Електронні "листи щастя" від податкової: правда чи фейк?

А поки у лаптей палають сраки та встратегічні бомбери, кібезлочинці продовжують полювати на українських користувачів.

Як легко можна було передбачити, на хвилі хайпу “листів щастя від податкової”, шахраї почали надсилати свій спам на електронну пошту.
Зміст написаний більш-менш грамотно, навіть схоже на офіційний канцелярит, але у додатку до листа прикріплено “офіційний запит”.
Який гуглом одразу ідентифіковано як virus і миттєво заблоковано для завантаження. Останнє є  захистом від дурня, чого геть не вміють, наприклад, вітчизняні “цифровізатори”.
Але повернемося до цього випадку скаму (від англійського scam – шахрайство).

Виявити його можна негайно – по адресі відправника.
Якби це був офіційний лист від офіційного державного органу України, то після равлика(@) у кінці мало б бути .gov.ua – і ніяк інакше.
Усе інше – шахрайство, і алгоритм дій має бути наступний: “повідомити про спам”, “видалити”, за бажання та високого рівня свідомості - поінформувати кіберполіцію та/або CERT-UA.

Але одразу попереджаю: не раз і не два були випадки, коли хакали держані домени gov.ua і з них знов розсилають подібну каку.
Тому останньою та найпотужнішою зброєю просунутого юзера є два інструменти: “здоровий глузд” і “критичне мислення”. Я про них часто згадую на моєму онлайн-курсі “Особистий кіберзахист” і ось є нагода їх продемонструвати. 

“Критичне мислення” – це ставити під сумнів будь-яку незвичну інформацію.
Особливо ту, яка призводить до сильного хвилювання або яскравих емоцій.
У нашому випадку це інстинктивний страх перед державними інституціями – якого з часів совка більшість громадян України так і не змогла позбутися.
Ще однією ознакою спроби психологічної маніпуляції є примус відчути обмеження у часі: “негайно подати”, “час акції обмежено”, “встигни на розпродаж до кінця дня”, тощо.
Отже, наявні аж дві ознаки: сильна емоція та обмеження по часу. А наявність хоча б одного з двох - то вже привід запідозрити підступ.

А далі вмикаємо здоровий глузд: а чи мають взагалі право держслужбовці чогось вимагати електронною поштою?
У Кримінальному кодексі України є стаття 363-1 «Перешкоджання роботі електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку шляхом масового розповсюдження повідомлень електрозв'язку”.
Іншими словами, суто формально, надсилання вам електронного листа або повідомлення у месенджері без вашої попередньої згоди – є кримінальним злочином.
Так, не дивуйтеся. Ця стаття фактично мертва, неробоча – але вона є чинною і з посиланням на неї можна подати заяву до, скажімо, ДБР. І це на який час відволіче фіскалів від “щипання гусей”.
Між іншим, про отакі кібер-юридичні нюанси застосування статей 16 розділу ККУ я також розказую на моєму онлайн-курсі.

У моєму випадку (на скріні) шахраї явно використовували якусь злиту базу даних, де я ще числився директором того ТОВ. Але перестав ним бути у лютому 2022, і перевірити це кіберзлочинців вже не вистачило.
Як не захотіли вони зробити електронну адресу хоч трохи схожею на офіційну. Ну хоча б трішечки.
Ну тобто це була примітивна “робота”, розрахованого на публіку, найменш обізнану з правилами особистого кіберзахисту.

Але у шахраїв є схеми й більш витончені, особливо проти дуже важливих “цілей”.
Проти максимально цінних застосовують spear fishing, 0-day, Pegasus, social engineering -  про подібні високорівневі інструменти я періодично розказую у своїх дописах.

А сьогодні вкотре закликаю свідомих та активних громадян розвиватися та навчатися корисного: чи то на моїх курсах, чи то в інших професіоналів. Які не вважають “роль кібербезпеки перебільшеною”.
А от “як відрізнити профі від кіберцигана” – знаю, це важливе питання, але то вже якось іншим разом. 

Костянтин Корсун, експерт з кібербезпеки, у 2000-2005 заступник керівника відділу боротьби з комп’ютерною злочинністю при Департаменті контррозвідки СБУ, засновник та перший керівник CERT-UA, колишній директор та співзасновник української кібер-компанії для "Цензор.НЕТ"