструктуры США (CISA) совместно с Агентством национальной безопасности США распространило сообщение (PDF) о массированной фишинговой атаке, которая реализовывалась при помощи законных программ удалённого доступа и включала мошеннические действия с банковскими счетами жертв.

Источник изображения: Tumisu / pixabay.com

Жертвами атаки стали сотрудники Министерства внутренней безопасности, Министерства финансов и Министерства юстиции США. Злоумышленники рассылали работникам ведомств фишинговые письма, в которых пытались заставить своих жертв переходить по адресам вредоносных сайтов «первой стадии», которые выдавались за ресурсы известных компаний, в том числе Microsoft и Amazon. С некоторыми госслужащими связывались по телефону, пытаясь обманом заставить их открывать эти сайты.

На втором этапе жертвы устанавливали программы удалённого доступа, при помощи которых злоумышленники реализовывали мошеннические схемы. На компьютерах жертв киберпреступники получали доступ к их банковским счетам или банковским выпискам, которые впоследствии подделывались. Балансы по выпискам расходились с реальностью, и жертв атаки инструктировали о том, как «возместить» некую избыточную сумму.

Эксперты CISA подчеркнули, что массированная фишинговая атака производилась злоумышленниками, преследующими исключительно корыстные цели. Однако использованные при этом технические средства предполагали удалённое управление компьютерами, входящими в инфраструктуру государственных ведомств, что означает потенциальную угрозу национальной безопасности страны.

В Telegram растёт число фишинговых атак — злоумышленники пытаются похитить аккаунты пользователей. По данным «Коммерсанта», в первую очередь вредоносная активность осуществляются с помощью ботов, причём за год количество атак на аккаунты выросло вдвое. По мнению экспертов, наиболее опасна и распространена схема с массовыми рассылками. Впрочем, имеются и другие способы хищения.

Источник изображения: Dima Solomin/unsplash.com

Как сообщает издание со ссылкой на компанию «Код безопасности», к началу текущего года фишинг в России стал одним из основных способов мошенничества в популярном мессенджере. Рост интереса злоумышленников к платформе Telegram обусловлен притоком аудитории, по разным причинам перешедшей с других сервисов. По данным Cofence, занимающейся обеспечением кибербезопасности, фишинг в Telegram в 2022 году вырос на 800 %, причём основным рабочим инструментом злоумышленников стали именно боты.

В Group-IB рассказывают, что в России уже выявлено не менее тысячи мошеннических группировок, действующих в Telegram и здесь же координирующих действия. В чате среднестатистической группировки может состоять порядка 200 участников.

По данным «Лаборатории Касперского», как в прошлом, так и в 2023 году используются схемы, предусматривающие кражу информации с помощью фейковых ресурсов, на которых тем или иным способом пользователей побуждают ввести данные, необходимые для входа в мессенджер.

В Positive Technologies напоминают о рассылках сообщений, предназначенных для кражи личных сведений и, конечно, вредоносного ПО под видом значимых документов. Основной целью является взлом аккаунтов пользователей с последующим перехватом контроля над популярными группами и каналами. В компании также считают ботов главным инструментом атак злоумышленников. Так, в конце прошлого года состоялась массовая «подарочная рассылка» подписки на премиум-версию Telegram, в результате которой мошенники получили доступ к аккаунтам многих пользователей. Это лишь один из инцидентов безопасности, имевших место в Telegram конце прошлого года.

Источник изображения: Christian Wiediger/unsplash.com

Считается, что притоку пользователей в Telegram с последующим оживлением деятельности злоумышленников способствовали как закрытие для российских пользователей рекламных кабинетов на некоторых зарубежных платформах, так и блокировка российской стороной Instagram✴ и Facebook✴. По данным компании «Антифишинг», число атак на бизнес-аккаунты в Telegram в прошлом году удвоилось.

По словам экспертов, большую угрозу, чем фишинг, представляет новый метод авторизации в мессенджере, введённый в середине прошлого года. По словам владельца бота «Глаз бога» Евгения Антипова, это случилось с тех пор, как Telegram перестал отправлять код для авторизации с помощью SMS, заменив механизм на использование активного клиента на мобильном устройстве или ПК.

Стало известно, что в интернете пятикратно выросло число сайтов, маскирующихся под зарубежные бренды, которые объявили об уходе с российского рынка. На таких порталах предлагается заказать недоступные в магазинах товары, например, мебель из IKEA. Об этом сообщил «Коммерсантъ» со ссылкой на данные компании Group-IB.

Источник изображения: Pixabay

В сообщении сказано, что в первом полугодии количество сайтов, маскирующихся под известные бренды, увеличилось на 579 % по сравнению с показателем за аналогичный период прошлого года. Отмечается, что для привлечения внимания потенциальных жертв мошенники используют свыше 2,1 тыс. мировых брендов и торговых марок из разных сфер, включая онлайн-торговлю, телекоммуникации, банковский сектор и др. Ежемесячные потери пользователей по всему миру от такого мошенничества в Group-IB оценивают в $80 млн.

Более половины всех сайтов связаны с фейковыми розыгрышами ценных призов от имени известных компаний. Мошенники активно спекулируют на зарубежных брендах, которые объявили о намерении уйти с российского рынка. Схемы обмана часто связаны с фейковыми виртуальными картами оплаты в App Store и PlayStation Store, а также покупкой доступа к разным сервисам, таким как Spotify.

Для борьбы со злоумышленниками в ближайшее время Минцифры введёт систему мониторинга фишинга, а форма связи с гражданами появится на портале госуслуг. Также ожидается, что к мониторингу фишинговых сайтов подключится Генпрокуратура РФ. По данным Роскомнадзора, за первые шесть месяцев 2022 года было удалено и заблокировано 4,1 тыс. мошеннических веб-ресурсов.

Компания Group-IB, работающая в сфере информационной безопасности, сообщила о выявлении новой фишинговой схемы для кражи учётных записей пользователей сервиса цифровой дистрибуции Steam.

Источник изображения: Fishing Planet

Для «угона» аккаунтов злоумышленники применяют описанную недавно технику Browser-in-the-browser, которая позволяет создавать на фишинговом сайте всплывающее поддельное окно браузера, неотличимое на первый взгляд от настоящего.

Попавшись на уловку, пользователь открывает форму ввода данных учётной записи, повторяющую оригинальное окно Steam: с фальшивой иконкой SSL-сертификата, рабочими кнопками и выбором из 27 поддерживаемых языков.

Введённые данные перенаправляются злоумышленнику и вводятся в самом Steam. Фишинговый сайт также выдаёт предупреждение в случае ошибки заполнения и показывает запрос кода, если у жертвы включена двухфакторная аутентификация.

Пример страниц-приманок (источник изображения: Group-IB)

По словам главы центра Group-IB по реагированию на инциденты информационной безопасности Александра Калинина, технология Browser-in-the-browser представляет опасность даже для игроков, соблюдающих основные правила кибербезопасности.

В отличие от распространённых мошеннических схем с готовыми наборами инструментов для продажи, решения Browser-in-the-browser для Steam держатся злоумышленниками в секрете.

В связи с этим Group-IB советует обращать внимание на некоторые отличительные признаки фишинговых форм от настоящих:

• дизайн заголовка, адресной строки и кнопок управления может отличаться;
• поддельная адресная строка не функциональна (не позволяет ввести другой URL и/или перейти по нему в этом же окне);
• поддельное окно не открывается в панели задач и не увеличивается / уменьшается / разворачивается на весь экран;
• фальшивое окно не получится передвинуть на элементы управления изначальной вкладки;
• кнопка сворачивания поддельного окна просто закрывает его;
• поддельное окно перестанет появляться при отключении исполнения JS-скриптов в настройках браузера.

В отличие от многих фишинговых техник, новая открывает поддельное окно браузера на прежней вкладке (источник изображения: Group-IB)

Для заманивания игроков на страницу-приманку мошенники используют тематические чаты и сообщества (приглашения на киберспортивные турниры, голосование, покупку билетов и получение наград), а также рекламу в популярных видео.

Всего за июль текущего года Group-IB выявила более 150 фишинговых ресурсов, замаскированных под Steam. Специалисты компании уже предупредили Valve об угрозе для пользователей её сервиса.

Steam стартовал в 2003 году и к настоящему моменту разросся до 120 млн ежемесячных пользователей и более 50 тыс. игр в каталоге. Цена аккаунта начинающего геймера оценивается в десятки долларов, а ведущих — от $100 до $300 тыс.

Специалисты «Лаборатории Касперского» предупредили о стремительном росте числа мошеннических рассылок, направленных на русскоязычных получателей электронной почты. Крайне важно, что вредоносные письма отправляются с почтовых доменов, связанных с официальными сайтами обычных, добросовестных компаний.

Источник изображения: NordWood Themes/unsplash.com

По данным сотрудников «Лаборатории Касперского», рассылки осуществляются без ведома владельцев сайтов. Известно, что с 14 июня по 2 августа 2022 года было отправлено не менее 600 тыс. подобных сообщений — об этом свидетельствует анонимизированная статистика, обрабатываемая антивирусными решениями компании.

Хотя схема довольно стара, она не теряет актуальности. Злоумышленники обнаруживают сайт, имеющий формы обратной связи, не требующие верификации пользователя, например, с помощью капчи. В поле логина или Ф.И.О. вводится текст вроде «Вы выиграли! Пройдите по ссылке», а в тело письма — развёрнутый текст с изображениями. При этом в раздел контактов добавляются адреса потенциальных жертв.

Схема обмана чрезвычайно проста — сайт сам автоматически рассылает благодарность за регистрацию или сообщения о том, что обращение пользователя принято. В результате жертвы получают и информацию, введённую мошенниками: с предложениями лёгкого заработка, подарков и т. п., со ссылкой на страницу для получения выигрыша или выплаты. Пользователю предлагают оплатить «комиссию» за получения выигрыша, после чего он может лишиться не только средств, но и стать жертвой хищения персональных данных. Истории, разосланные летом, отличались, но пользователю обычно предлагалось указать номер банковской карты и прочие сведения, необходимые мошенникам для хищения средств.

В «Лаборатории Касперского» напоминают, что главная опасность кроется в том, что письма приходят со вполне легитимного адреса благодаря недочётам в оформлении форм связи на самих добросовестных сайтах. Приём рассчитан прежде всего на невнимательных пользователей, не обращающих внимание на то, что тема письма не соответствует части его содержания.

В числе приводимых «Лабораторией Касперского» советов — критически относиться к информации о неожиданных выигрышах, пользоваться антивирусными и антифишинговыми инструментами, не дающими перейти по мошеннической ссылке, а для владельцев ресурсов в числе прочего рекомендуется добавить верификацию (капчу) при вводе пользовательских данных, это позволит избежать массовых рассылок с их адреса.

Министерство цифрового развития, связи и массовых коммуникаций РФ прорабатывает механизм досудебной блокировки сетевых ресурсов, которая будет производиться при сотрудничестве с Генпрокуратурой в рамках системы «Антифишинг». Об этом сообщает «Коммерсантъ» со ссылкой на источник, знакомый с ситуацией.

Источник изображения: Ayesha Raheem / pixabay.com

Ожидается, что нововведение позволит ведомству оперативно пресекать деятельность злоумышленников, специализирующихся на фишинговых атаках. «Проблема в том, что с момента обнаружения до блокировки вредоносного сайта по итогу решения суда может пройти не один месяц, а до этого площадка будет представлять угрозу», — поясняет издание. Генеральная прокуратура сможет выносить такие решения гораздо быстрее.

Отмечается, что подобная схема уже задействована в Центральном банке Российской Федерации и доказала свою эффективность. По словам представителей Банка России, сначала заключение в отношении фишингового сайта направляется в Генпрокуратуру, которая проверяет законность и обоснованность аргументов и выводов. После этого сотрудники ведомства пересылают материалы для блокировки доступа к веб-ресурсам в Роскомнадзор и информируют правоохранителей для розыска владельца сайта и привлечения к ответственности.

По данным Роскомнадзора, всего за первое полугодие было удалено и заблокировано 4,1 тысяч мошеннических ресурсов. При этом только в июне эксперты выявили около 7 тысяч сайтов, имитирующих банковские. Это почти в десять раз больше, чем месяцем ранее, и в 2,5 раза — чем за все предыдущие месяцы 2022 года. Такие внушительные показатели заставляют Минцифры реагировать на возникающие угрозы и пересматривать свои взгляды на информационную безопасность в Рунете.

«Лаборатория Касперского» предупреждает о том, что россияне всё чаще сталкиваются с одной из разновидностей вишинга (сокращённо от английского Voice Phishing), или голосового фишинга. Результатом таких кибернападений может стать потеря персональных данных или денег.

