Коммунальное производственное унитарное предприятие «ИВЦ Минского областного исполнительного комитета» уведомляет о поступившей от Национальной команды реагирования на киберинциденты Республики Беларусь информации о массовой фишинговой рассылке, направленной на кражу пароля от почтового ящика и о технических подробностях таких писем:
дата получения писем: 23.06.2024;
в тема письма может содержаться: Server Administrator;
имя отправителя может быть подделано, например, admin@[домен_вашей_организации];
источник письма: mta.ak116.secure.ne[.]jp (150.60.159[.]115);
текст сообщения говорит об истечении пароля и предлагает нажать
на кнопку/ссылку «Keep Same Password»;
ссылка: https[:]//roundcube[.]authwebmail[.]workers[.]dev/#[ваш_ почтовый_ящик];
происходит обращение на поддомены: *.authwebmail[.]workers[.]dev.
С учетом изложенного рекомендуем:
сменить пароль, если переходили по ссылке и/или был введен пароль;
проверить логи DNS и сетевых обращений на наличие сетевых признаков;
ограничить доступ к указанному домену;
напомнить пользователям о правилах «цифровой гигиены»
и пользования электронной почтой.
Дополнительно, обращаем Ваше внимание на увеличение подобных рассылок, направленных на кражу пароля.
Такие письма предлагают или запугивают необходимостью смены/проверки/сброса пароля от почтового ящика и содержат следующие темы и/или смысл на русском или английском языках:
просьба сменить пароль;
истечение срока пароля;
необходимость заново войти в свой ящик.
При этом часто используются домены и ссылки наподобие:
https[:]//ipfs[.]io/ipfs/QmdHXu2EFqA4HnLKJR3vQBQ1jERYZ3iF7uARcorWxF3xUе;
https[:]//cloudflare-ipfs[.]com/ipfs/QmdHXu2EFqA4HnLKJR3vQBQ1jERYZ3iF7uARcorWxF3xUе;
https[:]//sites[.]google[.]com/view/03126606446hsgdhsd/home?authuser=2.»
Рекомендуем по возникающим вопросам связываться
с Национальной командой реагирования на киберинциденты Республики Беларусь по тел. +375-17-309-24-64, +375-33-387-98-61.