Логотип Start X — ссылка ведёт на главную страницу
Бесплатный пилот
+7 499 677 19 07
Кейсы
О компании
Контакты
Блог
Логотип Start X — ссылка ведёт на главную страницу
Бесплатный пилот
+7 499 677 19 07
Блог
Контакты
О компании
Новости
Ссылка открывающая меню сайта
Продукты
Кейсы
AFT
AFT
Все продукты
Все продукты
EASM
EASM
CTF
CTF
EDU
EDU
REQ
REQ
AWR
AWR
Обзор новостей информационной безопасности с 18 по 24 апреля 2025 года

Дайджест Start X № 418

24 апреля 2025
5 минут
эксперт в информационной безопасности в Start X
Андрей Жаркевич
эксперт в информационной безопасности в Start X
Андрей Жаркевич

Киберкампании

Мошенники взламывают аккаунты на «Госуслугах» с помощью фейкового бота «Почты России»
Как действуют преступники
  1. Звонят потенциальной жертве через мессенджер. Обращаются по имени-отчеству, представляются сотрудниками «Почты России» и сообщают, что на имя жертвы получено письмо от Федеральной налоговой службы (ФНС). Сегодня последний день его хранения на сортировочном складе. В адресе допущена небольшая ошибка, нужно внести изменения, тогда письмо отправят в жертве в течение часа.
  2. Чтобы внести изменения, предлагают найти официального бота «Почты России» в Telegram, авторизоваться через «Госуслуги» и вручную изменить адрес.
  3. Если жертва не хочет «проходить авторизацию», мошенник усиливает давление, торопит и угрожает:
  • «Давайте сделаем сейчас, это займет всего одну минуту».
  • «Если вы не пройдете авторизацию в боте, то мы утилизируем ваше письмо».
  • «По закону вы обязаны получить это письмо сегодня, поэтому авторизуйтесь в боте сейчас, либо вам придется лично идти в почтовое отделение».

4. Когда жертва поддаётся на манипуляции мошенника и нажимает кнопку Авторизация в боте, открывается мини-приложение с формой входа. Если ввести туда свои данные, аккаунт окажется в руках злоумышленников.
Ещё одна мошенническая схема направлена на пользователей, ищущих жильё в аренду
Особенности кампании
  1. Преступники размещают фальшивые объявления в Telegram-чатах, тематических каналах, группах и сообществах в соцсетях, посвящённых аренде недвижимости.
  2. Для привлечения внимания они используют фотографии квартир из интернета и указывают заниженную стоимость аренды — на 20—40% ниже рыночной.
  3. В объявлениях указываются адреса реальных жилых комплексов с закрытой охраняемой территорией, расположенных в разных городах: от Москвы и Санкт-Петербурга до Екатеринбурга и Новосибирска.
  4. В переписке лже-собственник подтверждает, что квартира свободна, и предлагает осмотреть её на следующий день. Однако, когда пользователь приезжает в назначенное время, на улице его никто не встречает.
  5. Когда пользователь позвонит или напишет, мошенник отвечает, что уже находится на месте, и сообщает: по правилам жилого комплекса, продиктованным требованиями безопасности, для прохода на территорию необходимо пройти регистрацию. Он якобы не может просто так впустить человека во двор, иначе у него самого будут проблемы. Также он добавляет, что регистрация в системе пригодится и самому арендатору — она позволит заходить на территорию и в подъезд, используя телефон в качестве ключа.
  6. Если пользователь соглашается, ему отправляется ссылка на фишинговый ресурс и код, который требуется указать при регистрации. Дальнейшее развитие событий зависит от операционной системы устройства.
  7. Владельцы iPhone попадают на страницу авторизации, где вводят ФИО, дату рождения и присланный код.
  8. Далее им предлагают подтвердить личность одним из двух способов — через госсервис (который не работает) или через BankID. При выборе BankID появляется форма для ввода данных банковской карты и номера телефона, а затем — запроса кода из СМС.
  9. Если пользователь вводит код, мошенники получают доступ к его онлайн-банку и могут вывести средства. При этом они просят жертву сообщить ещё один код для подтверждения операции.
  10. Пользователи Android получают ссылку на поддельный магазин Google Play, где предлагается установить приложение «для регистрации в системе умного дома».
  11. На самом деле это вредоносный Android-троян, способный перехватывать данные банковских карт, читать СМС и самостоятельно отправлять сообщения.
  12. В результате мошенники получают полный контроль над банковскими операциями и крадут все средства со счёта.
Обнаружены фишинговые рассылки, в которых злоумышленники пытаются похитить учётные данные от сервисов Google и Microsoft, используя вложенные в письма файлы SVG
Особенности кампании
  1. Файл SVG, который рассылают злоумышленники, по сути, представляет собой HTML-страницу без описания графики.
  2. При открытии в браузере этот файл открывается как веб-страница со ссылкой, якобы ведущей на некий аудиофайл.
  3. Если человек нажмет кнопку «Прослушать», откроется фишинговая страница, которая имитирует аудиозапись Google Voice. На самом деле никакой звуковой дорожки нет — это просто статичное изображение.
  4. При попытке воспроизвести аудио открывается фишинговая страница, имитирующая окно для входа в почту.
  5. Эта страница тоже содержит упоминание Google Voice, а также лого атакуемой компании для усыпления бдительности пользователя.
  6. Если ввести на ней логин и пароль, их получат злоумышленники.
  7. В других фишинговых письмах вложение в формате SVG было представлено как документ, требующий проверки и подписи. В этом случае в SVG-файл встроен JS-скрипт, который при попытке открыть файл открывает в браузере фишинговый ресурс, имитирующий форму авторизации в сервисах Microsoft.

