Поддельные электронные письма "от налоговой"
Бухгалтер позвонила и спросила совета, что это за письмо такое.
Адрес отправителя в поле "От" ("From:" ) с доменной частью @nalog-info.com, а сайт налоговой РФ - nalog.ru, это и вызвало её сомнения.
В самом письме требование заполнить документы и сылка с надписью "ТРЕБУЕМЫЕ ДОКУМЕНТЫ" (именно прописными буквами), ещё и красным цветом.
Ссылка указывает на izzahlearningcenter.com/tray.php, там страничка из одной строки кода: ""
Простодушный пользователь нажмёт ссылку и скачает архив с сайта cardcleaner.cn, а в архиве, как уже можно догадаться, совсем не документы, но небезобидный "троянский конь": в нём папка "Защишенный архив" с файлом "protectedarchive.scr".
До того, как заглянуть в архив, я подумал было, "О, это даже не школота-недоучка", но арив выдаёт обычного неуча. Грамотного человека это должно насторожить, даже если он был настолько наивен, что кликнут по ссылке и открыл архив.
Ладно хоть архив без скрипта в комментарии. (Скрипт при открытии Винраром выполняется без желания пользователя.)
По данным virustotal архив определяют как вредоносный 5 антивирусов, а файл из архива - восемь.
Технические детали письма.
Письмо отправлено скриптом PHP с хостинга masterhost.ru. Мошенник явно использован взломанный сайт.
Будьте внимательны и осторожны.
Адрес отправителя в поле "От" ("From:" ) с доменной частью @nalog-info.com, а сайт налоговой РФ - nalog.ru, это и вызвало её сомнения.
В самом письме требование заполнить документы и сылка с надписью "ТРЕБУЕМЫЕ ДОКУМЕНТЫ" (именно прописными буквами), ещё и красным цветом.
Ссылка указывает на izzahlearningcenter.com/tray.php, там страничка из одной строки кода: ""
Простодушный пользователь нажмёт ссылку и скачает архив с сайта cardcleaner.cn, а в архиве, как уже можно догадаться, совсем не документы, но небезобидный "троянский конь": в нём папка "Защишенный архив" с файлом "protectedarchive.scr".
До того, как заглянуть в архив, я подумал было, "О, это даже не школота-недоучка", но арив выдаёт обычного неуча. Грамотного человека это должно насторожить, даже если он был настолько наивен, что кликнут по ссылке и открыл архив.
Ладно хоть архив без скрипта в комментарии. (Скрипт при открытии Винраром выполняется без желания пользователя.)
По данным virustotal архив определяют как вредоносный 5 антивирусов, а файл из архива - восемь.
Технические детали письма.
Письмо отправлено скриптом PHP с хостинга masterhost.ru. Мошенник явно использован взломанный сайт.
Будьте внимательны и осторожны.