В августе 2023 года центр мониторинга внешних цифровых угроз Solar AURA компании «РТК-Солар» зафиксировал массовую фишинговую рассылку от имени правоохранительных органов Российской Федерации. Используя домены, максимально похожие на официальные доменные имена следственных органов, мошенники рассылают письма с требованием ознакомиться с материалами уголовного дела. Для правдоподобия злоумышленники используют реальные данные граждан, полученные из масштабных утечек, установили специалисты Solar AURA.

Рассылки осуществляются адресно: злоумышленники берут персональные данные потенциальных жертв из ранее утекших баз данных и обращаются к ним по имени отчеству. В ряде случаев злоумышленники также указывают в письмах паспортные данные и адреса регистрации. Фигурирующие в тексте номера уголовных дел являются настоящими и получены из открытых источников. Все это создает иллюзию взаимодействия с органом государственной власти и повышает шансы на то, что получатель письма запустит вредоносную программу.

Данные, содержащиеся в фишинговых письмах, относятся к масштабным утечкам. В частности, было установлено, что злоумышленники воспользовались одной из утечек 2022 года: тогда общее количество опубликованных записей достигло 30 млн, включая более 6 млн уникальных электронных почт, среди которых 78 тысяч принадлежат корпоративным доменам. Эти факты объясняют массовый характер распространения фишинговой рассылки.

Схема, использованная в этой атаке, не является новой и чрезвычайно распространена. Злоумышленники систематически используют фишинговые письма для доступа к конфиденциальным данным или внедрения вредоносного программного обеспечения. Но данная схема претерпела некоторые изменения. Ранее злоумышленники вкладывали вредоносные ZIP-файлы непосредственно в письма, однако в связи с ужесточением мер безопасности подобные сообщения теперь, скорее всего, будут автоматически фильтроваться как спам. Поэтому злоумышленники вместо привычных вложений вставляют ссылку на файлообменник, через которую, как предполагается, жертва загрузит вредоносное содержимое. В этой атаке оно замаскировано под программу для распознавания текста.

«Гражданам важно помнить, что правоохранительные органы не оповещают о процессуальных действиях посредством электронной почты. Если вы нежданно получили письмо от органов государственной власти, в котором вам предлагается совершить какие-либо действия (скачать файл, перейти по ссылке, заполнить форму), обратитесь за разъяснениями в соответствующий орган, используя контактные данные с его официального сайта», – комментирует Сергей Трухачев, заместитель директора центра мониторинга внешних цифровых угроз Solar AURA компании «РТК-Солар».