Спамеры уже не раз доказывали, что умело владеют методами социальной инженерии и способны ловко играть на невнимательности, опасениях и страхах людей. Первый послепраздничный день у работников ножа, топора и email начался с рассылки от имени «Главное Управление Военного Комиссариата МО РФ» письма с темой «Мобилизационное предписание №123-456789-00 от 10.05.2023».
Грозное письмо содержало эмблему Минобороны РФ, следующий текст:
«В соответствии с Федеральным Законом от 28.03.1998 N 53-ФЗ (ред. от 14.04.2023) "О воинской обязанности и военной службе" (с изм. и доп., вступ. в силу с 28.04.2023) Вы подлежите постановке на воинский учет и обязаны 11.05.2023 к 8:00 явиться в военный комиссариат Вашего непосредственного учета для уточнения данных. При себе иметь свидетельство о рождении, паспорт (иной документ, удостоверяющий личность), а также справку с места жительства и о семейном положении, справку с места работы или учебы, фотографии размером 3 x 4 - 6 шт., документ об образовании, медицинские документы о состоянии здоровья, имеющим первый спортивный разряд или спортивное звание по военно-прикладному виду спорта - квалификационные удостоверения, прошедшим подготовку в военно-патриотических молодежных и детских объединениях – справки (удостоверения) о прохождении подготовки в этих объединениях.»
и, самое главное, полезную для киберпреступников нагрузку в виде вредоносного вложения исполняемого .EXE файла, упакованного в архив ZIP.
Внимательный получатель сразу определит подделку хотя бы лишь по техническим признакам:
- Отправитель письма адрес [email protected] Несложная и доступная всем проверка домена voenkomat-mil.ru в инструменте Whois показывает, что он был зарегистрирован всего неделю назад 2 мая на частное лицо и никакого отношения к Минобороны не имеет. Официальный домен МО РФ — mil.ru
- Технические заголовки сообщения показывают, что отправка производится с IP 194.116.172.101 Воспользовавшись тем же инструментом Whois становится ясно, что IP-адрес расположен в Финляндии, а принадлежит он компании Stark Industries с адресом в Лондоне. Вымышленная компания с подобным названием фигурировала в фильме «Железный человек». По сюжету она производила вооружение, а её главой был Тони Старк, которого сыграл актёр Роберт Дауни — младший.
И это уже не говоря о том, что подобные документы не могут быть обезличенными, в них должны указываться ФИО получателя, адрес конкретного военного комиссариата, подпись его военного комиссара. С точки зрения информационной безопасности используемая мошенниками технология подобна недавней кампании писем якобы от регистратора доменов и использует домены-омографы, домены сходного написания, чтобы вводить получателей в заблуждение.
Если вы получили подобное письмо, разумеется, нельзя открывать вложение, которое заразит компьютер. Следует сразу же удалить такое письмо.
Чтобы предотвратить распространение вредоносного спама от этого отправителя можно:
- Обратиться к регистратору домена voenkomat-mil.ru для приостановки его делегирования. Согласно сервису Whois регистратором домена является Reg-ru.
- Направить жалобу в почтовый сервис Mail-ru, на котором мошенники разместили свой почтовый сервер, что видно из MX-записей в DNS домена.