Оманливі повідомлення Зображення: Getty Images
Державні установи України стали ціллю нової серії кібернападів. Зловмисники розсилають фішингові електронні листи, які імітують сповіщення від освітньої платформи Prometheus про “успішне проходження курсів” та “згенерований сертифікат”. Подібні методи соціальної інженерії, коли шахраї видають себе за авторитетні організації, стають все більш витонченими та завдають дедалі значніших збитків. Загроза такого нападу полягає у багатоетапній схемі інфікування, яку важко виявити одразу. Особливо вразливими є співробітники державних структур та навчальних закладів, які могли реально проходити зазначені курси.
Оманливі повідомлення
Як попереджає CERT-UA (Урядова команда з реагування на комп’ютерні надзвичайні події України), схема розпочинається з отримання електронного листа з PDF-вкладенням. Всередині цього PDF-файлу розташоване посилання на ZIP-архів, а вже в самому архіві прихований JavaScript-файл. Як тільки користувач запускає цей скрипт, система зазнає інфікування.
На заключному етапі атаки кіберзлочинці можуть встановити на пристрій Cobalt Strike — програмне забезпечення для віддаленого доступу та повного контролю над комп’ютером. Це дозволяє зловмисникам стежити за жертвою, викрадати конфіденційну інформацію та використовувати скомпрометований пристрій для подальших нападів у межах корпоративної мережі.
Для розповсюдження шкідливих повідомлень злочинці часто задіюють уже скомпрометовані облікові записи українських компаній. Це означає, що лист може надійти з реальної та знайомої електронної адреси, підвищуючи таким чином рівень довіри до нього порівняно з повідомленням від невідомого відправника.
Рекомендації щодо захисту системи
Експерти надають чіткі поради для забезпечення безпеки. Не слід відкривати підозрілі вкладення, навіть якщо лист надійшов від знайомого контакту і виглядає як офіційне повідомлення від легітимної платформи. У разі виникнення будь-яких сумнівів, варто зв’язатися з відправником через окремий канал комунікації та уточнити, чи дійсно він надсилав цей лист.
Необхідно ретельно перевіряти всі гіперпосилання, що містяться у PDF-файлах, перед переходом за ними. Особливо важливо запам’ятати просте правило: ніколи не запускайте .js-файли, які виявлені в архівах, отриманих електронною поштою. Легальне програмне забезпечення або освітні платформи ніколи не надсилають сертифікати у подібному форматі.
Держустанови та банки під прицілом фішингу
Фішингові атаки на українські установи не є новим явищем, однак їхні методи постійно вдосконалюються. Нещодавно шахраї здійснили масову розсилку, яка імітувала офіційні листи від Національного банку України. Зловмисники надсилали повідомлення з різних адрес, нібито від імені НБУ, з метою змусити отримувачів завантажити шкідливе програмне забезпечення для дистанційного доступу до їхніх комп’ютерів. Національний банк закликав ігнорувати подібні повідомлення та утримуватися від відкриття будь-яких вкладень.
Фахівці з кібербезпеки фіксують широкий спектр шахрайських листів — від імітації “термінових запитів від СБУ” до фальшивих повідомлень про прострочені угоди. Більшість постраждалих реагують на такі листи через страх підвести колег або здатися некомпетентними, ігноруючи “невідкладний запит”. Детальний перелік видів шахрайських листів із поясненнями, як їх розпізнати, допомагає завчасно підготуватися.