Урядова команда реагування на компʼютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, попереджає про шахрайську активність щодо користувачів сервісу UKR NET.
Хакери начебто від імені технічної підтримки UKR NET надсилають електронні листи з темою «Помічена підозріла активність @UKR.NET» та додатком у вигляді PDF-файлу з назвою «Попередження про безпеку.pdf». Електронна адреса відправника – account[.]support[.]0@ukr[.]net.
- російські кампанії проти України: фішинг у Telegram, підробні сайти Meta та Ukr net, фальшиве оновлення Windows та фейк ChatGPT
- Піратські програми на торентах створюють загрозу для пристроїв українців
- Фішинг, експлуатація технічних вразливостей та ШПЗ: основні методи атак російських хакерів
У PDF-документі користувачу погрожують блокуванням поштової скриньки та вимагають підтвердити доступ до поштового акаунту, перейшовши за посиланням. Насправді посилання спрямовує на шахрайський сайт, що імітує вебсторінку поштового сервісу. У разі автентифікації на підробному вебсайті логін та пароль користувача будуть надіслані зловмисникам. Отже, сторонні особи дістануть несанкціонований доступ до електронної поштової скриньки.
Фахівці CERT-UA вжили додаткових заходів з аналізу мережевої інфраструктури, що застосовується для здійснення аналогічних кібератак від 2021 року. В результаті виявили щонайменше 118 повʼязаних доменних імен, зареєстрованих компанією «Internet Domain Service BS Corp» (@internet.bs, Багамські острови).
Щоб мінімізувати вірогідність реалізації загроз щодо громадян України, ідентифіковані доменні імена додано до DNS RPZ зони, яка обслуговується CERT-UA. Також їх передано фахівцям CSIRT-NBU для внесення до DNS RPZ зони «шахрайство».
Активність відстежується за ідентифікатором UAC-0036 (угрупування також відоме під назвами COLDRIVER, CALLISTO) та здійснюється в інтересах спецслужб російської федерації.
Фахівці CERT-UA рекомендують користувачам UKR NET:
- не переходити за підозрілими посиланнями,
- налаштувати багатофакторну автентифікацію,
- перевірити, яким стороннім пристроям / додаткам наданий доступ до поштової скриньки, та вжити інших заходів щодо посилення безпеки.
Детальніше – на сайті Урядової команди реагування на компʼютерні надзвичайні події України.
Нагадаємо, раніше CERT-UA виявила та дослідила кібератаку групи UAC-0057 (GhostWriter) на одну із державних організацій України з використанням емблеми Національного університету оборони України. Також Держспецзв’язку повідомляла про тривале кібершпигунство щодо державних організацій та редакторів українських медіа.