Мошенники могут использовать почтовый домен gov.ru для рассылки фишинговых писем, об этом РИА Новости предупредила администрация сети RSNet (Russian State Network, сегмент интернета для российских органов власти).

В понедельник ряд сотрудников агентства получили электронные письма от администрации RSNet, в которых говорилось о массовых рассылках пользователям почтового домена gov.ru фишинговых писем с вредоносным содержимым.

«Для предотвращения реализации угроз информационной безопасности рекомендуем не открывать письма от незнакомых отправителей, не переходить по ссылкам из электронных писем легитимных пользователей сети RSNet, в том числе от администрации сети RSNet, не открывать файлы вложений, содержащихся в подобных электронных сообщениях», – говорилось в сообщении.

Не рекомендовали пользователям совершать и другие действия, указанные в письме. Эксперты, специализирующиеся на информационной безопасности, подтвердили РИА Новости, что подобные рассылки имеют место.

«Мы также обнаружили таргетированные рассылки фишинговых писем якобы с домена gov.ru. При таком типе атак злоумышленники настраивают вектор атаки под конкретную организацию. Такие атаки, как правило, сложнее, чем массовые, в них могут быть использованы даже реальные имена и телефоны сотрудников организации», — сообщил агентству руководитель группы защиты от почтовых угроз в «Лаборатории Касперского» Андрей Ковтун.

По словам собеседника агентства, в случае с рассылками, обнаруженными экспертами компании, в приложении к письму находится архив с паролем, и это вложение содержит исполняемые вредоносные файлы. В качестве уловки злоумышленники применяют поддельный адрес отправителя webmaster@gov.ru, который используется в качестве имени адресанта, а настоящий e-mail отправителя находится на бесплатной почте.

Мошенники или госорганы?

Директор по консалтингу группы компаний InfoWatch Ирина Зиновкина также отметила, что мошенники часто берут на вооружение государственные сервисы - например, некоторое время рассылались фишинговые письма якобы от налоговых органов.

«Люди доверяют доменам, которые похожи на государственные. Кроме того, если приходит какое-то письмо из государственного органа, мы априори считаем его важным», — добавила она.

Начальник отдела информационной безопасности SearchInform Алексей Дрозд призвал не терять бдительность и соблюдать «элементарные правила личной информационной безопасности, перепроверять всю входящую информацию и обращать внимание на любое сомнительное поведение собеседников».

Он напомнил, что в письме, с виду легальном, могут быть указаны ненастоящие телефонные номера. «Если это так, теоретически на том конце провода вас могут втянуть в «телефонный фишинг». И уже на этом этапе призывать переходить по каким-то ссылкам, загружать какие-то вложения, предоставить ту или иную информацию», - указал эксперт.

Кроме того, продолжил собеседник РИА Новости, электронная почта адресата может быть взломана, и в этом случае злоумышленник будет писать с настоящего ящика. 

«Поэтому в приведенном вами письме написано верно: нельзя переходить по ссылкам даже от легитимных пользователей, потому что их учетки могут быть скомпрометированы», — заключил Дрозд.

Ковтун также дал рекомендации, как не стать жертвой фишинга. Во-первых, по словам эксперта, следует внимательно проверять адрес отправителя, во-вторых, не переходить по ссылкам в подозрительных сообщениях и не открывать в них приложения.

В-третьих, следует установить надежное защитное решение с функцией сканирования объектов, актуальными базами фишинговых сайтов, скама (вид мошенничества, при котором злоумышленники вводят жертву в заблуждение и вынуждают ее раскрыть данные) и спама. Директор по консалтингу InfoWatch указала, что любое письмо, «которое вызывает хоть малейшие сомнения», должно направляться в локальную службу безопасности для проверки.