«Вам пише Звенигор»: у De Novo розібрали нову хвилю фішингу
Український хмарний оператор De Novo опублікував розбір фішингових листів, які останніми місяцями масово надходять компаніям. Йдеться не лише про звичні повідомлення про «прострочений SSL» чи «оновлення пароля», а й про значно агресивніші сценарії — із погрозами терактами, фальшивими запитами від СБУ і спробами викрасти корпоративні облікові дані.
Фішинг через страх: «У вас мало часу! Рятуйтеся!»
Один із найтривожніших сценаріїв, який описують у De Novo, — листи від нібито українських військових або ветеранів. У них зловмисники пишуть про «заміновані будівлі», «підриви о 15:50» і додають фото саморобних вибухових пристроїв. Такі повідомлення мають створити паніку і змусити співробітників діяти емоційно, а не раціонально.
У компанії звернули увагу і на дивний «креатив» відправників: серед псевдонімів фігурують Гремислав, Звенімір, Людіслав, Звенігор, Немір, Євстафій, Доброслав та Богуслав. Попри нібито «патріотичну» риторику, такі листи часто приходять із закордонних, інколи японських, доменів, що одразу видає їхню фальшиву природу.
Зловмисники можуть навіть вказувати конкретні адреси, від посольств іноземних держав до шкіл і телеканалів. Проте ці адреси можуть не збігатися з реальним розташуванням об’єктів, а іноді написані російською. Хоча за останній рік ШІ-чатботи зловмисників навчилися писати набагато більш якісні тексти, в географії українських міст вони все одно розбираються погано.
Фальшиві листи від СБУ і вкладення з malware
Підписуйтеся на наші соцмережі
Ще один популярний сценарій — листи нібито від держорганів. У De Novo зафіксували повідомлення від фальшивого «Центрального управління СБУ» з вимогою надати документи «до 05.11.2024», інакше «організація буде зупинена».
Найнебезпечніше в таких листах — архіви на кшталт «Запит СБУ.rar». Усередині, як правило, міститься шкідливий код. Такі атаки орієнтовані насамперед на юристів, бухгалтерів і менеджмент — тобто на тих, хто звик працювати з офіційною кореспонденцією.
«Ваш сертифікат закінчився»: як зловмисники атакують технічні команди
Окремий напрям — імітація сервісних сповіщень. Компанія отримувала листи про нібито завершення дії SSL-сертифіката або хостингових послуг. Такі повідомлення часто містять логотипи, таблиці, попередження і кнопку «Поновити зараз», яка веде на фальшиві сторінки для крадіжки логінів і паролів.
De Novo окремо виділяє листи, які маскуються під внутрішні системні сповіщення від IT-департаменту, на кшталт «Your password expires on 11/27/2025» або «You have 6 messages pending to your mailbox». Англійська мова листів додати довіри до фішингу.
На додаток фішери активно спонукають користувача відкрити файл чи натиснути на посилання, “шантажуючи” дефіцитом часу: «Pending emails will be deleted automatically from the system within a period of 12 hours».
Як у De Novo радять захищатися
Провайдер нагадує кілька аксіом кібербезпеки:
- Не переходьте за сумнівними посиланнями з повідомлень, месенджерів чи електронної пошти
- Не вводьте особисті або банківські дані на сторонніх сайтах;
- Видаляйте підозрілі повідомлення
- Завжди перевіряйте інформацію тільки на офіційних ресурсах: сайті, застосунку. Можна навіть зателефонувати за номером телефону, зазначений на офіційному сайті.
- Також не відкривайте вкладення, що містяться в листах від невідомих підозрілих адресантів.
У De Novo підкреслюють, що базова перевірка листа має стати звичкою: звіряти ім’я відправника з реальною адресою, аналізувати лінки перед кліком і ставитися до будь-якого неочікуваного вкладення як до потенційно шкідливого. Просте правило тут одне: «наведи курсор, але не натискай».
Головний висновок компанії — фішинг дедалі частіше б’є не по технічних вразливостях, а по людській увазі, страху і поспіху.