На территории ЦФО действуют мошенники, прикрываясь брендом Ростелекома. Преступники пытаются получить доступ к компьютерам и личным данным пользователей через рассылку сообщений с вредоносным кодом на почту.
Двойники Ростелекома — мошенники
В ЦФО зафиксировали случаи рассылки сообщений пользователям от имени Ростелекома, содержащих вредоносный код.
«К сожалению, все крупные и известные компании сталкиваются с тем, что злоумышленники пытаются использовать их бренд в неблаговидных целях. Например, для фишинговых рассылок. Ростелеком старается максимально проинформировать своих абонентов о правилах «цифровой гигиены». Информация об этом размещена на сайте. После последней рассылки мы направили абонентам письма-напоминания с подробной инструкцией, как опознать фишинговые рассылки и не стать жертвами злоумышленников», — прокомментировал ситуацию представитель пресс-службы Ростелекома.
Вредоносные сообщения преступники маскируют под официальную рассылку оператора связи. В письмах мошенники сообщают о переходе абонентов Ростелекома к его «партнерам» в связи с вышедшими из строя линиями связи. Оператор утверждает, что линии связи «выйти из строя» в принципе не могут. А значит, уже эта часть должна вызвать у абонентов подозрения.
«Нарушения в работе линий связи случаются только в случаях физического повреждения кабеля или сетевых устройств. А эти аварии устраняются в регламентные сроки», — поясняют представители Ростелекома.
В тексте сообщения злоумышленники размещают ссылки. Если жертва кликает по ним, то автоматически начинается загрузка вредоносного ПО. Вирус позволяет преступникам получить полный контроль над компьютером пользователя. Также в письмах есть вложение файла Word, при открытии которого тоже происходит заражение компьютера.
Служба безопасности оператора рекомендует пользователям обращать внимание на домен, с которого приходят письма. Официальный домен Ростелекома — @rt.ru. Сообщения от мошенников приходят с других адресов, например: info@primrub.ru, info@ribrab.ru, info@rubpr.ru.
Ростелеком просит внимательно изучать адреса ссылок в тексте. Очень часто злоумышленники используют адреса-двойники. Они похожи на названия легальных ресурсов, отличаются лишь на одну или пару букв.
Мнение экспертов
Как показывает практика, мошенники не так часто используют имена операторв связи для вредоносных рассылок.
«Выбор идет не в пользу телекома, а именно в пользу популярных компаний. Ростелеком — гигант, поэтому от его имени и рассылают письма. Российская компания выбрана потому, что фишинговая схема ориентирована на российских пользователей. Однако на месте Ростелекома могла быть и западная компания, услуги которой популярны у российских юзеров. Например, Apple или Google», — объяснил специалист компании «Доктор Веб» Александр Вураско.
Старший спам-аналитик «Лаборатории Касперского» Татьяна Щербакова обращает внимание, что рассылки, в которых так или иначе упоминаются известные компании и бренды, являются одними из самых популярных во вредоносном спаме.
«Телеком-операторы, в частности отечественные телеком-компании, не так часто встречаются во вредоносном спаме. В основном это самые крупные мировые компании с большим количеством клиентов», — говорит Щкрбакова.
Почему выбрали Ростелеком
«То, что в данном случае выбран Ростелеком, — не случайно. Это крупный оператор, имеющий огромное количество абонентов. Соответственно, при нецелевой рассылке в адрес неограниченного круга лиц шансы попасть на абонента Ростелекома достаточно высоки. Именно поэтому злоумышленники прикрываются именами наиболее популярных сервисов. Охват потенциальных жертв выше», — прокомментировал ситуацию Александр Вураско.
Он заметил, что компания «Доктор Веб» уже не раз сталкивалась с фишинговой рассылкой.
«Основная задача таких писем — заставить пользователя перейти по ссылке, загрузить вредоносную программу, запустить ее. Отсюда и подача: потенциальную жертву пытаются вынудить совершить быстрые необдуманные действия. Это стандартная тактика. «Проблемы с договором — подробности по ссылке», «В вашу учетную запись iTunes осуществлен несанкционированный вход — поменяйте пароль по ссылке», «Ваша банковская карта заблокирована — перейдите в личный кабинет по ссылке». Это все старые, но эффективные методы», — рассказал Александр Вураско.
За последнее время количество вредоносных рассылок увеличилось, пусть и незначительно.
«Количество подобных рассылок остается стабильно высоким в последнее десятилетие. Ожидать существенного уменьшения их количества в ближайшие годы не стоит», — считает Александр Вураско.
«Количество подобных рассылок незначительно увеличивается. Это может быть связано с тем, что использование известных брендов во вредоносном спаме остается очень эффективным, хотя уже давно не новым способом установки вредоносного ПО», — рассуждает Татьяна Щербакова.
Как не попасть в руки мошенников
Эксперты советуют пользователям никогда не переходить по ссылкам в письмах с неизвестных и сомнительных адресов.
«Первое, что надо всегда помнить, что ни в коем случае нельзя переходить по ссылкам из подозрительных писем и открывать вложения, даже если письма очень похожи на настоящие, — советует Татьяна Щербакова. — Дело в том, что помимо традиционных файлов — zip, rar, exe и пр. — встречаются и незнакомые пользователям расширения, например igy, pub, iso. Но это совсем не означает, что данные вложения безопасны, наоборот. Киберпреступники используют встроенные официальные функции файлов для обхода защитных решений. Всегда необходимо обращать внимание на адрес отправителя. Часто он совсем не похож на легитимный — например, указан сторонний домен. Кроме того, необходимо использовать надежные защитные решения с актуальными фишинговыми базами».
Главное — это не торопиться и не предпринимать необдуманных решений. Собственно, на необдуманность и рассчитывают злоумышленники. Если вы получили подозрительное письмо, удалите его или обратитесь в данную организацию по телефону, указанному на официальном сайте компании. Не стоит переходить по ссылкам из письма или пользоваться контактами из сомнительной рассылки.
Фото: Unsplash.