Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, попереджає про шахрайську активність щодо користувачів сервісу UKR.NET.

Зловмисники начебто від імені технічної підтримки UKR.NET надсилають електронні листи з темою «Помічена підозріла активність @UKR.NET» та додатком у вигляді PDF-файлу з назвою «Попередження про безпеку.pdf» (електронна адреса відправника – [email protected]).

У PDF-документі користувачу погрожують блокуванням поштової скриньки та вимагають підтвердити доступ до поштового акаунту, перейшовши за посиланням. Насправді посилання спрямовує на шахрайський сайт, що імітує вебсторінку поштового сервісу. У разі автентифікації на підробному вебсайті логін та пароль користувача будуть надіслані зловмисникам. Отже, сторонні особи дістануть несанкціонований доступ до електронної поштової скриньки.

Фахівці CERT-UA вжили додаткових заходів з аналізу мережевої інфраструктури, що застосовується для здійснення аналогічних кібератак від 2021 року. В результаті виявили щонайменше 118 пов'язаних доменних імен, зареєстрованих компанією «Internet Domain Service BS Corp» (@internet.bs, Багамські острови).

Щоб мінімізувати вірогідність реалізації загроз щодо громадян України, ідентифіковані доменні імена додано до DNS RPZ зони, яка обслуговується CERT-UA. Також їх передано фахівцям CSIRT-NBU для внесення до DNS RPZ зони «шахрайство».

Активність відстежується за ідентифікатором UAC-0036 (угрупування також відоме під назвами COLDRIVER, CALLISTO) та здійснюється в інтересах спецслужб російської федерації.

Фахівці CERT-UA рекомендують користувачам UKR.NET:

-        не переходити за підозрілими посиланнями,

-        налаштувати багатофакторну автентифікацію,

-        перевірити, яким стороннім пристроям / додаткам наданий доступ до поштової скриньки, та вжити інших заходів щодо посилення безпеки.