Это вид мошенничества уже несколько раз встречался в моей работе и я считаю, что он рассчитан на малый бизнес. Чуть позже я поясню почему.
На корпоративную почту сегодня приходит письмо от Федеральной службы судебных приставов с заголовком "Исполнительный лист № 218417004 от 20.07.2020". Текст письма приведу ниже:
Первые мысли в голове - с чего вдруг исполнительный лист и за что, если у нас никаких судебных разбирательств нет. Вторая мысль - возможно, что исполнительный лист пришел на кого-то из сотрудников.
Но потом начинаешь постепенно анализировать ситуацию и осознавать, что во-первых, исполнительные листы ко мне уже приходили и они приходят только почтой, во-вторых, был бы суд - нас бы об этом 100 процентов известили, а значит мимо нас он пройти просто не может. Значит это что-то подозрительное, либо какая-то ошибка. Но я всегда склонен считать, что это скорее обман, чем ошибка.
Начинаем анализировать письмо. Письмо пришло с почты mail@p77.fssprus.ru. То есть вроде бы с домена судебных приставов, причем даже поддомен указывает на Москву. Как бы все складно. Но только подменять обратный адрес в письмах, мошенники научились уже давно. В 2014 году мне попадалась статья об этом. Метод называется Спуфинг. Так, что можно письма писать хоть от Президента.
Идем далее. В письме 2 ссылки. Не знаю можно ли это увидеть в браузере, (скорее всего можно), но так как я проверяю почту через приложение Thunderbird, то там когда наводишь на ссылку внизу окна с письмом отображается то, куда она ведет, так как то, что написано в ссылке и то, куда они ведет - это не обязательно одно и тоже. Так вот первая ссылка ведет туда куда она и указывает, то есть на сайт судебных приставов. И у них на сайте есть действительно личный кабинет. Пока все складно получается.
Но вот вторая ссылка хоть и указывается на какой-то файл на сайте судебных приставов на самом деле ведет по этому адресу: http://www.fssspdocs.ru/Ispolnitelniy_List_218417004. Ну и тут уже видно, что это не судебные приставы. Проверяем кому-же принадлежит мошеннический сайт.
Pricate Person - частное лицо. Все понятно.
Для сравнения сайт судебных приставов.
На данном этапе все становится понятно, но надо же довести дело до конца и понять, а что за мошенничество перед нами.
Основная масса вирусов рассчитана на пользователей Windows в виду ее подавляющего большинства на компьютерах пользователей, а у нас установлен Linux. Значит нам вся эта зараза не страшна, если подходит ко всему с умом.
Переходим по ссылке мошенника, скачиваем архив с названием Исполнительный лист.zip. Распаковываем. Там лежит файл с расширением *.scr. Это скорее всего какой-то скрипт, который при запуске будет выполнять различные вредные действия. Я решил, что это либо шифровальщик, который шифрует файлы на рабочей машине и мошенник потом требует денег за их дешифровку, либо троян, который будет воровать пароли. Но интересно проверить. Переходим на сайт Доктора Веба - online.drweb.com. Вводим в окошко наш подозрительный файл и получает информацию о нем.
Ну, так оно и вышло - Троян. Trojan.SpyBot.699 Троянец-шпион, предназначенный для перехвата нажатий клавиш на зараженном устройстве, выполнения поступающих команд и кражи конфиденциальной информации.
Вот собственно и вся суть мошенничества - запуск шпионской программы на машине пользователи и воровство ваших данных.
А теперь, собственно, почему я считаю, что этот вид мошенничества рассчитан именно на малый бизнес. Тут все просто - рассылка идет именно на адреса юридических лиц, либо предпринимателей, а тексты писем рассчитаны именно на людей, которые занимаются бизнесом. Но в крупных организациях есть серьезная антивирусная защита, а небольшие ООО или ИП часто оставляют свои компьютеры без оной. Так же у небольших организаций не бывает своего почтового сервера, который бы проверял и сортировал почту, и письма приходят сразу сотруднику, который может быть не очень подкован в вопросах сетевой безопасности. Довольно часто в такими письмами рассылают вирусы-шифровальщики, которые зашифровывают все файлы на компьютере и что бы их расшифровать, мошенники требуют деньги, и если обычный пользователь скорее всего ничего архиважного на компьютере не хранит, то для бизнеса потерять информацию может быть сродни смерти, а значит он более охотно согласиться заплатить мошенники деньги за расшифровку данных. Правда, скорее всего, никакого дешифратора просто не существует.
Так что уважаемые коллеги, будьте бдительны и предупредите ваших сотрудников о всех подозрительных письмах с вложениями и ссылками от адресатов, которые им не знакомы. Не попадайтесь мошенникам!