Фишинг бросил налоговую уловку

Мошенники освоили новый тренд — вредоносные вложения в формате архивов, которые содержат фишинговые ссылки. Количество подобных писем за полтора месяца уже превысило 880 тыс, а темы таких отправлений, как правило, приурочены к завершению периода налоговой отчетности, который традиционно является одним из пиковых периодов для фишинга. В целом за прошлый год общая доля таких сообщений со ссылками в почтовом трафике увеличилась на 25%, а среди наиболее популярных методов обмана специалисты по кибербезопасности называют «розыгрыш призов».

Выйти из полноэкранного режима

Развернуть на весь экран

“Ъ” ознакомился с данными почтового сервиса «Почта Mail» (входит в VK) о выявленных и заблокированных фишинговых сообщениях за февраль — первую половину марта. Там выявили новый мошеннический тренд — рассылки вредоносных вложений в формате архивов, которые содержат различные вирусы и фишинговые ссылки.

Количество таких выявленных писем за последний месяц уже превысило 880 тыс., оценили в «Почте Mail».

«Почта Mail» ежедневно обрабатывает от 400 млн до 600 млн писем, из которых более 22 млн — с вложениями, говорят в компании. В тройку самых популярных форматов мошеннических файлов, по словам экспертов, входят «.7z», «.rar» и «.zip». Однако в последний месяц участились случаи обнаружения вредоносного кода в файле в формате «.cab» (cabinet). Обычно этот формат используется для системного архивирования, но в последнее время он иногда встречается для передачи электронной цифровой подписи.

Таким образом, мошенники отправляют вредоносные вложения под видом финансовых документов, используя напряженность в компаниях перед закрытием отчетного налогового периода. Так, по словам специалистов «Почты Mail», файлы в этих вложениях носят названия «Документы на подпись», «Извещение», «Счет».

Налоговый сезон — это один из пиковых периодов для фишинга, подтверждает пентестер «РАД КОП» Александр Анашин. «Под прицелом оказываются также праздничные распродажи, конец квартала или года, сезон отпусков — любое событие, которое может вызвать у людей эмоции или заставить их действовать быстро, не задумываясь о последствиях»,— говорит он. «Если на популярном маркетплейсе проходит "черная пятница", то злоумышленникам не составит труда создать поддельный похожий домен и настроить практически неотличимую невооруженным глазом рассылку с вредоносной ссылкой или вложением»,— соглашается ведущий аналитик отдела мониторинга ИБ «Телеком биржи» Алексей Козлов.

В 2024 году общая доля сообщений с фишинговыми ссылками в почтовом трафике увеличилась на 25%, подсчитали специалисты ИБ-вендора Bi.Zone. В среднем вредоносные файлы встречались в одном письме из ста.

Также за прошлый год в Bi.Zone зафиксировали рост числа фишинговых писем, основанных на предложениях поучаствовать в розыгрыше призов. Если в первой половине 2024 года на корпоративную почту российских компаний поступали единицы таких писем, то с октября специалисты зафиксировали в среднем порядка 56 тыс. писем в месяц. В марте за первые две недели месяца в компании пришло уже 35 тыс. таких писем, говорят в Bi.Zone.

Одна из популярнейших схем в таком случае подразумевает попытку убедить жертву поучаствовать в беспроигрышной лотерее.Если жертва согласится, она выиграет. Однако в дальнейшем окажется, что для получения приза необходимо оплатить комиссию в размере более 1 тыс. руб. В итоге жертва теряет деньги, а мошенники могут получить доступ к платежной информации.

«Данные карт могут быть использованы для дальнейших махинаций или проданы на черном рынке. Такие сценарии успешны в том числе за счет массовости и дешевизны подобных рассылок»,— объясняет руководитель Bi.Zone Brand Protection Дмитрий Кирюшкин. Если представить, что хотя бы 1% получателей откликнулся на схему, то злоумышленники за прошедшие полгода могли бы обогатиться на 3,5 млн руб. только за счет «комиссии», не считая сумм, которые могут украсть с карт пользователей, подсчитал он.

Филипп Крупанин