Мошеннические действия под видом налоговой рассылки

Мошенники под видом ФНС России рассылают вирусы!

ФНС России предупреждает об интернет-мошенниках, рассылающих вирусы. Зафиксирована почтовая рассылка, где под видом сотрудника ФНС России злоумышленники просили получателя письма заполнить документы во вложении, распечатать их и представить в Главное Управление ФНС России, при этом такого подразделения в ФНС России не существует и не существовало. Если пользователь скачивал приложения, то отправители могли получить несанкционированный удаленный доступ к данным и ресурсам его компьютера.

Официальная рассылка ФНС России направляется только тем, кто указал и подтвердил адрес своей электронной почты в Личном кабинете налогоплательщика. В таких письмах обычно указана информация об изменениях в Личном кабинете налогоплательщика, о регистрации обращения в Службу и получении ответа на него. Причем формат ответа на обращение (.pdf, .xml) пользователь выбирает самостоятельно при обращении через сайт.

Новостная рассылка сайта www.nalog.ru направляется пользователям сайта, которые оформили подписку, и дублируется на главной странице сайта.

Также ФНС России не рассылает сообщения о наличии задолженности и с предложениями оплатить долг в режиме онлайн. Вся необходимая информация о неуплаченных налогах, а также способах их оплаты размещена в сервисах Личный кабинет налогоплательщика.

ФНС России рекомендует не открывать подозрительные письма, а также своевременно обновлять антивирусные базы, операционную систему и другие программы (почтовый клиент, браузер). При использовании организациями собственных почтовых серверов ФНС России настоятельно рекомендует настроить их для проверки легитимности отправителя письма. При наличии такой проверки письма от источников, выдающих себя за ФНС России, можно помечать как «спам» или удалять.


Рекомендации по выявлению мошеннических действий

В поддельном письме имеется следующая информация:

Received: from mail.ru (unknown [ХХХ.ХХХ.ХХХ.ХХХ])

         by mail.<сервер получателя>.ru (Postfix) with ESMTP id E9AF535E8A6

         for <mailbox@<сервер получателя>.ru>; Tue, 28 Jul 2020 15:58:20 +0400 (MSK)

Return-Path: <info@nalog.ru>


Выделены элементы, которые показывают, что письмо от домена nalog.ru отправляется с сервера mail.ru, и при этом адрес, с которого отправляется письмо, не принадлежит заявленному серверу mail.ru (unknown). Фактически информация об отправителе (nalog.ru) не соответствует действительности по всем реквизитам (адрес сервера, имя сервера).

В реальном письме от почтового сервера ФНС России поля имеют вид:

Return-path: <mailbox@nalog.ru>

Received-SPF: pass (<server>.ru: domain of nalog.ru designates XXX.XXX.XXX.XXX as permitted sender) client-ip= XXX.XXX.XXX.XXX; envelope-from=mailbox@nalog.ru; helo=nalog.ru;

Received: from eups.nalog.ru ([XXX.XXX.XXX.XXX]:XXXXX helo=nalog.ru)

         by <server>.ru with esmtp (envelope-from <mailbox@nalog.ru>)

         id 1k0i3g-0000s0-4f

         for mailbox@<server>.ru; Wed, 29 Jul 2020 12:07:32 +0300

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=simple/simple; d=nalog.ru; s=mail; bh=T519/PetbVFwHJ5wt0SN4hW2Ovn+bHWpCRZvS4esehM=;h=Content-Type:To:From:Thread-Topic:MIME-Version:Message-Id:Date:Subject; b=a4v5weJIaXyIt4CwFs/P5O50RmFKxLFcyL6bL13XyljTII5YPBodaAJAXw3bSLKPNHGrgQ2JKydPh

Проверка домена отправителя (SPF) пройдена и письмо действительно направлено с домена nalog.ru

Цифровая подпись (DKIM-Signature) позволяет серверу получателя проверить целостность письма во избежание подделки.

Крупные почтовые службы проверяют легитимность отправителя письма и информируют своих пользователей о поддельных письмах, помещая их в папку «спам» или включая в заголовок письма соответствующее предупреждение.

Для защиты пользователей, получающих письма с почтового сервера nalog.ru, в начале 2017 года при участии специалистов крупных российских почтовых сервисов ФНС России внедрила механизмы DMARC*, а также SPF* и DKIM*. Благодаря этому почтовые серверы получателя электронного письма автоматически проверяют легитимность отправителя и в случае необходимости переносят письмо в папку «Спам».

Настроив DMARC, владельцы почтовых серверов могут блокировать письма с неавторизованных доменов. Таким образом, DMARC позволяет выявлять и пресекать подмену обратного адреса отправителя, которую используют спамеры для поддельных рассылок от имени ФНС России (или любой другой компании). Подробную информацию об использовании данного механизма можно получить на сайте https://dmarc.org/ или на сайтах крупнейших почтовых сервисов России.

ФНС России настоятельно рекомендует осуществить необходимые настройки корпоративных почтовых систем пользователей для защиты от получения поддельных писем.

*DMARC - Domain-based Message Authentication, Reporting and Conformance (идентификация сообщений, создание отчётов и определение соответствия по доменному имени) — это техническая спецификация, предназначенная для снижения количества спамовых и фишинговых электронных писем. Основана на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя. Письма с домена nalog.ru ФНС России отправляются с необходимой информацией для проверки легитимности отправителя.

*SPF - Sender Policy Framework (инфраструктура политики отправителя) — расширение для протокола отправки электронной почты через SMTP. SPF определён в RFC 7208. Благодаря SPF можно проверить, не подделан ли домен отправителя. Домен ФНС России имеет необходимые атрибуты для такой проверки.

*DKIM (Domain Keys Identified Mail) — это цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма.