Эксперты: три крупных российских благотворительных фонда подверглись кибератакам

Компания Group-IB, которая специализируется на предотвращении кибератак, сообщила, что три благотворительных фонда с начала августа подверглись атакам с использованием спуфинга (подмены адреса) электронной почты, говорится в сообщении компании.

О попытке вывести деньги из фонда «Кислород» «Таким делам» рассказала руководитель фонда Майя Сонина.

«На адрес фонда от моего имени пришло письмо, якобы, с моего личного адреса, но нетрудно разглядеть: это другой адрес, похожий на мой, но с незначительной разницей. В письме я, якобы, даю распоряжение перевести сумму, собранную для лечения подопечной фонда, на сторонние личные реквизиты, а остальные деньги, якобы, переведут на этот счет родители пациента. Девочка — сирота. Простой способ, мошенники даже не вникли в тему сбора», — рассказала Сонина.

Она добавила, что фонд ничего не потерял, так как мошенничество сразу распознали. Принципиальная позиция фондов – не перечислять средства на личные счета, в частности, именно по причине возможных злоупотреблений средствами, когда поступления и расходы невозможно контролировать, объяснила Сонина. После этого в «Кислороде» усилили безопасность почты и сайта, сказала она.

Для рассылки в адрес фонда кибермошенники специально зарегистрировали домен  bfkislorod[.]ru (домен оригинального сайта bf-kislorod[.]ru), отметили в Group-IB.

Похожая история произошла и в Фонде Хабенского. 3 августа трое сотрудников фонда получили подобное письмо от директора благотворительной организации. Сообщение насторожило команду фонда, и они отправили письмо на проверку в Group-IB. 

«Анализ показал, что подлинный почтовый аккаунт директора фонда скомпрометирован не был. Злоумышленники отправили письмо с сервера хостинг-провайдера Timeweb, подделав технический заголовок под нужный адрес, чтобы ввести в заблуждение сотрудников фонда. При этом в поле “обратный адрес” (данная строка видна не во всех почтовых клиентах) вместо официального домена Фонда Хабенского “bfkh[.]ru” использовался фальшивый домен, отличающийся последовательностью букв, “bfhk[.]ru”. Если бы пользователь ответил на письмо, например, для уточнения деталей перевода, его сообщение направилось бы мошенникам», — объяснили эксперты. 

Специалисты Group-IB обнаружили, что с 5 по 6 августа кто-то зарегистрировал семь доменов, копирующих имена известных благотворительных организаций, в том числе фондов «Алеша», «Подари жизнь» и «Старость в радость». Попытку мошенничества зарегистрировали только в отношении фонда «Старость в радость». 

Чтобы минимизировать риски кибератак, в Group-IB советуют внедрить в организациях правила аутентификации SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail), а также технологию проверки этих записей — DMARC. Это усложнит отправку от имени официального домена. Такие письма будут помечаться как не прошедшие аутентификацию, попадать в спам или вовсе отклоняться.

Group-IB решили организовать вебинар для представителей благотворительных организаций, где специалисты расскажут о мерах кибербезопасности. Он состоится 4 сентября, подробную информацию можно получить, написав на почту компании: education@group-ib.com.