Как сообщает Report со ссылкой на НАК, мониторинг выявил распространение фишинговых писем с использованием взломанных официальных электронных адресов ряда местных учреждений.

Мошенники рассылают письма с заголовком Shared a File или New secure message from с адресов, выглядящих знакомыми и надежными, перенаправляя пользователей на поддельные порталы документов.

Ссылки в письмах обходят средства защиты, поскольку они расположены на легитимной платформе freshdesk.com. Пользователь, перешедший по ссылке, автоматически перенаправляется на фейковую страницу входа в систему Microsoft, расположенную по адресу iphro.nobeienergy[.]com.

Эта страница имитирует реальную страницу входа в систему Microsoft и в режиме реального времени перехватывает имя пользователя, пароль и код подтверждения (многофакторная/двухфакторная аутентификация - MFA/2FA). В результате киберпреступники крадут созданный cookie-файл и получают прямой доступ к учетной записи, обходя двухфакторную аутентификацию.

Пользователям рекомендуется не переходить по ссылкам в неожиданных электронных письмах с вышеупомянутыми заголовками, проверять подлинность таких писем у отправителя через альтернативный канал, убедиться, что в адресной строке при входе в систему указан только официальный адрес login.microsoftonline.com, и не вводить пароли и коды подтверждения на подозрительных страницах.

"В случае подозрительных ситуаций просим сообщить об этом в соответствующие учреждения или в НАК по электронной почте info@cert.az или через горячую линию 1654", - предупредили в агентстве.