Громадська організація «Фундація імені Августа Вірлича» отримала на електронну пошту лист нібито від «ДПІ у Солом'янському районі Києва». Лист виявився шахрайським. Розповідаємо, що сталось, що це було і як вберегтись.

Що за шахрайський лист від «податкової»

4 серпня 2024 року на пошту громадської організації «Фундація імені Августа Вірлича» надійшов лист нібито від ДПІ у Солом'янському районі Головного управління ДПС у м. Києві. У листі просили надати документи через те, що «проводиться відпрацювання низки підприємств, що у незаконної діяльності, на якому в даний час фахівцями ДПІ в Солом'янському районі м. Києва ДПС, проводиться документальна перевірка».

Скріншот шахрайського листаСкріншот шахрайського листаФото: Кавун.CityАвтор: Кавун.City

Далі був перелік документів, які нібито потрібно надати і посилання на файли та вкладені файли.

Ось так виглядають посилання і вкладений файл

Скріншот шахрайського листаСкріншот шахрайського листаФото: Кавун.CityАвтор: Кавун.City

Ознак фейкового листа — доволі багато навіть без глибокого аналізу:

  • адреса електронної пошти податкової не може мати такий формат: лист має надходити з пошти *.gov.ua та бути шифрованим;
  • ЕГРПОУ — це російськомовне скорочення, в українській мові це ЄДРПОУ, податкова таких помилок не припускається.

Скріншот шахрайського листаСкріншот шахрайського листаФото: Кавун.CityАвтор: Кавун.City

Далі — продовження ознак фейкового листа, які втім не завжди можна швидко побачити: неузгодженість фраз та звернення «шановний», тоді як офіційні особи до жінок все ж таки звертаються «шавновна» або використовують обидві форми «шановний / шановна».

Скріншот шахрайського листаСкріншот шахрайського листаФото: Кавун.CityАвтор: Кавун.City

Інші ознаки вже менш явні, але теж важливі і виявити їх легко:

  • подібні запити проводяться виключно в межах перевірок, про які організацію мають повідомити із зазначенням причин;
  • «Фундація імені Августа Вірлича» не має стосунку до Солом'янського району Києва: ані місцем розташування, ані транзакціями, — взагалі жодним чином.

Інші ознаки також є.

Фахівці підтвердили: лист шахрайський

Перше, що зробила організація, яку очолює за сумісництвом головна редакторка Кавун.City, — звернення до фахівців «Лабораторії цифрової безпеки». Це команда спеціалісток та спеціалістів у сфері цифрової безпеки та свободи Інтернету. Вони допомагають українським журналістам, правозахисникам та громадським активістам вирішувати проблеми у цифровій безпеці.

Фахівці дуже швидко відповіли та перевірили лист і підтвердили, що він — шахрайський.

«Лист містить архів, в якому ще декілька вкладених архівів, — розповів Максим Луночкін. — Останній запаролений, нібито для безпеки, але насправді вони таким чином уникають сканування антивірусами, бо антивірус не може перевірити вміст запароленого архіву. До того ж, архів завантажується зі справжнього Google Drive.

Скрін наявності шахрайських файлівСкрін наявності шахрайських файлівФото: Лабораторія цифрової безпекиАвтор: Лабораторія цифрової безпеки

В цьому архіві, власне шкідливий файл замаскований під PDF, але насправді це виконувана програма:

Скрін файлу шахрайської програмиСкрін файлу шахрайської програмиФото: Лабораторія цифрової безпекиАвтор: Лабораторія цифрової безпеки

Після запуску цього файлу, запуститься прихований скрипт який перевіряє чи встановлений на компʼютері антивірус і має інші захисні від виявлення техніки. Що найважливіше, він завантажує шпигунську програму, яка передає повне керування компʼютером на віддалений сервер зловмисників. При цьому, жертва нічого не бачить, жодних повідомлень, все працює як завжди.

Складно поки що провести атрибуцію - сказати хто це зробив. Раніше ми вже досліджували схожі листи: https://yak.dslua.org/phishing/fishynh-rosiian-iz-zapytom-vid-sbu/».

Також фахівець порадив, що робити в разі, якщо надходять шахрайські листи.

«Такі атаки ми називаємо таргетованими — тобто це якась група хакерів, ймовірно повʼязана зі спецслужбами намагається отримати доступ до пристрою. Відповідно, просто антивірус чи якийсь інший інструмент не справиться з захистом. Потрібен комплексний підхід. Це може включати:

  • домовитись з членами команди, щоб сповіщали, якщо отримують щось підозріле
  • нагадувати про те, що куди завгодно можуть прислати щось шкідливе
  • налаштувати пристрої таким чином, щоб мінімізувати несанкціонований віддалений доступ
  • налаштувати підвищений захист онлайн акаунтів (пошти, соцмережі, месенджери тощо)
  • періодичні зовнішні аудити безпеки + тренінг про актуальні загрози».

Надіслати листа про можливі шахрайські атаки фахівцям «Цифрової лабораторії» можна сюди: [email protected].

Наступний крок для організації — це скарга до кіберполіції.

«Фундація імені Августа Вірлича» вважає, що подібна атака пов'язана із проросійськими або російськими шахраями. Про це зокрема свідчать російська абревіатура, нашвидкоруч перекладений та неузгоджений текст, не властивий україномовним людям, і власне атака на організацію, яка займається промоцією української історії, волонтерством та чітко комунікує проукраїнську позицію.

Також звертаємо увагу на попередні матеріали «Цифролаби», нещодавні атаки, можливо хтось теж таке отримував: https://yak.dslua.org/phishing/bahatoetapnyy-fishynh-zi-shkidlyvym-faylom-abo-rosiyska-kibermatroshka/.

Щирі подяки за допомогу «Лабораторії цифрової безпеки» та проєкту «Нота Єнота», які швиденько розповіли, що робити.

Читайте також: Миколаївський підприємець запустив проєкт «Електричка до Херсона»

Тримаймося разом!

  • Підпишись на наш Telegram-канал: там — оперативні херсонські новини та інсайди
  • Наш проєкт, присвячений новинам українського Криму: Кримська бавовна
  • Наш Instagram: фото, колажі, короткі цікаві тексти
  • Наш Youtube: подкасти, цікаві відео з Херсона та про Херсон
  • Підтримати нас можна на PayPal [email protected]

Все буде Україна!

Читайте нас в Google News.Клац на Підписатися