Вчера вечером подразделению рассмотрения киберинцидентов Департамента государственной инфосистемы (CERT-EE) сообщили, что людям рассылаются поддельные письма, копирующие официальную информацию Департамента здоровья, в которых содержится ссылка на вредоносную программу.
В почтовые ящики людей поступили электронные письма с содержащим ошибки заголовком „Tervis hoiuministeeriumi poolt heaks kiidetud teade COVID-19 viiruse levikus“ (Одобренное Министерством здравоохранения сообщение о распространении вируса COVID-19). Не открывайте содержащиеся в письме ссылки и удалите письмо.
В конце письма есть ссылка на файл „Eeskiri.7z“, которую нельзя нажимать. При нажатии на ссылку в компьютер загружается файл, содержащий вредоносное ПО, то есть компьютер заражается. «Если пользователь компьютера все-таки нажал на ссылку, скачал расположенный по ссылке файл и открыл его, то очень велика вероятность, что его компьютер будет заражен вредоносным ПО, которое пока еще не обнаруживается антивирусами», – сказал руководитель Cert-EE Тыну Таммер. По его словам, при нажатии на ссылку открывается, казалось бы, стандартный плакат о профилактике, однако этот плакат содержит в себе вирус. «Если человек получил это письмо, открыл ссылку и увидел этот плакат, то его компьютер заражается вредоносным ПО. В этом случае компьютер нельзя использовать до тех пор, пока он не будет очищен и пока не будет уверенности, что вредоносная программа удалена с компьютера. Обязательно следует поменять свои пароли, сохраненные в браузере (Chrome, Edge, Firefox и т. д.). Если вы сохранили в своем браузере данные банковской карты, то сообщите об этом в банк, поскольку злоумышленники могут использовать вашу банковскую карту. При необходимости закажите новую карту», – сказал Таммер.
По его словам, при открытии электронных писем всегда стоит внимательно смотреть, кто именно отправил письмо. «Обычно поддельные письма присылаются с адреса электронной почты, копирующего известное предприятие или организацию, но на самом деле этот адрес никак с ним не связан. Убедитесь, что имя отправителя совпадает с именем в заголовке письма. Даже небольшие несоответствия должны вас насторожить», – сказал Таммер. Адрес отправителя упомянутого поддельного письма был euroapteek(at)protonmail.com, то есть злоумышленники пытались имитировать известную в Эстонии аптеку.
Он также добавил, что CERT-EE сообщил о вредоносном ПО производителям антивирусов. «Однако у производителей антивирусов уйдет время на то, чтобы точно определить характер поведения вируса, и добавить соответствующую защиту от него в свои продукты. Сейчас пользователи должны сами проявлять осмотрительность», – сказал Таммер. «Люди должны всегда следить за тем, на какие ссылки они нажимают, поскольку злоумышленники становятся всё более изобретательны и с каждым разом всё лучшее прячут вредоносные программы. Несмотря на наличие орфографических ошибок в письме, само письмо в целом имеет довольно хорошее качество, и плакат в загруженном файле выглядит вполне благонадежно. Поэтому никогда нельзя терять бдительность. Если получатель письма не видит ссылку, на которую его перенаправляют, то я рекомендую никогда не нажимать на такую ссылку», – подытожил Таммер.
Если вы нажали на ссылку, загрузили содержащий вредоносное ПО файл, открыли его и увидели плакат, то, пожалуйста, отправьте информацию по адресу cert@cert.ee. Об основах кибербезопасности можно прочитать в блоге Департамента государственной инфосистемы по адресу https://blog.ria.ee/kuberturvalisuse-abc/.