Что делать, если вам пришло письмо от мошенника с вашей корпоративной почты


В нашу техническую поддержку периодически приходят тикеты с вопросом — что делать, если на корпоративную почту пришло письмо от мошенника. При этом письмо пришло с корпоративной почты клиента.

Приведем пример. Компания использует корпоративную почту info@mycompany.ru. Им пришло письмо с их же почты — info@mycompany.ru — следующего содержания:

«Hi!

As you may have noticed, I sent you an email from your account.
This means that I have full access to your account.

I've been watching you for a few months now.
The fact is that you were infected with malware through an adult site that you visited.

If you are not familiar with this, I will explain.
Trojan Virus gives me full access and control over a computer or other device.
This means that I can see everything on your screen, turn on the camera and microphone, but you do not know about it.

I also have access to all your contacts and all your correspondence.

Why your antivirus did not detect malware?
Answer: My malware uses the driver, I update its signatures every 4 hours so that your antivirus is silent.

I made a video showing how you satisfy yourself in the left half of the screen, and in the right half you see the video that you watched.
With one click of the mouse, I can send this video to all your emails and contacts on social networks.
I can also post access to all your e-mail correspondence and messengers that you use.

If you want to prevent this,
transfer the amount of $721 to my bitcoin address (if you do not know how to do this, write to Google: "Buy Bitcoin").

My bitcoin address (BTC Wallet) is: 1GoWy5yMzh3XXBiYxLU9tKCBMgibpznGio

After receiving the payment, I will delete the video and you will never hear me again.
I give you 48 hours to pay.
I have a notice reading this letter, and the timer will work when you see this letter.

Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address.
I do not make any mistakes.

If I find that you have shared this message with someone else, the video will be immediately distributed.

Best regards!»

Краткое содержание письма: клиент подхватил вирусное ПО, в результате которого мошенник получил контроль над его компьютером, камерой, микрофоном и почтой. Если клиент в течение 48 часов не переведет $721 на биткоин-кошелек, то мошенник выложит в сеть компроматное видео.

Как мошеннику удалось отправить письмо с вашей почты

Стандартными средствами — например, с помощью интерфейса Яндекс.Почты или Mail.Ru отправить письмо с чужого почтового адреса не получится. Однако мошенники могут воспользоваться специальными сервисами или написать свой скрипт, с помощью которого можно указать любого отправителя. Таким образом, не обязательно взламывать почту или заражать компьютер вирусами, чтобы отправить письмо с вашей почты.

При правильных настройках почты подобные письма должны фильтроваться почтовыми сервисами и отправляться в СПАМ. А также значок замка возле отправителя будет желтого цвета и перечеркнутым. Если на него навести, можно увидеть предупреждение: «Мы не уверены в подлинности отправителя этого письма. Возможно, данные были подменены».

Для отправки подобного письма мошеннику потребуется отдельный сервер, с которого будут уходить письма. Почтовый сервис — например, Яндекс.Почта или Mail.Ru, сможет определить несоответствие реального отправителя с адресом, с которого получено письмо. А также в строке «Подпись» будет указано «Нет». Это значит, что доступ к настройкам DNS-записей имеет только администратор сервера (то есть вы), и у мошенника нет возможности ее использовать.

Что делать, если вы получили письмо от мошенника

Самое главное — не паникуйте и не отправляйте деньги!

Рекомендуем сделать следующее:

  1. Проверить, в какую папку попало письмо (входящие или спам), а также значок замка возле отправителя
  2. Проверить, используете ли вы DKIM-подпись и SPF-запись
  3. Проверить на вирусы компьютеры, с которых используется почта
  4. Изменить пароль от почты.

Если вирусы и вредоносные программы не обнаружены, и письмо попало в папку спам
Скорее всего, мошенник использовал специальный сервис или скрипт для отправки письма. В этом случае не стоит переживать — просто проигнорируйте это письмо.

Если на вашем компьютере нет вирусов, и письмо не попало в папку спам
Скорее всего, у вас не указаны или указаны мягко DKIM-подпись и SPF-запись. Благодаря им сервер-получатель может удостовериться, что письмо действительно пришло от вас, а не от мошенника.

Воспользуйтесь нашими инструкциями для проверки правильности настроек:

Если DKIM-подпись и SPF-запись указаны правильно, но письмо не попало в папку спам, а значок замка горит зеленым
Возможно несколько вариантов:

  • Мошенник заполучил ваши данные для входа в почту
  • На одном из компьютеров, с которого используется почта, есть вирус или вредоносная программа.

Проверьте безопасность хранения данных для входа у вас и ваших сотрудников. Возможно, злоумышленник сумел их как-то заполучить. А также проверьте ваш компьютер и компьютеры ваших сотрудников, у которых есть доступ к почте. Возможно, на одном из них есть вирус или вредоносная программа, которая считывает все введенные слова с клавиатуры и передает их злоумышленнику.

В случае обнаружения вирусов, удалите их самостоятельно или обратитесь к специалисту. И не забудьте сменить пароль!

Если понадобится помощь — обратитесь в нашу техническую поддержку. Перешлите письмо во вложении, мы проверим его, и на основе этого дадим рекомендации по дальнейшим действиям.