Источник изображений: pixabay.com

Схема атаки выглядит следующим образом. Злоумышленники рассылают по электронной почте письма, в которых нет вредоносных ссылок и вложений. Вместо этого преступники под различными предлогами пытаются вынудить жертву позвонить по указанному телефонному номеру. В письме, например, может говориться, что со счёта пользователя пытаются снять крупную сумму, а для отмены транзакции нужно сделать звонок.

Если жертва попадается на крючок и перезванивает по указанному номеру, то злоумышленники переходят ко второй фазе атаки. Цель — выманить конфиденциальные данные, убедить перевести деньги на указанные реквизиты или установить на устройство ПО для удалённого управления. В последнем случае мошенники затем выводят деньги со счёта без прямого участия пользователя.

Отмечается, что вишинг может быть нацелен как на частных пользователей, так и на сотрудников организаций. Рассылаемые письма обычно стилизованы под уведомление от какого-либо сервиса, скажем, крупного интернет-магазина, платёжной системы или сайта ПО, доступ к которому предоставляется по подписке.

«Только с марта по июнь 2022 года эксперты компании зафиксировали около 350 тысяч таких писем по всему миру, причём их число растёт, на июнь пришлось почти 100 тысяч», — говорится в сообщении «Лаборатории Касперского».

В последнее время в российском интернет-сегменте набирает популярность мошенническая схема, в результате которой зашедший на вполне «легитимную» веб-страницу пользователь перенаправляется на фишинговые ресурсы. По данным «Лаборатории Касперского», заражены уже тысячи сайтов в Рунете, а также сетевые площадки некоторых других стран.

Источник изображения: Headway/unsplash.com

Как сообщают «Известия» со ссылкой на представителя «Лаборатории Касперского», заражению подверглись не только площадки для онлайн-ретейла, но и ресурсы из самых разных областей деятельности — туристические, производственные, связанные с образованием. После входа человек перенаправляется на фейковую страницу, мимикрирующую под известный интернет-магазин с большими скидками, где и оставляет платёжные данные.

По словам эксперта, пользователей может ввести в заблуждение факт перехода с легитимной страницы — они могут посчитать, что речь идёт об акции партнёра ресурса. Одним из главных признаков мошенничества является то, что на странице расчёта карта обычно предлагается в качестве единственного средства платежа. Товар, разумеется, не доставляется.

Хотя злоумышленники активизировались только в последнее время, схема не нова. Обычно пользователи попадают на подобные фишинговые ресурсы по ссылкам из вредоносных писем и сообщений в мессенджерах. В отличие от прежних вариантов, теперь действий со стороны пользователей не требуется — они перенаправляется на вредоносный ресурс автоматически. Известно, что к 5 июля пострадали как минимум 5 тыс. сайтов различной тематики. Хотя подавляющее большинство из них — российские, поражены и некоторые ресурсы Беларуси, Казахстана и Узбекистана. По данным «Лаборатории Касперского», с этим типом мошенничества с 1 по 4 июля уже столкнулись более 35 тыс. человек.

Специалисты подразделения Google Threat Analysis Group (GTAG), работающие в сфере информационной безопасности, сообщили о блокировке нескольких доменов, которые использовались злоумышленниками для взлома учётных записей по заказу. С их помощью проводились фишинговые атаки в разных странах, включая Россию.

Источник изображения: Darwin Laganzon / pixabay.com

Согласно имеющимся данным, заблокированные домены являются частью инфраструктуры хакерской группировки Void Balaur, специализирующейся на взломе учётных записей на заказ. Google обратила внимание на фишинговую кампанию злоумышленников в 2017 году, когда их деятельность была направлена против некоего «российского журналиста, занимающегося вопросами борьбы с коррупцией». О ком именно идёт речь в сообщении не уточняется. Позднее специалисты выяснили, что хакеры атаковали других журналистов, политиков, а также неправительственные и некоммерческие организации, не только в России, но и по всей Европе.

Пример фейкового сообщения / Источник изображения: Google

Для кражи пользовательских данных злоумышленники рассылали фишинговые сообщения в которых размещали ссылки на фейковые ресурсы, визуально практически не отличимые от легитимных. В зависимости от страны, в которой велась деятельность, это могли быть копии почтовых сервисов, таких как Gmail, Hotmail или Yahoo!, а также местных сервисов, таких как Mail.ru.

