Киберпреступники проводят активную фишинговую кампанию, которая направлена на рассылку поддельных писем от имени ФНС. Основные жертвы хакеров – юридические лица, государственные ведомства, службы, учреждения.
Соответствующую активность со стороны киберпреступников обнаружили эксперты по информационной безопасности компании Group-IB. В фишинговом письме злоумышленники просят жертв лично посетить ведомство, но сначала требуется заполнить анкету, которая вложена в электронное письмо.
Вложение является вредоносным – после его открытия на пользовательское устройство начинается установка вредоноса, с помощью которого киберпреступники получают возможность дистанционного управления системой.
Фишинг заподозрить сложно, потому что в строке отправителя письма указан официальный email-адрес ФНС – info@nalog.ru. На деле рассылка фишинговых писем выполняется с публичных почтовых сервисов. Реальность адреса отправителя вводит многих людей в заблуждение.
Во вложении, которое прикреплено к email, располагается запароленный архив. В письме указан пароль. После открытия архива на устройство сразу начинается установка программы Remote Manipulator System – это легальная программа, поэтому антивирусное ПО на нее никак не реагирует. В устанавливаемую программу киберпреступники внести изменения – после запуска файла они получают дистанционный доступ к рабочей станции, с которой могут скачать все документы.
ФНС России официально опубликовала предупреждение, в котором настоятельно не рекомендует читать подобные фишинговые письма и открывать вложенные в них письма: «Подобные email-письма – поддельные, ФНС РФ не занимается их рассылкой. Ведомство по электронной почте никогда не уведомляло и не уведомляет о наличии задолженности и не предлагает оплату налоговых долгов в онлайн-режиме. Сведения о наличие задолженностей, формах оплаты представлены в сервисе Личный кабинет налогоплательщика. Настоятельно не рекомендуем открывать фишинговые письма от злоумышленников и прикрепленные файлы».
Специалисты компании Group-IB предупреждают, то на данный момент киберпреступники до сих пор активно рассылают фишинговые письма в различные государственные ведомства, юридическим лицам, индивидуальным предпринимателям.