НКЦКИ и Angara SOC остановили новую фишинговую кампанию

В ходе мониторинга российского сегмента сети «Интернет» эксперты отдела защиты бренда Angara SOC выявили новую кампанию, направленную на детей и подростков. 

В рамках установленного взаимодействия Angara SOC, корпоративный центр ГосСОПКА класса «А», передал материалы о вредоносных ресурсах в Национальный координационный центр по компьютерным инцидентам. Доступ к сайтам в доменных зонах .me и .net был оперативно заблокирован специалистами государственных структур.

Злоумышленники от имени работников образовательных организаций звонили учащимся и требовали пройти тестирование перед экзаменами с обязательным подтверждением личности. На псевдопортале пользователям предлагалось при регистрации указать ФИО, номер телефона, почту и на выбор СНИЛС, ИНН или паспорт. На следующем шаге запрашивался код Госуслуг. 

В заблуждение могла ввести фраза: «Укажите код для смены пароля в системе с помощью портала ГосУслуги». На данном этапе злоумышленники постарались создать иллюзию, что портал легитимный. Для убедительности в оформлении ресурсов злоумышленники использовали логотипы «Госуслуг», российский флаг, а также указывали число учреждений и учащихся, якобы участвующих в тестировании.

Специалисты Angara SOC выявили несколько фишинговых сайтов, скрывающихся под громкими именами «Единая система оценки и контроля», «Многопрофильная система оценки и контроля», «Государственная система проверки и учета достижений учащихся», а также определили по какому шаблону создаются эти фишинговые ресурсы. 

«Мошенническая схема изначально была ориентирована на родителей студентов и школьников. Она стала популярна в российском интернет-пространстве с конца декабря прошлого года. Мошенники звонили жертвам от имени представителей деканатов или администраций школ и предлагали зарегистрироваться на якобы ресурсах учебных заведений для ознакомления с итоговой аттестацией детей. Позже фокус внимания сместился на самих учащихся, у которых под тем или иным предлогом пытались получить персональные данные и код доступа к региональным или государственным сервисам, финансовой информации, —  отметила Виктория Варламова, руководитель Отдела защиты бренда Angara SOC. — Новая фишинговая компания стартовала на днях, обнаруженные нами ресурсы были зарегистрированы в период с 6 по 9 марта и тут же включены в преступную схему мошенников. При заполнении регистрационной формы мошенники получали персональные данные несовершеннолетних и могли распоряжаться ими по собственному усмотрению. Своевременное выявление и блокировка ресурсов в результате совместной работы Angara SOC и Национального координационного центра по компьютерным инцидентам позволила сохранить персональные данные и финансы российских пользователей».

Эксперты рекомендуют с осторожностью относиться к звонкам и сообщениям с неизвестных номеров, не переходить по ссылкам из личных сообщений от таких контактов, самостоятельно перезванивать в учебные заведения, от имени которых звонят мошенники. 

«Если пользователь все же перешел по ссылке, его должны насторожить упоминания «уникальности» сервиса, интеграция с Госуслугами и ресурсами сотен учебных заведений, нехарактерное написание слов «ГосУслуги» или «Учебный Центр». Это убедительный повод закрыть ресурс и не отправлять никаких данных», — подчеркивают специалисты отдела защиты бренда Angara SOC.