Прайс-лист хакерской группировки в 2018 году / Источник изображения: Google

На сайте хакеров публиковались расценки на услуги взлома. Например, взлом учётной записи «ВКонтакте» или «Одноклассниках» оценивался в 10 тыс. рублей, тогда как за взлом всех аккаунтов в почтовых сервисах и соцсетях пришлось бы заплатить 70 тыс. рублей. В настоящее время сайт хакеров заблокирован. Вместе с этим Google заблокировала домены, которые использовались хакерами для взлома аккаунтов пользователей из разных стран мира.

На фоне ухода с российского рынка крупных зарубежных курьерских служб, таких как DHL, TNT, UPS и FedEx, в России выросло число мошеннических почтовых сайтов, обещающих быструю доставку посылок. Как пишет «Коммерсантъ» со ссылкой на представителей компаний по кибербезопасности, при обращении к таким ресурсам в лучшем случае отправителю вернут посылку через «Почту России», в худшем — просто утилизируют.

Источник изображения: Pixabay

Издание приводит в качестве примера сервис express-post-service.ru, о котором пользователи оставили на портале otzyvru.com более 50 негативных отзывов. Один из пользователей сообщил, что спустя несколько дней после отправки через сервис посылка вернулась к нему «Почтой России», а второй, заплативший 17 тыс. руб. за отправление посылки весом 2 кг в США, так и не дождался информации на сайте сервиса об её отправке, так как он перестал работать.

По словам ведущего аналитика Group-IB Digital Risk Protection Евгения Егорова, количество мошеннических интернет-ресурсов, предлагающих услуги по доставке посылок, выросло с марта на 36 %. Он отметил, что такие сайты хорошо сконструированы, чтобы не вызвать никаких подозрений, но используют несуществующие названия компаний. При этом в такой схеме может участвовать несколько человек, которые сопровождают жертву на разных этапах. По словам собеседника «Коммерсанта», после оформления заказа с пользователем встречается курьер, который забирает посылку, выдаёт символическую накладную и, ссылаясь на спешку или неработающий терминал, принимает деньги переводом на карту. В итоге, спустя время обманутый клиент может получить уведомление об утилизации отправления.

С начала мая в Infosecurity (входит в ГК Softline) зафиксировали более 120 доменов, которые могут использоваться в такой мошеннической схеме, сообщил руководитель блока специальных сервисов компании Сергей Трухачев.

Из-за событий на Украине с конца февраля были серьёзно нарушены цепочки почтовых отправлений, как по России, так и за рубежом. Уже в начале марта число заходов грузовых судов в российские порты сократилось почти на 40 %.

По официальным данным, с начала года страну покинуло более 15,5 млн человек, что в два раза больше, чем за первый квартал 2021 года. Это способствовало росту спроса на услуги отправки товаров из России. Оператор экспресс-доставки СДЭК отметил, что после ухода крупных зарубежных операторов клиенты стали обращаться к российским логистическим компаниям.

По словам собеседника «Коммерсанта», ставшего жертвой мошенников, у СДЭК стоимость отправки посылки весом более 10 кг в Мексику составляла более 40 тыс. руб., тогда как у мошеннического сайта эта услуга оценивалась в 18 тыс. руб.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России) сообщает о том, что в скором времени на портале «Госуслуг» появится специальная форма, через которую пользователи смогут пожаловаться на фишинговые сайты в интернете.

Источник изображений: pixabay.com

Фишинг — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей методами социальной инженерии. Результатом таких атак может стать, например, кража денег.

Сообщается, что до конца лета российская система мониторинга фишинговых сайтов перейдёт в промышленную эксплуатацию. Сервис использует множество источников, включая базы нескольких российских поставщиков данных о фишинге, которые ежедневно добавляют в среднем 1100 записей. Из них операторы отбирают около 150–200 ресурсов и, если сайт попал под критерии фишинга, его отправляют на блокировку/разделегирование. При этом за остальными подозрительными сайтами устанавливается мониторинг, чтобы заблокировать при подтверждении фишинга.

«Система получает информацию о новых, перерегистрированных, перенесённых доменных именах в режиме, близком к реальному времени. Операторы системы получают первичную информацию для обработки с задержкой несколько минут с момента регистрации и выдачи сертификата на доменное имя, если ресурс отвечает критериям поиска», — говорится в публикации Минцифры.

Оператором новой системы является НИИ «Интеграл», подведомственный Минцифры. В случае подтверждения фишинга на блокировку ресурса уходит в среднем 72 часа.