Сотрудники крупных российских компаний получили мошенническую рассылку о задержке посылок от имени «Почты России» с подменного домена Mail.ru Group. Чтобы ускорить доставку посылок, жертвам предлагалось заплатить небольшие суммы, раскрыв данные своих банковских карт. Подмена электронного адреса становится распространенным явлением, с которым не всегда справляются антиспам-фильтры компаний.
Фото: Александр Казаков, Коммерсантъ / купить фото
Фото: Александр Казаков, Коммерсантъ / купить фото
Сотрудники нескольких крупных российских компаний, в том числе в сферах IT, транспорта и медиа, в середине января получили фейковую рассылку от имени «Почты России», рассказали “Ъ” в IT-компании «Крок». Там отказались указать конкретные компании.
“Ъ” ознакомился с подобными письмами. Их получателям предлагалось перейти по ссылке, чтобы уплатить таможенную пошлину, сервисный сбор или транспортные расходы для получения якобы задерживающейся посылки. Мошенники предлагали ввести в специальной форме адрес, телефон и данные банковской карты. Сумма могла составлять, например, 90 руб.
«Почте России» известно о проблеме, сообщил ее представитель: «По нашим наблюдениям, в фишинговой атаке не использовались реальные пользовательские данные об отправлениях».
«Почта России» действительно пользуется электронной почтой для взаимодействия с клиентом, но пишет исключительно с адресов @pochta.ru или @russianpost.ru, подчеркнул представитель компании. По его словам, «Почта России» уже установила источник рассылки и сообщила о нем в «компетентные органы» и «Лабораторию Касперского».
В мошеннических письмах использовалась подмена отправителя: в поле «от кого» у получателей отображался принадлежащий Mail.ru Group домен corp.mail.ru, а не тот, с которого фактически происходила рассылка, уточнил руководитель направления информационной безопасности «Крок» Андрей Заикин. Такая практика, по словам руководителя блока специальных сервисов Infosecurity a Softline Company Сергея Трухачева, встречается часто, особенно в случае рассылок вредоносных программ. Для этого есть множество сайтов, которые бесплатно или за деньги позволяют подменить адрес отправителя на любой желаемый.
Mail.ru Group использует специальный протокол для защиты от подмены адресов, рассказали “Ъ” в компании. Но если сервер получателя не поддерживает современные почтовые протоколы, то в поле «отправитель» можно указать почти что угодно, что, скорее всего, и произошло, признают в компании.
Примечательно, что фейковая рассылка от «Почты России» прошла через антиспам-фильтры компаний, отмечает господин Заикин.
Фейковые письма могут пройти такие фильтры при определенных настройках, поясняет Сергей Трухачев. Чтобы распознать фишинг, он рекомендует всегда сверять адрес сайта, на который ведет ссылка из письма, с адресом официальной страницы компании.
В последние месяцы наблюдается всплеск фишинговых писем от имени различных компаний из сферы логистики на разных языках, в том числе и на русском, рассказали “Ъ” в «Лаборатории Касперского». Во всех письмах злоумышленники просят доплатить небольшую сумму денег, ссылаясь на непредвиденные расходы, при этом на фальшивой страничке просят ввести данные банковской карты, уточнила старший контент-аналитик компании Татьяна Щербакова.
В условиях пандемии и роста онлайн-шопинга, по ее мнению, службы доставки стали особенно привлекательны для мошенников. В данном случае мошенническая рассылка от лица «Почты России» могла быть связана с предновогодним ростом числа отправлений, полагает собеседник “Ъ” в одной из пострадавших компаний. Там говорят, что сервис выявления цифровых угроз Softline еще в 2020 году фиксировал сотни фишинговых сайтов, имитирующих ресурс «Почты России».