Group-IB обнаружила атаки на благотворительные фонды
С начала августа как минимум три крупные благотворительные организации подверглись атакам с использованием поддельных писем, и подобные компании готовятся еще против семи благотворительных организаций, обнаружили эксперты Group-IB.
Мошенники отправляют письма от лица руководителей благотворительных фондов сотрудникам, например, финансового отдела с просьбой срочно оплатить лечение кого-то из подопечных организации и перевести деньги на указанные реквизиты. С такой атакой столкнулись сотрудники Фонда Хабенского, но так как он никогда не переводит деньги на личные банковские счета, получатели насторожились и переслали письмо в Group-IB. В компании выяснили, что злоумышленники отправили письмо с сервера хостинг-провайдера Timeweb, подделав технический заголовок под нужный адрес. При этом в поле «обратный адрес» вместо официального домена фонда Хабенского «bfkh[.]ru» использовался фальшивый домен с другой последовательностью букв — «bfhk[.]ru».
С аналогичной попыткой вывести средства столкнулись и сотрудники фонда «Кислород». Перед атаками руководители фондов, от лица которых потом рассылались фейковые письма, получали email-сообщения от одного и того же отправителя с абстрактными вопросами. Это было сделано, чтобы создать полностью идентичные профили для будущей рассылки — скопировать фотографию и данные о корпоративной подписи, поясняют в Group-IB.
Эксперты компании также обнаружили, что в период с 5 по 6 августа злоумышленники зарегистрировали еще семь доменов, копирующих имена известных благотворительных организаций, в том числе фондов «Алеша», «Подари жизнь» и «Старость в радость». На утро 19 августа попытка мошенничества была зафиксирована только в отношении фонда «Старость в радость», остальные шесть доменов находятся на мониторинге у специалистов CERT-GIB.