Користувачам популярного поштового сервісу масово надходять фішингові листи

Про шахрайську активність щодо користувачів сервісу Ukr.net попереджає урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку.

Зловмисники начебто від імені технічної підтримки Ukr.net надсилають електронні листи з темою «Помічена підозріла активність @UKR.NET» та додатком у вигляді PDF-файлу із назвою «Попередження про безпеку.pdf» (електронна адреса відправника – [email protected]).

У PDF-документі користувачу погрожують блокуванням поштової скриньки та вимагають підтвердити доступ до поштового акаунту, перейшовши за посиланням. Цього робити не слід.

Насправді посилання спрямовує на шахрайський сайт, що імітує вебсторінку поштового сервісу. У разі автентифікації на підробному вебсайті логін і пароль користувача будуть надіслані зловмисникам. Отже, сторонні особи дістануть несанкціонований доступ до електронної поштової скриньки.

Фахівці CERT-UA вжили додаткових заходів з аналізу мережевої інфраструктури, що застосовується для здійснення аналогічних кібератак від 2021 року. В результаті виявили щонайменше 118 пов'язаних доменних імен, зареєстрованих компанією «Internet Domain Service BS Corp» (@internet.bs, Багамські острови).

Щоби мінімізувати загрозу громадянам України, ідентифіковані доменні імена додано до DNS RPZ зони, яка обслуговується CERT-UA. Також їх передано фахівцям CSIRT-NBU для внесення до DNS RPZ зони «шахрайство».

Фахівці CERT-UA рекомендують користувачам Ukr.net:
- не переходити за підозрілими посиланнями,
- налаштувати багатофакторну автентифікацію,
- перевірити, яким стороннім пристроям / додаткам наданий доступ до поштової скриньки, та вжити інших заходів щодо посилення безпеки.

Раніше CERT-UA виявила та дослідила кібератаку групи UAC-0057 (GhostWriter) на одну із державних організацій України з використанням емблеми Національного університету оборони України.