«Лаборатория Касперского» в апреле выявила серию кибератак на системных администраторов сайтов в России. К 23 апреля компания обнаружила около 4 тыс. писем с мошеннической рассылкой, отправленных более чем по 2 тыс. электронных адресов. Пик рассылки пришелся на 16–17 апреля, однако сообщения продолжают приходить до сих пор.Цель кибератаки — заразить управляемые сисадминами веб-ресурсы и получить доступ к управлению сайтом. В случае успеха хакеры смогут создавать страницы, размещать любую информацию, загружать файлы, подчеркнули в «Лаборатории Касперского».
Под видом регулирующего органа злоумышленники рассылают мошеннические уведомления о необходимости подтвердить факт управления доменным именем.
В письме дается инструкция, согласно которой нужно создать в корневой директории сайта файл с определенным содержимым. В реальности сисадмин своими руками запускает троянскую программу для удаленного управления компьютером жертвы.
«Для подтверждения того, что Вы имеете фактическую возможность управлять доменным именем, создайте в корневой директории сайта файл (с расширением .php. — Ред)», — говорится в тексте письма мошенников.
Чтобы не дать получателю время заподозрить неладное, от него требуют выполнить инструкцию в сжатые сроки — в течение трех дней, отметил руководитель лаборатории антивирусных исследований «Лаборатории Касперского» Александр Лискин.
«Администраторы сайтов часто подвергаются атакам, например, у них вымогают деньги путем рассылки фейковых уведомлений о близящемся сроке завершения аренды сайта. Но на этот раз цель атаки — получение доступа к управлению сайтами. Злоумышленники прилагают все усилия, чтобы убедить получателей в подлинности письма: отправителем значится регулирующий орган, для усиления эффекта добавлена соответствующая эмблема», — сказал Лискин.
Эксперт рекомендовал сохранять бдительность при получении сообщений от незнакомых отправителей в электронной почте и мессенджерах и перепроверять информацию якобы от официальных органов. Кто стоит за нападением — до сих пор неизвестно, специалисты компании расследуют кибератаку.Ранее, в апреле, компания DeviceLock сообщила «Известиям», что россиянам может угрожать крупная атака на счета с помощью перехвата СМС с кодами авторизации.
В начале марта в даркнете появилось предложение о продаже доступа к коммутатору одного из операторов мобильной связи, который позволяет получить контроль над системой сигнализации SS7. С его помощью можно перехватить звонки и СМС всех провайдеров связи, с которыми у уязвимого оператора есть договор о роуминге. В их число входят и российские провайдеры.