Около месяца назад компания «РТК-Солар» обнаружила массовую фишинговую рассылку, в которой россиянами электронные письма приходят якобы из правоохранительных органов. В ходе кибератак преступники применяют домены, которые похожи на официальные.
В рамках реализации этой киберпреступной схемы злоумышленники уточняют в тексте своих вредоносных писем, что пользователю якобы требуется ознакомиться с материалами уголовного дела. Чтобы сделать свои требования максимально правдоподобными, киберпреступники пользуются конфиденциальной информацией пользователей, которая была получена из предыдущих утечек данных.
Рассылка фишинговых писем в ходе этой схемы выполняется адресно – злоумышленники берут личную информацию граждан и обращаются к ним официально (по полному имени). Зачастую в этих фишинговых письмах также приводятся паспортные данные и места проживания потенциальной жертвы, что сделано для пущей убедительности. Все эти факторы влияют на то, что человек с высокой долей вероятности откроет вредоносный PDF-файл, прикрепленный к письму.
По словам экспертов по информационной безопасности из «РТК-Солар», операторы этой фишинговой кампании использовали данные, полученные из одной утечки 2022 года, когда в открытый доступ попали данные около 30 млн. пользователей, в том числе около 6 млн. уникальных email-адресов.
Как отмечают в «РТК-Солар», это давно не новая и достаточно распространенная фишинговая схема, но с некоторыми изменениями. Например, ранее киберпреступники вредоносные файлы прикрепляли сразу к письму, но из-за ужесточения систем безопасности подобные письма уже автоматически помечаются почтовыми сервисами как спам, поэтому злоумышленники в теле электронного письма всё чаще оставляют ссылку на файлообменник, с которого уже и осуществляется загрузка вредоносного файла, если пользователь «клюнул на удочку».
