Холодные сердца: Group-IB фиксирует серию атак на благотворительные фонды
Group-IB, международная компания, специализирующаяся на предотвращении кибератак, фиксирует мошенническую схему, целью которой является вывод средств из благотворительных фондов. По данным специалистов Центра реагирования на инциденты кибербезопасности CERT-GIB, по меньшей мере, три крупных благотворительных организации подверглись атакам с использованием спуфинга (подмены адреса) электронной почты с начала августа 2020 г. Также Group-IB обнаружили следы готовящихся кампаний против еще 7 благотворительных организаций.
В ходе атаки злоумышленники отправляли поддельные письма от лица руководителей благотворительных фондов их коллегам, например, из финансового отдела, с просьбой срочно оплатить лечение кого-то из подопечных организации.
3 августа 2020 г. трое сотрудников Фонда Хабенского получили письмо от директора благотворительной организации с просьбой немедленно перевести средства, собранные для одного из подопечных фонда, на указанные реквизиты. Подозрительное сообщение насторожило команду фонда. Поскольку благотворительная организация никогда не осуществляет переводов на личные банковские счета и персональные кошельки, получатели переслали письмо для проверки на предмет мошенничества в Group-IB.
Анализ показал, что подлинный почтовый аккаунт директора фонда скомпрометирован не был. Злоумышленники отправили письмо с сервера хостинг-провайдера Timeweb, подделав технический заголовок под нужный адрес, чтобы ввести в заблуждение сотрудников фонда. При этом в поле «обратный адрес» (данная строка видна не во всех почтовых клиентах) вместо официального домена фонда Хабенского «bfkh.ru» использовался фальшивый домен, отличающийся последовательностью букв, «bfhk.ru». Если бы пользователь ответил на письмо, например, для уточнения деталей перевода, его сообщение направилось бы мошенникам.
Три дня спустя экспертам CERT-GIB стало известно об аналогичной попытке вывести средства из фонда «Кислород». Рассылка в адрес сотрудников была зафиксирована 6 августа, для нее киберперступниками специально был зарегистрирован домен bfkislorod.ru (домен оригинального сайта bf-kislorod.ru).
Примечательно, что перед атаками сотрудники Фонда Хабенского и фонда «Кислород», от лица которых потом рассылались фейковые письма, получили email-сообщения от одного и того же лица с абстрактными вопросами. Предположительно, мошенники сделали это для того, создать полностью идентичные профили для будущей рассылки – скопировать фото, данные о корпоративной подписи и т.п.
Проанализировав домен bfkislorod.ru с помощью системы графового анализа, эксперты Group-IB обнаружили, что в период с 5 по 6 августа 2020 г. злоумышленники зарегистрировали еще семь доменов, копирующих имена известных благотворительных организаций, в том числе фондов «Алеша», «Подари жизнь» и «Старость в радость». На момент выпуска пресс-релиза попытка мошенничества была зафиксирована только в отношении фонда «Старость в радость». Остальные шесть доменов на данный момент остаются спящими и находятся на мониторинге у специалистов CERT-GIB.
«С начала августа 2020 г. Group-IB фиксирует серию таргетированных атак на благотворительные организации. Для фондов подобные атаки имеют куда более серьезные последствия, чем для других организаций, т.к. они наносят удар по их главному активу — человеческому доверию. Для нашей компании работа над этим кейсом имеет особую важность, поскольку в данном случае речь идет не о репутационных и финансовых рисках, а зачастую – о шансах людей на жизнь», – отметил заместитель руководителя CERT-GIB Ярослав Каргалев.
На текущий момент специалисты Group-IB занимаются блокировкой развернутой злоумышленниками инфраструктуры, расследованием инцидентов и сбором информации о предполагаемых атакующих. Благодаря оперативному детектированию мошеннической схемы и бдительности сотрудников фондов, которые регулярно сталкиваются с новыми видами фрода, ущерба удалось избежать.
Чтобы минимизировать риски подобных атак, эксперты Group-IB советуют внедрить организациям правила аутентификации SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail), а также технологию проверки этих записей — DMARC. Это существенно усложнит отправку от имени официального домена — такие письма будут помечаться как не прошедшие аутентификацию, попадать в спам или вовсе отклоняться.