Иван
Черноусов
19.04.2022

Хакеры начали массово рассылать письма от имени популярных вузов. Количество таких атак выросло в 200 раз с начала года, рассказали "Известиям" в "Лаборатории Касперского".

Адресатам сообщений предлагают скачать файл, содержащий "выгодное" предложение, уточнили аналитики компании. Как только получатель открывает такое письмо, компьютер заражается вирусом. По словам экспертов, подобная активность мошенников может быть связана с тем, что злоумышленники нашли соответствующую базу контактов и начали ее использовать. Однако сам метод атаки уже встречался ранее — в 2020 году кибермошенники использовали подобные приемы, отметили в Group-IB.

Присвоить знание

С начала этого года сотрудники российских компаний стали в 200 раз чаще получать письма якобы от известных вузов, сообщили "Известиям" в "Лаборатории Касперского". Там уточнили: в январе специалисты фиксировали всего несколько десятков подобных сообщений в день. А 13 апреля было обнаружено около 2 тыс. таких писем. Эта дата стала пиком активности злоумышленников, использующих новую схему.

Как рассказали в компании, в сообщении хакер может представиться сотрудником или подрядчиком университета и сообщить, что выслал некое "предложение", "приложил бюджет" или просит посмотреть заказ или прайс-лист, находящийся во вложении. Когда пользователь открывает этот документ, запускается вирус. С его помощью злоумышленник может загружать в систему любые файлы, выгружать из нее конфиденциальные данные, в том числе пароли и документы, и запускать какие-либо команды для дальнейшего заражения.

Вредоносные письма были написаны в том числе от имени МГУ им. М. В. Ломоносова, Бухарестского университета Румынии, Рейнско-Вестфальского технического университета города Ахена, Университета Аристотеля в Салониках, Анкарского университета, Автономного Университета Нуэво-Леон, Католического университета Боливии. "Известия" направили запросы в перечисленные вузы и Минобрнауки.

Для убедительности злоумышленники используют логотипы университетов и ссылаются на какого-либо известного сотрудника вуза. Однако при внимательном прочтении обнаруживается несколько нюансов, рассказал руководитель группы защиты от почтовых угроз в "Лаборатории Касперского" Андрей Ковтун.

— Во-первых, адрес, с которого пришло сообщение, часто не имеет отношения к университету. Во-вторых, несвязность текста наводит на мысль, что это автоматический перевод с другого языка — то, чего, скорее всего, не допустит представитель вуза, — пояснил эксперт.

Более того, в рассылке часто используется классический прием спамеров — исполняемый файл с двойным расширением вроде pdf.exe, предупредил Андрей Ковтун.

Фишинг-тренды

Подражание деловой переписке в рассылках с вредоносным ПО стало чуть ли не трендом последних лет среди злоумышленников. Обращение к обезличенным "партнерам" или "поставщикам" призвано вызвать больше доверия у потенциальной жертвы, пояснил Андрей Ковтун. На тот же эффект, видимо, рассчитано и упоминание известных университетов.

— Учитывая разнообразие вузов и контактных данных в рассылках, можно предположить, что спамерам попалась соответствующая база данных. Что неожиданно сыграло им на руку, так как обращение к авторитету вуза способно придать достоверности даже вредоносным письмам, — сказал эксперт.

Аналогичного мнения придерживается менеджер продукта компании R-Vision Даниил Бородавкин. По его словам, почтовый фишинг, как правило, опирается на уязвимости прикладного ПО и социальную инженерию.

— Отсюда и такая популярность мошеннических рассылок у злоумышленников от имени доверенных источников — госорганов, вузов, популярных интернет-сервисов, — отметил эксперт.

Забытое старое

В ноябре 2020 года хакеры уже пользовались схемой, похожей на описанную, отметили в пресс-службе компании Group-IB. Тогда злоумышленники рассылали письма якобы от имени ректора МГУ Виктора Садовничего и просили получателей ознакомиться с прикрепленным документом — описанием бюджета на 2020 год — и оперативно выслать свое коммерческое предложение.

При этом сами письма были написаны довольно безграмотно, со стилистическими ошибками, порядок слов и предложений указывал на машинный перевод, отметили в компании. Там добавили, что ученая степень ректора была указана неверно: Садовничий — не доктор философии, а доктор физико-математических наук. В теле письма содержались ссылки, большая часть из которых вела не на сайты структур МГУ, а на ресурсы Белградского университета. Судя по всему, злоумышленники поленились отредактировать или проверить сообщение перед рассылкой, что может говорить о подобных атаках от имени других университетов, добавили специалисты.

В фейковых письмах злоумышленники указывали в качестве отправителей адреса admin@msu.ru или admin@rector.msu.ru, но в действительности рассылка уходила с скомпрометированного сервера португальского отеля в городе Авейру. При этом схема заражения была такая же.

Правила кибергигиены

Специалисты по информационной безопасности рекомендуют внимательно читать любые письма — даже с известных адресов. Следует задать себе вопросы, должен ли вам писать этот человек, относится ли тема к вашим компетенциям, есть ли в письмах подозрительные, нетипичные вложения, верна ли подпись. Кроме того, стоит перепроверить информацию о предлагаемых услугах и сервисах, предупредил руководитель группы исследования угроз Positive Technologies Денис Кувшинов.

— В качестве рекомендаций здесь сработают стандартные правила кибергигиены: не переходите по подозрительным ссылкам, которые вам присылают в мессенджеры, на электронную почту, не открывайте вложения, а также учитывайте факт социальной инженерии, — отметил эксперт.

Даниил Бородавкин добавил, что также важно своевременно обновлять прикладные программы и запретить прием электронных писем с вредоносными файлами. Также эксперт посоветовал пользоваться почтовыми фильтрами, песочницами (среда, где запускается потенциально небезопасное содержимое и автоматически исследуется его воздействие на систему) и антивирусами.

Новости из связанных рубрик