Group-IB совместно с ФНС в конце июля обнаружили адресную фишинговую атаку на организации и госучреждения, рассказали в компании "Известиям".
Всем атакуемым приходило одинаковое письмо, в адресе отправителя была указана почта info@nalog.ru, которая полностью имитировала легитимный домен ФНС. На самом деле письма рассылались с публичных почтовых сервисов, а технические заголовки были подделаны, отметили в компании. Автор письма просил явиться в "Главное управление ФНС России" для "дачи показаний по движению денежных средств", а также распечатать и заполнить документы, находящиеся во вложении к письму. В случае невыполнения отправитель обещал применить санкции, предусмотренные УК РФ.
— ФНС фиксирует фишинговую почтовую рассылку, где под видом сотрудника службы злоумышленники просят получателя письма заполнить документы во вложении, распечатать их и представить в Главное управление ФНС России, при этом такого подразделения в ФНС не существует и не существовало. Если пользователь скачивал приложения, то отправители могли получить несанкционированный удаленный доступ к данным и ресурсам его компьютера, — рассказали в налоговой службе.
Рассылка началась в конце июля и продолжается до сих пор. Письма отправляются сотрудникам нефтяных и горнодобывающих компаний, аэропортов, операторов связи и других организаций.
В налоговой также добавили, что официальная рассылка ФНС направляется только тем, кто указал и подтвердил адрес своей электронной почты в личном кабинете налогоплательщика. Также служба не рассылает сообщения о наличии задолженности и предложения оплатить долг онлайн. Вся необходимая информация о непогашенных налогах размещена в личном кабинете налогоплательщика.
— Работу по предотвращению дальнейших фишинговых рассылок и их последствий ФНС осуществляет совместно с правоохранительными органами, — сказали в налоговой службе.
Эта фишинговая атака отличается особой продуманностью деталей, пояснил заместитель руководителя центра реагирования на инциденты информационной безопасности компании Group-IB Ярослав Каргалев. При открытии приложения к письму на компьютер жертвы загружается легитимная программа для удаленного управления компьютером. Именно поэтому для большинства антивирусных средств подобное письмо не выглядит вредоносным.
Объем фишинга в России растет двузначными темпами. Только во II квартале количество поддельных ресурсов, копирующих настоящие сайты организаций, выросло на 71%, рассказали в Group IB.