Атаки на абитуриентов и их родителей заметно трансформируются

Атаки на абитуриентов и их родителей заметно трансформируются

Атаки на абитуриентов и их родителей заметно трансформируются

Если в начале приёмной кампании мошенники в основном делали ставку на схемы, связанные с так называемыми «альтернативными» способами зачисления, то ближе к её завершению более распространёнными стали атаки, направленные на кражу личных данных и перехват учётных записей.

По оценкам экспертов, опрошенных «Известиями», злоумышленники активно используют фишинговые сайты, поддельные платёжные страницы и телефонное мошенничество, чтобы обмануть абитуриентов и их родителей.

«Одна из новых схем — звонки от имени Минпросвещения или якобы экзаменаторов. Родителям предлагают срочно зарегистрировать ребёнка на неком "портале сдачи ЕГЭ", требуют ввести СМС-код, после чего получают доступ к личным данным и аккаунтам», — рассказала изданию киберэксперт и инженер-аналитик компании «Газинформсервис» Екатерина Едемская.

Также распространены фальшивые сообщения от имени ректора или сотрудников вузов с просьбой подтвердить данные или предоставить личную информацию. Иногда жертвам предлагают заполнить электронную заявку на поступление. Во всех этих случаях пользователей перенаправляют на фишинговые ресурсы.

«Злоумышленники просят перейти по поддельной ссылке и подтвердить личность через Telegram или другие порталы. Как только жертва вводит данные, мошенники исчезают вместе с полученной информацией и доступом к профилю», — пояснил директор по развитию центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско.

По данным ГК «Солар», количество атак на абитуриентов выросло на 30% по сравнению с прошлым годом. Впервые они обошли по числу случаев мошеннические схемы, связанные со сдачей ЕГЭ.

Как предупредил адвокат Шон Бертозов, мошенники также предлагают «обеспечить» поступление по фиктивной квоте. Для этого якобы нужно подписать договор с некой организацией. Другая схема — продажа дипломов и сертификатов о победах в конкурсах и олимпиадах.

На деле же речь идёт о поддельных документах. В лучшем случае такие бумаги не примет приёмная комиссия, в худшем — возможна уголовная ответственность.

Немного реже применяются схемы, связанные с «альтернативными» способами зачисления, которые часто предлагают абитуриентам с низкими баллами ЕГЭ и иногородним. Также распространена навязка репетиторских услуг по завышенной цене — занятия либо не проводятся вовсе, либо проходят формально и не дают никаких преимуществ при поступлении.

Даже после официального зачисления абитуриенты остаются в зоне риска. Одной из главных угроз становится перехват учётных данных через фишинговые сайты, замаскированные под официальные ресурсы вузов.

«Уже зафиксированы случаи, когда мошенники от имени вуза предлагают заранее подать заявку на стипендию или заселение в общежитие. Для этого просят "актуализировать" личные данные на сайте, который по факту является фейковым. Авторизация там происходит через Госуслуги или аналогичные сервисы — так хакеры получают доступ к профилям», — сообщил Александр Вураско.

Через такие поддельные сайты также распространяются вредоносные программы. Злоумышленники используют PDF-файлы якобы с правилами поступления, списками абитуриентов или прайс-листами платных услуг — на деле же это контейнеры с вредоносным кодом.

Чтобы снизить риск, эксперты рекомендуют не переходить по ссылкам, полученным через СМС или мессенджеры: официальные организации так не действуют. Всю полученную информацию важно перепроверять на сайтах вузов и на Портале Госуслуг.

«Важно понимать, что мошенники всегда действуют через неофициальные каналы, оказывают психологическое давление, обещают незаконные “гарантии”. В случае сомнений стоит проконсультироваться с представителями учебного заведения или с юристом. После перевода денег доказать свою правоту почти невозможно», — предупреждает Шон Бертозов.

Российский госсектор и промышленностью атакуют через обновления ViPNet

Эксперты Kaspersky GReAT обнаружили активную кибершпионскую кампанию HelloNet, нацеленную на крупные российские организации. Под удар попали предприятия госсектора, промышленности, энергетики, транспорта, логистики и образования. Главная неприятность — злоумышленники используют механизм обновлений ViPNet, популярного ПО для создания защищённых сетей.

Атака начинается не с подозрительного архива «Документы_срочно.zip», а маскируется под вполне легитимный корпоративный процесс.

Для заражения применяется техника сторонней загрузки DLL. Один из компонентов ViPNet запускается вместе с операционной системой и подхватывает вредоносную библиотеку. Дальше начинается полноценный набор для тихой жизни внутри чужой инфраструктуры.

В кампании задействованы сразу несколько ранее неизвестных инструментов. HelloInjector загружает дополнительные вредоносные модули, HelloProxy проксирует трафик и запускает новые нагрузки, HelloExecutor позволяет выполнять команды на заражённом компьютере. А HelloCleaner стирает журналы ViPNet, чтобы следов осталось поменьше.

На одной из систем исследователи также нашли HelloBackdoor — бэкдор для работы с файловой системой.

По техническим признакам специалисты с низкой уверенностью связывают кампанию с неизвестной китайскоговорящей группировкой. При этом атака всё ещё продолжается.

В «Лаборатории Касперского» напоминают, что ViPNet уже становился приманкой для атакующих: в 2025 году десятки российских организаций столкнулись с бэкдором, который тоже притворялся обновлением этого ПО.

Компаниям рекомендуют отдельно проверить рабочие станции с ViPNet и внимательно изучить сетевой трафик.

В «ИнфоТеКС» поделились своим комментарием. Приводим ниже.

Компания «ИнфоТеКС» сообщила о выявлении нового вектора целевой атаки, связанного с использованием транспортного протокола MFTP в ПК ViPNet Client 4.

Новый сценарий атаки обнаружен в эксплуатируемых сетях ViPNet на узлах с установленным ViPNet Administrator. Его реализация возможна при условии, что злоумышленники ранее скомпрометировали управляющий узел ViPNet Administrator в доверенной сети.

После этого с захваченного узла через межсетевое взаимодействие может быть отправлен специально сформированный конверт, имитирующий легитимное обновление программного обеспечения. Такой пакет способен содержать произвольную вредоносную нагрузку и использовать уязвимость, связанную с обработкой относительных путей.

Рассылка поддельного обновления через скомпрометированный управляющий узел может привести к нарушению целостности среды, повышению привилегий в системе и выполнению произвольного кода на атакуемом устройстве.

Для устранения уязвимости необходимо обновить программное обеспечение до следующих версий:

Если сеть связана с другими защищёнными сетями, администрирование которых находится вне зоны вашей ответственности и для которых невозможно гарантировать выполнение указанных требований, необходимо проверить собственные узлы на наличие признаков компрометации.

Для этого следует:

  • проверить систему на наличие файлов, указанных в подготовленных YARA-правилах;
  • выполнить проверку в соответствии с инструкцией по применению YARA-правил с использованием утилиты YARA;
  • проанализировать сетевую активность узлов ViPNet, включая обращения к координаторам и другим элементам инфраструктуры организации.

При обнаружении признаков заражения или подозрительной сетевой активности необходимо незамедлительно обратиться в службу технической поддержки «ИнфоТеКС».

RSS: Новости на портале Anti-Malware.ru