В конце декабря аналитики центра кибербезопасности F.A.C.C.T. зафиксировали новую волну массовых рассылок вредоносного ПО под видом уведомлений крупной логистической компании. Рассылка вредоносных писем по-прежнему один из самых популярных векторов кибератак.
Вредоносная рассылка от киберпреступников обычно содержит вложение (доля таких рассылок составила 98,3 %). В 8 из 10 таких писем получатель увидит во вложении архив, чаще всего с расширением ZIP и RAR. Среди офисных документов злоумышленники предпочитают использовать для доставки вредоносных приложений PDF и DOCX.
В 69 % фишинговых письмах преступники скрывают шпионское ПО и стилеры. В топ-3 вредоносных программ, используемых в рассылках в 2024 году, вошли шпионское ПО AgentTesla, инструмент для кражи учетных записей и персональных данных FormbookFormgrabber, а также загрузчик CloudEye.
Лишь одно из 30 вредоносных писем злоумышленники отправляли через бесплатные почтовые сервисы, остальные с отдельных как специально созданных, так и скомпрометированных доменов.
Аналитики центра кибербезопасности компании F.A.C.C.T. подготовили рекомендации, как распознать опасное письмо в корпоративной почте и защитить компанию от фишинговых рассылок:
адрес отправителя должен вызвать подозрения в случае, если оно отправлено с помощью бесплатных почтовых служб, таких как Gmail, популярные российские сервисы, или название домена отличается от привычного – изменены символы (например, вместо «l» указывают «i», вместо «o» – «s») или доменная зона (например, .com, .biz или любое другое вместо .ru). Однако мошенники могут отправить вредоносное письмо с почтового адреса компании, если перед этим взломали почтовый ящик. Также злоумышленники могут использовать спуфинг – подделать информацию об отправителе письма. В таких случаях адрес отправителя может не вызывать подозрений;
текст письма необходимо внимательно прочесть. Если получателя побуждают скорее открыть вложение или перейти по ссылке, да и любая попытка манипуляции повод насторожиться. Если в тексте указан пароль к архиву, который предлагают скачать из интернета по ссылке или открыть вложение из письма, это тоже характерный признак письма от злоумышленников;
файлы или ссылки из письма не стоит открывать, если не уверены в их безопасности. Даже установленный антивирус может проигнорировать, не обнаружить угрозу. Специалисты по кибербезу проверяют подозрительные файлы, используя специализированные инструменты анализа на наличие вредоносного кода.
Правила почтовой безопасности:
не трогайте подозрительное письмо – не открывайте содержащиеся в нем файлы и ссылки;
попробуйте связаться с отправителем письма и уточнить детали, например позвонив по телефону. Но использовать для этого не контакт, указанный в письме, – он также может вести к мошенникам, а указанный на официальном сайте организации контактный телефон;
сообщите о подозрительном письме в службу безопасности вашей организации.