Увага!!! Відбуваються фішингові розсилки на працівників державних установ України з метою компрометації облікових записів електронної пошти

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA досліджує масштабну кібератаку, направлену на компрометацію облікових записів електронної пошти працівників державних установ України.

Кібератаки з використанням фішингових сторінок та листів для компрометації пошти не є чимось новим, але в цьому випадку CERT-UA спостерігає тривалу взаємозв’язану кампанію, яка продовжується з початку жовтня.

Хакери розсилають фішингові листи на електронні адреси організацій в домені gov.ua начебто від ІТ-служби підтримки Zimbra. Листи містять фейкову інформацію про необхідність оновлення свого облікового запису, його підтвердження або іншу інформацію, яка спонукає отримувача перейти за посиланням. Посилання веде на фішинговий веб-сайт, що імітує сторінку для входу на поштовий сервер Zimbra.

Приклади текстів фішингових електронних листів.

Шановні співробітники, Цей електронний лист надіслано вам ІТ-службою підтримки. Зверніть увагу, що якщо ви не погодитесь оновити свій обліковий запис, ваш обліковий запис електронної пошти буде заблоковано, і ви більше не зможете отримати доступ до свого облікового запису електронної пошти. Щоб уникнути втрати доступу до електронної пошти; ВХОДИТИ ЗАРАЗ Дякуємо за вибір веб-клієнта Zimbra. Ми цінуємо вас як нашого замовника. Спасибі голові - Адміністрації

Шановний користувач електронної пошти, Важлива інформація про службу безпеки Зімбри Ми знаходимося в процесі оновлення нашої бази даних і центру облікового запису електронної пошти Zimbra і помітили, що ваша електронна пошта не пройшла процес верифікації / оновлення, над яким ми працюємо прямо зараз. Щоб мати найкращу безпеку в Інтернеті та уникати закриття або видалення облікового запису, необхідно оновити його, щоб ми знали, що це обліковий запис, який наразі використовується. Щоб завершити підтвердження облікового запису, (*шкідливе посилання*) Дякуємо за вибір веб-пошти Zimbra Web Access для ваших потреб спілкування. Голова адміністрації, Веб-доступ служби безпеки веб-пошти Zimbra®

Після чого необережні працівники переходять на фішинговий ресурс та вводять логін і пароль до своєї робочої поштової скриньки.

Одна із фішингових сторінок, яка імітує сторінку входу на поштовий сервер Zimbra.

Фішингова сторінка, яка імітує панель для входу в сервіс електронної пошти організації в залежності від домену пошти (тут автоматично підтягується favicon з веб-сайту організації жертви)

Як наслідок, хакери отримують доступ до поштових облікових записів працівників державних установ, в тому числі до усіх вхідних та вихідних листів та до списку контактів. Після отримання доступу хакери починають розсилати подібні фішингові листи до контактів поштової скриньки. Тут варто зазначити, що зміст фішингових листів змінюється в залежності від організації жертви, іноді із зазначенням зміненого посилання на реальні легітимні сторінки для входу на поштовий сервер організації (але при переході за посиланням жертва потрапляє на фішинговий сайт), що в свою чергу говорить про спланованість та організованість кібератаки та її направлення саме на державний сектор України.

Також, отримання подібного листа з реальної поштової скриньки в домені gov.ua збільшує ймовірність переходу жертви на фішингову сторінку та введення логіну та паролю.

І так хакери діють по циклу: отримують доступи до поштових скриньок працівників державних та комерційних установ, збирають інформацію, роблять повторні фішингові розсилки на інші електронні пошти зі скомпрометованих.

Також, варто зазначити, що після компрометації відбуваються спроби з’єднань до поштових серверів організацій з ІР-адрес, які належать або зареєстровані в Російській Федерації.

Наразі фішингові розсилки продовжуються. Всі відомі CERT-UA фішингові сторінки заблоковані, але постійно з'являються нові. Якщо Ви отримували або отримаєте подібні листи просимо надсилати інформацію про них до CERT-UA на пошту cert@cert.gov.ua із вкладеним фішинговим листом (для цього потрібно зберегти фішинговий лист в .eml форматі) для подальшого дослідження кіберінциденту та виявлення потенційно скомпрометованих організацій.

Рекомендації:

1. Якщо ви переходили за подібними посиланнями, потрібно негайно змінити пароль вашої електронної пошти та повідомити про зазначений факт представника відділу інформаційної безпеки (або відповідальній особі) вашої організації.

2. Важливо розуміти, що якщо хакери отримали доступ до електронної поштової скриньки, то вони мають доступ до всієї переписки працівника. Виходячи з цього потрібно робити висновки про майбутні ризики для організації. Переписка та вкладені в ній файли можуть в подальшому бути опубліковані у вільному доступі в мережі Інтернет.

3. Дотримуватись основних правил кібергігієни:  

(https://cert.gov.ua/recommendation/30).

4. Будьте уважним до проявів Інтернет-шахрайства. Найпоширенішим засобом уведення в оману в мережі Інтернет є фішинг. Особливу увагу варто звертати на доменне ім'я веб-ресурсу, що запитує автентифікаційні дані, перш ніж натиснути на посилання: зловмисники можуть замаскувати доменне ім'я, щоб воно виглядало знайомим (facelook.com, gooogle.com тощо) . В іншому разі є велика ймовірність перейти на фішингову сторінку, ззовні ідентичну справжній, та самостійно «віддати» власні автентифікаційні дані.

5. Будьте особливо обережними з відкриттям вкладень до електронної пошти від невідомих осіб. Сьогодні найактуальнішим засобом розсилання шкідливого програмного забезпечення є електронна пошта. Під час роботи з поштою потрібно перевіряти розширення вкладених файлів та не відкривати файли навіть з безпечними розширеннями. Звертайте увагу на ім'я електронної пошти: навіть якщо воно здається легітимним, усе одно потрібно перевірити (у телефонному режимі або в будь-який інший спосіб), чи дійсно ця особа відправляла вам повідомлення з вкладенням.