Ми впевнені, що ви теж це отримували. Листи про «прострочений SSL», «терміновий запит від СБУ», «негайне поновлення договору» або навіть про те, що «все буде підірвано». Частина з них настільки недолуга, що мимоволі усміхаєшся. Частина зроблена значно хитріше й уже змушує придивитися уважніше.
Разом зі службою кібербезпеки De Novo розбираємо найпоширеніші випадки фішингу та «листи щастя» від креативних шахраїв.
За останні місяці фахівці De Novo зібрали власну колекцію таких «креативів». У цій статті коротко розбираємо найяскравіші приклади, показуємо їхні типові ознаки та помилки. І додаємо коментарі відділу інформаційної безпеки De Novo про те, як не стати героєм чужого сценарію.
Зміст
«У вас мало часу! Рятуйтеся!» Листи від «українських військових» «Доброго дня! Прошу вас надати…». Звернення державних органів або «запити від СБУ» «Ваш сертифікат закінчився». Імітація сервісних сповіщень «Терміново оновіть!» Внутрішня мімікрія та захоплення облікових записів Як від цього захиститися? Коментарі та рекомендації від відділу інформаційної безпеки De Novo
«У вас мало часу! Рятуйтеся!» Листи від «українських військових»
Один із найагресивніших сценаріїв фішингу, з якими ми зіткнулися, — це спроба зупинити роботу офісу через прямі погрози терактами. Зловмисники грають на найболючіших темах війни й особистого відчаю. Такий тип фішингу ми для себе визначили як «психологічний терор під маскою особистої трагедії». Ми отримували листи від відправників із вигаданими іменами, які представляються ветеранами, що нібито втратили все. Вони використовують жахливо детальні формулювання: «ми протягом двох тижнів замінували понад 1000 об'єктів цивільної інфраструктури, й сьогодні ми почнемо підривати адміністративні будівлі». У тілі листа є навіть фото саморобних вибухових пристроїв, що має додати ваги повідомленню.
Серед авторів таких фішингових листів — персонажі з дивними іменами. Так, нам пишуть «українські» військові: Гремислав, Звенімір, Людіслав, Звенігор, Немір, Євстафій, Доброслав і Богуслав. Складається враження, що спамери вирішили додати креативу — почуття гумору ми оцінили, хоча наміри в них були зовсім не жартівливі.
«Я, Трутовський Доброслав Максимович, громадянин України, солдат, який з 2022 року брав участь у бойових діях, захищаючи свою Батьківщину.…….Я знайшов своїх однодумців, і ми прийняли рішення про повалення влади шляхом терору, ми протягом 2 тижнів замінували понад 1000 об'єктів цивільної інфраструктури, і сьогодні ми почнемо підривати адміністративні будівлі. Я прошу Вас покинути будівлю — вона замінована, в ній знаходиться вибуховий пристрій вагою 5 кг. Вибухівка С4, Ви невинна людина, якщо Ви не хочете померти або залишитися інвалідом, як я і мої колеги, будьте розумними, підтримуйте нинішню владу, навіть не сумнівайтеся, ми підірвемо Вашу будівлю. І ніхто Вам не допоможе!!! Вибирайте смерть у муках або підтримку військових ЗСУ, які постраждали від незаконних дій нашого уряду.
Вищевказані адреси вибухнуть о 16:00, інші адреси й Ваша будівля підлетять у повітря о 15:50, якщо Ви не хочете померти, біжіть, рятуйтеся!!! Також я замінував обласну адміністрацію та кілька навчальних закладів!!! У вас мало часу!!! Рятуйтеся!
Погрози від «ветерана» Доброслава Трутовського маніпулюють відчуттям страху
У текстах згадуються й конкретні адреси — від посольств іноземних держав до шкіл та телеканалів (правда, часто ці адреси далеко не завжди збігаються з реальним розміщенням об’єктів). Особливу увагу приділяють опису небезпеки, щоб залякати співробітників. Наприклад, в одному з листів автор детально описував загрозу та конструкцію саморобного вибухового пристрою (СВП). Мета таких атак — в створенні психологічного тиску й атмосфери паніки.
Цікаво, що попри «патріотичну» або «протестну» риторику ці листи часто надходять з «екзотичних» (ймовірно, зламаних) закордонних доменів — у нашому випадку японських, що одразу видає їхню справжню сутність. Також ознакою фішингу є те, що листи з погрозами, які приходять на різні поштові скриньки, не надто відрізняються за змістом. Формулювання змінені мінімально. Але це видно лише якщо порівняти одразу кілька листів, які надходять на різні поштові скриньки співробітників.
«Доброго дня! Прошу вас надати…». Звернення державних органів або «запити від СБУ»
Коли «терор» не дає результату, фішери змінюють вектор, імітуючи запити від держструктур. Ми зафіксували листи, надіслані нібито від «Центрального управління СБУ». Зловмисники використовують строгий канцелярський стиль і прямі вимоги, на кшталт таких:
«Прошу вас надати перелік документів до 05.11.2024. У разі непредставлення ваша організація буде зупинена». Як саме організація буде «зупинена» і що це взагалі означає — не уточнюється. Підозріло також те, що отримувача вказують загально — незрозуміло, кому конкретно адресовано лист. У підписі водночас зазначають реальні адреси відомств і контактні телефони, що подекуди притупляє пильність.
