Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Group-IB и ФНС предупреждают о вредоносной рассылкеот имени налоговой

17/08/20

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, совместно с Федеральной налоговой службой предупреждают о фишинговой атаке, нацеленной на юридические лица и государственные учреждения. В настоящее время рассылка вредоносных писем продолжается.

Специалисты Центра реагирования на инциденты кибербезопасности CERT-GIB зафиксировали вредоносную кампанию якобы от имени ФНС: в поддельных письмах под видом вызова в налоговую киберпреступники распространяют ПО для удаленного управления компьютером. CERT-GIB и ФНС рекомендуют проявить максимальную бдительность и с осторожностью относиться к требованиям открыть файлы во вложении.

Рассылка началась 27 июля. Всем атакуемым приходило одинаковое письмо, в адресе отправителя которого была указана почта info@nalog.ru, которая полностью имитировала легитимный домен ФНС. На самом деле письма рассылались с публичных почтовых сервисов, технические заголовки были подделаны. Автор письма просил явиться в «Главное Управление ФНС России» для «дачи показаний по движению денежных средств», а также распечатать и заполнить документы, находящиеся во вложении к письму. В случае неповиновения, отправитель «обещал» санкции, предусмотренные УК РФ. Как подчеркивают в ФНС, ни организации, фигурирующей в подписи к письму, ни сотрудников, от имени которых были отправлены эти сообщения, не существует.

Picture 1

Специалисты CERT-GIB указывают на качество фишинговой атаки. В ходе анализа было установлено, что во вложении к поддельному письму находился архив «zapros-dokumentov.rar», в котором был другой запароленный архив и текстовый файл с паролем от него. При открытии аттача на компьютер жертвы загружалась легитимная программа для удалённого администрирования и управления компьютером, RMS (Remote Manipulator System). Именно поэтому для большинства антивирусных средств подобное письмо не выглядело вредоносным.

Однако в данном случае ПО RMS было модифицировано злоумышленниками таким образом, что при запуске исполняемого файла они получали полный удаленный контроль над атакованной рабочей станцией. Как правило, такое ПО используется на первом этапе целевой атаки для закрепления в сети, дальнейшего продвижения по ней или для эксфильтрации данных с зараженной машины.

В связи с тем, что в настоящее время рассылка вредоносных писем продолжается, CERT-GIB и ФНС рекомендуют проявить бдительность. Любые просьбы загрузить или установить файлы должны расцениваться как подозрительные. При получении подобного письма необходимо оперативно сообщить внутренней службе безопасности и работать с документами только после их проверки. В ФНС также напоминают, что официальная рассылка направляется только тем, кто указал и подтвердил адрес своей электронной почты в Личном кабинете налогоплательщика. В таких письмах обычно указана информация об изменениях в Личном кабинете налогоплательщика, о регистрации обращения в Службу и получении ответа на него. Причем формат ответа на обращение (.pdf, .xml) пользователь выбирает самостоятельно при обращении через сайт.

Темы:ФНСУгрозыGroup-IBМошенничествофишинг
Статьи по темеСтатьи по теме

  • Threat Intelligence выходит на новый уровень
    Дмитрий Волков, Технический директор, руководитель департамента Threat Intelligence & Attribution, сооснователь Group-IB
    Когда вы сталкиваетесь с реальной угрозой, нужен ответ важный вопрос: кто вас атакует и с помощью чего?
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы
  • Электронная подпись: от технических проблем к организационно-правовому аспекту
    Александр Баранов, заместитель генерального директора ФГУП ГНИВЦ ФНС России, заведующий кафедрой информационной безопасности НИУ ВШЭ
    Если десять лет назад о том, что такое электронная подпись, знали десятки, максимум сотни человек по всей России, то сегодня с ней знакомы миллионы. Какие технические проблемы возникают с использованием ЭП, и какие организационно-правовые аспекты мешают ее развитию раззказывает Баранов Александр Павлович, заместитель генерального директора ФГУП ГНИВЦ ФНС России, заведующий кафедрой информационной безопасности НИУ ВШЭ

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...