Громадська організація «Фундація імені Августа Вірлича» отримала на електронну пошту лист нібито від «ДПІ у Солом'янському районі Києва». Лист виявився шахрайським. Розповідаємо, що сталось, що це було і як вберегтись.Що за шахрайський лист від «податкової»
4 серпня 2024 року на пошту громадської організації «Фундація імені Августа Вірлича» надійшов лист нібито від ДПІ у Солом'янському районі Головного управління ДПС у м. Києві. У листі просили надати документи через те, що «проводиться відпрацювання низки підприємств, що у незаконної діяльності, на якому в даний час фахівцями ДПІ в Солом'янському районі м. Києва ДПС, проводиться документальна перевірка».
Далі був перелік документів, які нібито потрібно надати і посилання на файли та вкладені файли.
Ознак фейкового листа — доволі багато навіть без глибокого аналізу:- адреса електронної пошти податкової не може мати такий формат: лист має надходити з пошти *.gov.ua та бути шифрованим;
- ЕГРПОУ — це російськомовне скорочення, в українській мові це ЄДРПОУ, податкова таких помилок не припускається.
Інші ознаки вже менш явні, але теж важливі і виявити їх легко:Реклама
- подібні запити проводяться виключно в межах перевірок, про які організацію мають повідомити із зазначенням причин;
- «Фундація імені Августа Вірлича» не має стосунку до Солом'янського району Києва: ані місцем розташування, ані транзакціями, — взагалі жодним чином.
Фахівці підтвердили: лист шахрайський
Перше, що зробила організація, яку очолює за сумісництвом головна редакторка Кавун.City, — звернення до фахівців «Лабораторії цифрової безпеки».Це команда спеціалісток та спеціалістів у сфері цифрової безпеки та свободи Інтернету. Вони допомагають українським журналістам, правозахисникам та громадським активістам вирішувати проблеми у цифровій безпеці.
Фахівці дуже швидко відповіли та перевірили лист і підтвердили, що він — шахрайський.
«Лист містить архів, в якому ще декілька вкладених архівів, — розповів Максим Луночкін. — Останній запаролений, нібито для безпеки, але насправді вони таким чином уникають сканування антивірусами, бо антивірус не може перевірити вміст запароленого архіву. До того ж, архів завантажується зі справжнього Google Drive".
В цьому архіві, власне шкідливий файл замаскований під PDF, але насправді це виконувана програма.
Після запуску цього файлу, запуститься прихований скрипт який перевіряє чи встановлений на компʼютері антивірус і має інші захисні від виявлення техніки.Що найважливіше, він завантажує шпигунську програму, яка передає повне керування компʼютером на віддалений сервер зловмисників. При цьому, жертва нічого не бачить, жодних повідомлень, все працює як завжди.
Складно поки що провести атрибуцію - сказати хто це зробив. Раніше ми вже досліджували схожі листи: https://yak.dslua.org/
Також фахівець порадив, що робити в разі, якщо надходять шахрайські листи.
«Такі атаки ми називаємо таргетованими — тобто це якась група хакерів, ймовірно повʼязана зі спецслужбами намагається отримати доступ до пристрою. Відповідно, просто антивірус чи якийсь інший інструмент не справиться з захистом. Потрібен комплексний підхід. Це може включати:
- домовитись з членами команди, щоб сповіщали, якщо отримують щось підозріле
- нагадувати про те, що куди завгодно можуть прислати щось шкідливе
- налаштувати пристрої таким чином, щоб мінімізувати несанкціонований віддалений доступ
- налаштувати підвищений захист онлайн акаунтів (пошти, соцмережі, месенджери тощо)
- періодичні зовнішні аудити безпеки + тренінг про актуальні загрози».
Наступний крок для організації — це скарга до кіберполіції.
Кавун.City
