Комплаенс / Новости 01 октября

Фишинговые письма от имени ФНС поступают с трёх подставных адресов — НКЦКИ

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) рекомендует обновить антивирусные средства, проверять с их помощью входящую почту в связи с рассылкой фишинговых писем от якобы ФНС с трёх подставных адресов.

"Злоумышленники подменяют адрес отправителя электронных писем на электронный адрес Федеральной налоговой службы российской Федерации (nalog.ru). В настоящее время известны следующие подставные источники рассылки: mns@nalog.ru, info2@nalog.ru, info@nalog.ru", — говорится в сообщении центра, с которым ознакомился "Интерфакс".

Электронное письмо содержит вложение в виде RAR-архива с наименованием "Запрос документов ФНС России.rar", архив содержит в себе ещё один RAR-архив, разделённый на две части, и TXT-файл. "При распаковке указанных архивов запрашивается пароль, содержащийся в текстовом документе. После распаковки архивов пользователь получает исполняемый файл, замаскированный под PDF-документ с наименованием "Электронный запрос документов ФНС России.pdf.exe".

При запуске исполняемого файла происходит запуск RMS-сервера. Это легитимное средство удалённого администрирования, посредством которого злоумышленники получают возможность удалённого доступа к заражённому устройству, сообщает НКЦКИ.

Координационный центр рекомендует обновлять используемые антивирусные средства, а при получении электронных писем с приложенными файлами производить их проверку антивирусными средствами или средствами динамического анализа.

Компаниям рекомендуется провести мероприятия, нацеленные на повышение бдительности и осведомлённости сотрудников в части противодействия фишинговым атакам и иным методам социальной инженерии, а в случае выявления признаков компрометации ИТС компании сообщить об этом в НКЦКИ.

Ранее ФНС сообщила, что неизвестные от имени службы рассылают на адреса корпоративной почты подозрительные электронные письма о необходимости предоставить документы, текст которых составлен так, чтобы получатель открыл вложенный файл.

Налоговики не рассылают подобных сообщений и не имеют к ним отношения.

Уведомления ФНС о начисленных налогах налогоплательщики получают или в личных кабинетах, или по почте. Дополнительно на электронные адреса налогоплательщиков налоговые органы ничего не отправляют.

Получатели подобных писем могут не иметь настроек спам-фильтров, "черных списков", а также проверки отправителя с использованием DMARC (Domain-based Message Authentication, Reporting and Conformance - идентификация сообщений, создание отчетов и определение соответствия по доменному имени) и иных технических средств для защиты от фишинговых рассылок.