В вашем аккаунте обнаружен конфликт IP-адресов. Мошенническое письмо.

Исследователи безопасности выявили повторяющуюся фишинговую кампанию, предупреждающую получателей о предполагаемом «конфликте IP-адресов» в их почтовых аккаунтах. Эти сообщения выдаются за срочные уведомления безопасности, утверждая, что аккаунт будет ограничен или закрыт, если пользователь не подтвердит его немедленно. На самом деле эти письма представляют собой ловушку социальной инженерии: их единственная цель — сбор учётных данных для входа в систему и, в некоторых случаях, распространение вредоносного ПО. Эти сообщения не отправляются никакой легитимной компанией, поставщиком услуг или организацией.

Что утверждается в сообщениях

В письмах обычно утверждается, что в целевом почтовом ящике обнаружено несколько IP-адресов или подключений, и что для защиты сервиса и других пользователей провайдер ограничит доступ, если владелец не подтвердит учётную запись. В письмах предусмотрена большая, очевидная кнопка призыва к действию (например, «Подтвердите свою учётную запись»), побуждающая к быстрому клику. Язык, форматирование и визуальное оформление могут выглядеть убедительно — некоторые кампании тщательно имитируют настоящие уведомления провайдера, — поэтому получатели, действующие без проверки источника, могут легко попасть в ловушку.

Как работает фишинг

Нажатие кнопки подтверждения перенаправляет жертву на поддельную страницу входа, которая выглядит как настоящая форма входа в электронную почту. Злоумышленник перехватывает и отправляет ему все введенные на этой странице имя пользователя и пароль. После кражи учётных данных злоумышленники могут войти в учётную запись и использовать её различными вредоносными способами: извлекать личную информацию, сбрасывать пароли для других сервисов, выдавать себя за пользователя для мошенничества с контактами или отправлять новые фишинговые/вредоносные сообщения в адресную книгу жертвы.

Обычно целевые данные включают в себя:

• Логины и пароли учетных записей.
• Персональные данные (имя, дата рождения, контактные данные).
• Финансовые реквизиты и сведения о транзакциях.
• Любые данные, хранящиеся или доступные через взломанный почтовый ящик (счета-фактуры, письма о сбросе учетной записи, ссылки на другие учетные записи).

Риски и сценарии злоупотреблений

Взломанный аккаунт электронной почты — это путь к более масштабному ущербу. Злоумышленники могут собирать личные документы и сообщения, раскрывающие банковские, торговые аккаунты или аккаунты в социальных сетях. Они могут использовать поддельный аккаунт для запроса займов или пожертвований у друзей, продвижения других видов мошенничества, распространения вредоносного ПО или совершения мошеннических покупок при наличии сохранённых платёжных данных. Взлом финансовых сервисов может напрямую приводить к несанкционированным транзакциям и денежным потерям. Кража личных данных и долгосрочный ущерб конфиденциальности — распространённые последствия таких взломов.

Векторы для вредоносного спама

Эти кампании не ограничиваются кражей учётных данных — некоторые электронные письма содержат вредоносные вложения или ссылки, которые распространяют вредоносное ПО (спам). Угрозы попадают в файлы самых разных типов: исполняемые программы, сжатые архивы (ZIP/RAR), документы Office (часто с макросами), PDF-файлы, файлы JavaScript или встроенные полезные данные в файлы-заметки. В некоторых случаях для заражения достаточно просто открыть файл; в других — пользователю необходимо включить макросы или перейти по встроенным ссылкам, чтобы запустить дроппера.

Как распознать подделку

• Неожиданная срочность или угроза немедленного отстранения.
• Общие приветствия и непоследовательные или странные адреса отправителя.
• Ссылки, ведущие на незнакомые домены или URL-адреса, не соответствующие предполагаемому провайдеру.
• Запросы на повторный ввод учетных данных по ссылке в электронной почте, а не через официальный сайт или приложение.
• Неправильно подобранный брендинг, необычные вложения или подсказки о включении макросов или загрузке файлов.

Заключительные заметки

Эти предупреждения о «конфликте IP-адресов» — мошенничество, основанное на социальной инженерии и эксплуатирующее страх и чувство срочности. Поскольку злоумышленники всё чаще создают убедительные, хорошо оформленные подделки, любое незапрошенное уведомление о безопасности следует считать подозрительным до тех пор, пока оно не будет проверено по официальным каналам. Не используйте ссылки электронной почты для входа в систему или предоставления конфиденциальной информации; вместо этого посетите настоящий веб-сайт напрямую, включите многофакторную аутентификацию (MFA) и немедленно сообщайте о любой подозрительной активности.