Инциденты

Из-за неправильной настройки инструмента отслеживания посетителей на сайте произошла утечка медицинских данных 4,7 млн клиентов страховой компании Blue Shield of California
В период с апреля 2021 года по январь 2024 года на определенных страницах сайта компании была неправильно настроена система Google Analytics, в результате чего данные пациентов отправлялись на рекламную платформу Google.

Blue Shield сообщила, что обнаружила проблему 11 февраля 2025 года и отключила сервис незадолго до этого. На этой неделе информация о взломе была добавлена на официальный портал Министерства здравоохранения и социальных служб США.

Скомпрометированная информация могла включать в себя:
  • Имена пациентов;
  • Даты обращения за медицинской помощью;
  • Название, тип и номер группы страхового плана;
  • Пол;
  • Размер семьи;
  • Город и почтовый индекс;
  • Идентификаторы онлайн-аккаунта Blue Shield;
  • Данные и результаты поиска «Найти врача»;
  • Финансовая ответственность пациента;

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
В результате кибератаки злоумышленники получили доступ к конфиденциальной информации, связанной с USIM клиентов южнокорейского оператора мобильной связи SK Telecom
Вредонос в своих системах SK Telecom обнаружили 19 апреля 2025 года. Сразу после этого скомпрометированное оборудование было изолировано, а вредоносное ПО удалено.

В настоящее время ведется расследование произошедшего, а точные причины и масштаб кибератаки пока неизвестны.

Данные USIM представляют собой информацию, хранящуюся в модуле Universal Subscriber Identity Module (USIM). Как правило, они включают International Mobile Subscriber Identity (IMSI), Mobile Station ISDN Number (MSISDN), ключи аутентификации, данные об использовании сети, а также SMS и контакты, если те хранились на SIM-карте. В случае утечки эти данные могут использоваться для направленной слежки, трекинга и атак на подмену SIM-карты.

Что еще почитать

Дайджест Start X № 414
Актуальные киберкампании и инциденты информационной безопасности с 21 по 27 марта 2025 года
Дайджест Start X № 413
Актуальные киберкампании и инциденты информационной безопасности с 14 по 20 марта 2025 года
Дайджест Start X № 412
Актуальные киберкампании и инциденты информационной безопасности с 7 по 13 марта 2025 года
Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.