Осторожно: фишинговые рассылки от ФСБ

Авторы совместного расследования по информационной безопасности - Access Now, Citizen Lab и «Первого отдела» пришли к выводу, что сотрудники ЦИБ ФСБ уже несколько лет рассылают фишинговые письма сотрудникам НКО, правозащитных организаций и независимых СМИ из России, Беларуси и Восточной Европы.

Письма могли быть отправлены или со взломанных почтовых ящиков или с адресов, очень похожих на настоящие. Рассылки были персонализированными и учитывали особенности биографии потенциальных жертв, их контакты и карьеры.

Письма содержали правдоподобные рабочие тексты и имели самое главное для злоумышленников - вложение в виде «заблокированного» PDF-файла. Ссылка на «разблокировку» вела на поддельные страницы, имитирующие Proton Drive и Google Drive, через которые можно было получить логин и пароль к настоящей почте или гугл-диску адресата. Такие атаки начались в 2022 году.

Что делать, если вы получили подозрительное письмо:

1. Поищите адрес отправителя в истории своей почты. Если он не совпадает хотя бы в одном символе, вас пытаются ввести в заблуждение.

2. Свяжитесь с отправителем другим способом. Взломать почту вполне возможно — получите подтверждение у человека, что он действительно отправлял вам это письмо.

3. Откройте документ в веб-почте. Так злоумышленник не сможет запустить код на вашем компьютере. Все ссылки можно скопировать в браузерную строку — так вы увидите настоящий адрес ссылки и сможете сравнить с настоящим.

4. Не переходите по ссылкам в «зашифрованных» или «защищенных» PDF. Настоящий файл не будет размыт, содержать кнопок перехода и прочих вещей, которые пытаются выманить ваш клик. Отправьте файл на сканирование в VirusTotal или Hybrid Analysis.

Подобный разбор фишинговой рассылки ФСБ - в этом видео.

Много информации по цифровой безопасности можно найти в постах «Первого отдела».

Иллюстрация: Access Now