Metoda de atac este, în ambele cazuri aceeași. E-mailul nesolicitat copiază însemnele grafice ale unor instituții sau organizații cu reputație - în cazul acesta ANAF. Potențialelor victime li se furnizează un scenariu plauzibil care mizeză pe o reacție emoțională care îl face pe utilizator să lase garda jos și să facă ce i se spune în e-mail.
„În acest caz, textul folosit de atacatori face referire la acest stimul psihologic încă de la început, destinatarii e-mail-ului fiind anunțați că au ‘plăți restante fiscale’, iar pentru a verifica situația trebuie să acceseze ‘factura fiscală atașată’”, explică Mihai Rotariu reprezentant al Directoratului de Securitate Cibernetică.
Odată descărcat și accesat, atașamentul duce la infectarea dispozitivului cu malware-ul LokiBot.
LokiBot, cunoscut și Loki PWS și Loki-bot, are ca scop furtul de informații sensibile din calculator - nume de utilizator, parole sau portofele de criptomonede, prin intermediul unui malware troian pe care în introduce în calculator. Practic, programul ajunge în computer și instalează un keylogger care monitorizează activitatea din browser și din calculator și înregistrează informațiile setate pe dispozitivul infectat.
Cele mai afectate sunt calculatoarele care au instalate sistemele de operare Windows și Android.
În cazul e-mailului care pretindea că vine de la ANAF, malware-ul LokiBot era ascuns într-un fișier care susținea că este de tip Excel și din care utilizatorul ar fi aflat care sunt datoriile pe care le are de plătit. Deschiderea lui însemna infectarea calculatorului. Existau câteva elemente care ar fi dat indicii că este unul fals.
„Textul era unul imprecis redactat în limba română, cu greșeli gramaticale și de exprimare, adresa de pe care sosea mail-ul nu corespundea domeniului anaf.ro”, explică Mihai Rotariu.
Miercuri, Poliția Română lansa un avertisment utilizatorilor de rețele sociale că o nouă înșelăciune în numele ANAF este propagată prin intermediul e-mail-urilor. De data aceasta, pe lângă elementul prin care calculatorul era infectat, li se indica și un cont în care să plătească presupusa datorie sau, în alte cazuri, un link, la rândul lui infectat.
Reprezentanții Poliției Române au declarat pentru Europa Liberă că au primit mai multe sesizări de la cetățeni și verifică în acest moment dacă există elemente suficiente pentru întocmirea unui dosar penal de înșelăciune. Cu ajutorul contului indicat, vor încerca să afle și cine se află în spatele campaniei.
ANAF a fost sesizată și ea de mai mulți contribuabili despre existența mailurilor. Reprezentanții ANAF spun că singurul loc în care instituția comunică securizat cu contribuabilii este Spațiul Privat Virtual. ANAF îi sfătuiește pe utilizatorii de internet să nu deschidă niciun e-mail care vine în numele său fără să fi fost solicitat.
Cum poate fi prevenită infectarea terminalelor
Infectarea dispozitivelor electronice poate fi prevenită sau, dacă are loc, poate fi depistată. Printre metodele de prevenire a atacurilor se numără:
- Verificați expeditorul. Dacă mesajul este asumat de ANAF, atunci ar trebui să vină de la o adresă de pe serverul ANAF. Chiar dacă atașamentul este așteptat și expeditorul pare să fie cunoscut, verificați mereu sursa reală a mesajului din capul e-mail-ului primit;
- Folosiți o soluție de securitate pentru dispozitive, actualizată la zi;
- Actualizați frecvent sistemului de operare și programele/aplicațiile folosite;
- Puneți în aplicare autentificarea multifactor pentru conturile folosite, iar acolo unde nu este posibil, folosiți parole unice, puternice și complexe;
Activitatea de atac cibernetic a crescut exponențial de la debutul războiului din Ucraina. Pe lângă atacurile prin intermediul căsuțelor de comunicare online, au avut loc și încercări de preluare de dispozitive prin intermediul sms-uri-lor.