Ваша організація буде зупинена, добре, хоч не «астановлена». До речі, вказана хибна адреса ЦУ СБУ
Найбільша небезпека тут прихована в прикріплених файлах. Лист супроводжується архівом із назвою «Запит СБУ.rar». Розрахунок тут на те, що співробітник поквапиться відкрити вкладення, щоб ознайомитися з документами. Насправді всередині архіву, як правило, знаходиться шкідливий код, що дає хакерам доступ до робочої станції. Це класичний приклад цільового фішингу (spear phishing), націленого на юристів, бухгалтерів або топменеджмент, тобто людей які звикли працювати з офіційною кореспонденцією.
«Ваш сертифікат закінчився». Імітація сервісних сповіщень
Паралельно з «гучними» погрозами триває тиха облога технічного персоналу через імітацію сервісних сповіщень. У хмарному бізнесі робота з доменами та SSL-сертифікатами — це щоденна рутина, і саме тут зловмисники розставляють свої пастки. Ми отримали серію фішингових листів, що мімікрують під сповіщення від провайдерів:
«Ваш сертифікат для denovo.com.ua.globalssl.org закінчився» або «Хостингові послуги для denovo.com.ua закінчаться 22.10.2024». Листи виглядають професійно. Вони містять таблиці з цінами, логотипи та попередження.
«Поновіть» дію договору, та… віддайте хакерам свої облікові дані.
Кнопки «Поновити зараз» можуть вести на фальшиві платіжні сторінки, де метою є крадіжка, наприклад, корпоративних облікових записів. Підступність цих атак у тому, що вони приходять у моменти високого навантаження адмінів, коли перевірка адреси відправника (наприклад, [email protected]) здається витрачанням часу.
«Терміново оновіть!» Внутрішня мімікрія та захоплення облікових записів
Отримували ми й листи, які маскуються під внутрішні системні сповіщення нашої власної компанії. Зловмисники створюють розсилки, які, на перший погляд, виглядають як стандартні повідомлення від ІТ-департаменту або поштового сервера:
«Your password expires on 27.11.2025» або «You have 6 messages pending to your mailbox».
Використання англійської мови в таких сповіщеннях — поширена практика в ІТ-середовищі, що допомагає листам «розчинитися» серед сотень інших повідомлень.
Терміново треба щось оновити? Краще не квапитись
У цих фішингових листах використовують тактику створення штучного дефіциту часу, наприклад пишуть про терміновість дій:
«Pending emails will be deleted automatically from the system within a period of 12 hours».
Розрахунок на те, що наляканий втратою важливих листів співробітник натисне на «Release Pending Mail», потрапить на фальшиву форму входу в пошту та добровільно передасть свій логін і пароль хакерам. Зловмисники шукають не стільки пролом у системі кібербезпеки, скільки розраховують на послаблену увагу співробітників. Найкращим захистом у цьому разі залишається культура здорового скептицизму. Якщо «підрозділ безпеки» пише вам із сайту японського магазину запчастин, а «СБУ» надсилає документи у форматі .rar або .zip — про це потрібно негайно повідомити Відділ інформаційної безпеки.
Як від цього захиститися? Коментарі та рекомендації від відділу інформаційної безпеки De Novo
Рекомендації які надає відділ інформаційної безпеки:
- Не переходьте за сумнівними посиланнями з повідомлень, месенджерів чи електронної пошти
- Не вводьте особисті або банківські дані на сторонніх сайтах;
- Видаляйте підозрілі повідомлення
- Завжди перевіряйте інформацію тільки на офіційних ресурсах: сайті, застосунку або зателефонуй на номер телефону, зазначений на офіційному сайті
- Також не відкривайте вкладення що містяться в листах від невідомих підозрілих адресантів.
Є мінімальні підозри, сумніви — звертайтеся до Відділу інформаційної безпеки для проведення додаткового аналізу.
Однак, як показує наш досвід, зловмисники часто використовують легітимні ресурси з яких здійснюються розповсюдження листів шкідливого характеру та завантаження вкладень зі шкідливим кодом.
В таких випадках критично важливо навчити співробітників базового технічного аналізу листів — перевірці відповідності імені відправника його реальній адресі та вивченню посилань перед кліком. Правило «наведи курсор, але не натискай» має стати автоматичним рефлексом для кожного, хто працює з поштою. Особливу увагу слід приділяти роботі з вкладеннями, особливо у форматах архівів або документів які можуть містити макроси, вбудовані об’єкти, гіперпосилання або зв’язки з іншими ресурсами що дозволяють завантажити шкідливе програмне забезпечення.
Тут прямо попереджають — не натискайте, не відкривайте!
Листи з «запитами від СБУ», що містять архіви або файли до виконання, автоматично перевіряються спеціалізованим програмним забезпеченням для захисту електронної пошти, перш ніж потраплять на комп’ютер кінцевого користувача. Також не виключаємо окремі винятки коли лист потребує додаткового аналізу з боку відділу інформаційної безпеки. В оптимальній структурі безпеки будь-які вкладення від зовнішніх відправників, яких співробітник не очікував, мають апріорі вважатися шкідливими.
Нарешті, найскладнішим, але ефективним елементом захисту є «право на сумніви». У більшості випадків співробітники припускаються помилок, бо бояться підвести компанію або виглядати некомпетентними, ігноруючи «терміновий запит» керівництва чи держструктур. Співробітникам необхідно повідомляти про будь-які підозрілі листи, навіть якщо вони схожі на хибну тривогу. У De Novo ми вибудовуємо систему безпеки так, щоб звіт про фішинговий лист займав не більше кількох хвилин, а відділ інформаційної безпеки давав швидкий зворотний зв’язок.
Регулярні навчання, листи з роз’ясненнями про можливі спам-розсилки допомагають персоналу зберігати пильність та перетворюють теорію безпеки на практичні навички.
