През последните месеци се наблюдава засилена активност на фишинг кампании, които използват реалистично изглеждащи имейл адреси от държавни домейни, за да внушат доверие у получателите. Пример за подобен подход е съобщение, което на пръв поглед изглежда изпратено от официален адрес на институция (например export@yambol-os.justice.bg), но съдържа всички характерни белези на измама.

Основната цел на подобни имейли е да подведат потребителя да свали прикачен файл, обикновено с необичайно или двойно разширение като .tarTAR, .pdf.exe или .zip.scr. Тези файлове често съдържат зловреден код, който след отваряне може да активира инсталиране на троянски кон, кейлогър или друг тип зловреден софтуер.

Несъответствия, които издават измамата

Дори бегъл анализ на подобни имейли разкрива редица несъответствия:

• Различие между видимия и реалния изпращач – докато „From“ може да изглежда легитимно, оригиналният „Return-Path“ често води към напълно различен домейн, нерядко от Азия или Източна Европа.

• Съмнителен прикачен файл – малък архивен файл с двойно разширение е класически индикатор за опит да се скрие изпълним код.

• Минимално или безсмислено съдържание – фишинг писмата често съдържат само кратък текст като „Sent from an iPhone“, за да избегнат филтрите за спам.

• Несъответствие във времевите зони и получателите – странни комбинации от имейл адреси, различни часови зони и неочаквани „cc“ или „bcc“ получатели.

Тези признаци са достатъчни, за да се определи имейлът като потенциално опасен, дори без да се отваря прикаченият файл.

Как да реагираме безопасно

При получаване на съмнителен имейл, най-важното правило е: не отваряйте прикачените файлове и не кликвайте върху връзки.
Следващите стъпки са препоръчителни за всеки служител или потребител:

1. Преместете имейла в карантина или го маркирайте като спам.

2. Уведомете IT отдела или доставчика на киберсигурност.

3. Проверете автентичността чрез независим канал – ако писмото изглежда от институция, свържете се директно с нея чрез официалния сайт или телефон, а не чрез „Reply“.

4. Не препращайте имейла – всяко препращане може да увеличи риска от неволно заразяване на други системи.

Значението на осведомеността и обученията

Фишингът остава една от най-успешните форми на кибератака, именно защото залага на човешката грешка. Дори най-добрите антивирусни решения не могат да компенсират липсата на киберхигиена. Затова е от решаващо значение организациите да провеждат редовни обучения по разпознаване на фишинг атаки, както и одити на сигурността, които да проверяват реакцията на служителите при симулирани атаки.

Имейлът, представящ се като официално съобщение от „justice.bg“, е поредният пример как престъпниците използват реалистични детайли, за да заблудят жертвите си. Тази техника на „спуфинг“ комбинирана с архиви с подвеждащи разширения е част от съвременните кампании за заразяване на системи и кражба на данни.
Решението не е само в технологията, а в комбинацията от техническа защита и обучени хора, които разпознават заплахата още преди да кликнат.