Злоумышленники маскируют свои домены под официальный домен Следственного комитета России (sledcom.ru), используя домены sledcom.org, sledcom.com и иные домены, схожие по написанию.

Злоумышленники рассылают письма с требованием ознакомиться с материалами уголовного дела. Заголовок письма, а также его содержание полностью соответствуют оригинальным письмам Следственного комитета России, данные, содержащиеся в письме, как правило берутся из открытых источников или из раннее украденной персональной информации.

Вредоносное письмо может содержать один или несколько прикреплённых файлов, среди которых обязательно находится архив, или ссылку на файлообменный сервис. Заражение автоматизированного рабочего места (далее АРМ) происходит как при открытии архива, так и при переходе по ссылке. При заражении АРМ злоумышленники получают доступ к информации, хранимой в браузере и другом программном обеспечении, такой как учетные данные, данные кредитных карт и другой персональной информации.

Для предотвращения заражения необходимо внимательно ознакомиться с адресом, с которого пришло письмо, он должен заканчиваться доменом Следственного комитета России @sledcom.ru, а также необходимо связаться по телефону указанном на официальном сайте Следственного комитета России и подтвердить принадлежность письма. В случае обнаружения вредоносного письма необходимо немедленно сообщить об обнаружении вредоносного письма ответственному за информационную безопасность сотруднику и вышестоящему руководству.