Мошенники рассылают письма от имени Роскомнадзора

Неизвестные от имени Роскомнадзора в ночь с 26 на 27 августа разослали веб-мастерам несколько писем с информацией о внесении в реестр запрещенных сайтов.

Первыми о факте мошенничества сообщили пользователи портала «Хабрахабр».

Мошенники в письме предлагали администраторам сайтов провести некоторые технические манипуляции, чтобы избежать блокировки. С помощью размещения веб-мастером файла, который был прикреплен к письму от фальшивого Роскомнадзора, в папке reestr в корневом каталоге сайта злоумышленники могли получить доступ к файловой системе.

Один из пользователей «Хабрахабра» Павел Губарев, чей сайт подвергся атаке, получил письмо с адреса zapret-info@roskomnadzor.ru. В нем сообщалось о внесении ресурса в реестр организаторов распространения информации.

В отличие от настоящих уведомлений Роскомнадзора, письмо содержало файл, который якобы сотрудники ведомства требовали разместить на сайте. По словам П. Губарева, код позволял выполнить на сайте любое предусмотренное PHP действие удаленно. Функция assert запрашивала выполняемый код из переменной roskomnadzor, которую злоумышленники могли формулировать как угодно — например, для отправки файлов сайта на другой сервер, изменения содержимого страниц, встраиванию рекламы.

Домен (roskomnadzor.org), с которого пришло письмо, был зарегистрирован 19 августа 2015 года. Для большей правдоподобности этот адрес перенаправлял на настоящий сайт rkn.gov.ru.

«Уважаемые пользователи интернета! Будьте осторожны и не доверяйте подобной информации! Ситуация содержит явные признаки мошеннических действий. В ближайшее время Роскомнадзор направит официальные обращения в МВД и ФСБ России», — говорится на официальной странице ведомства во «ВКонтакте».

Изображение: lori.ru