Якщо ви отримаєте повідомлення на свою поштову скриньку про перевірку свого облікового запису, то будьте уважні! Це може бути зловмисна діяльність для збору інформації. Такі повідомлення можуть надсилатися з невідомих адрес, наприклад з іншої країни, з прикріпленим файлом чи з посиланням у тілі листа.
Основна дія зловмисників полягає у тому, щоб отримувач такого листа відкрив прикріплений файл або перейшов за посиланням, де вказав би реквізити свого облікового запису, а саме логін та пароль.
Ось приклад такого листа, якому нібито потрібно підтвердити свою електронну пошту:
Лист має прикріплений файл, у якому ніби то міститься перелік поштових скриньок, а насправді файл містить закодований скрипт:
При активуванні такого скрипта відбувається перенаправлення на ресурс зловмисників.
Індикатори компрометації
md5 1b550226cbad751894a7c4d38edc0b9b ./перевірити діяльність.html – прикріплений файл до листа;
md5 2c9fa5a731cba222da5f31594315aa61 ./decpded_page.html – декодований скрипт.
Домен
hххps://cautionphenomenon[.]co[.]kr/ukraine
Рекомендації
https://cert.gov.ua/recommendations/21 стаття викладена на CERT-UA.
Не забувайте оновлювати браузер, поштовий клієнт та операційну систему, якою користуєтеся. Не виконуйте дій, до яких вас спонукає зловмисник.