/ IT

Болельщик vs хакер: матч на выживание

Как избежать кибермошенничества во время Чемпионата мира по футболу

Через месяц в России начнется чемпионат мира по футболу FIFA 2018 (ЧМ), масштабное и дорогостоящее мероприятие, подготовка к которому шла долгие годы. Болельщики со всего мира уже пакуют чемоданы. Ждут чемпионата и киберпреступники. Они тоже готовились к этому событию несколько лет и припасли немало уловок для неосторожных фанатов. Эксперты в сфере информационной безопасности объясняют, как защититься от действий мошенников.


Подготовка к преступлению

Специалисты отмечают рост количества цифровых угроз перед такими событиями, как ЧМ.

«Как показывает практика защиты сочинских Олимпийских игр 2014, с приближением даты начала мероприятия активность мошенников, стремящихся нажиться на массовом ажиотаже вокруг события международного масштаба, резко возрастает», – говорит Андрей Бусаргин, директор направления Brand Protection Group-IB.

В Group-IB и в «Лаборатории Касперского» зафиксировали тысячи сайтов, эксплуатирующих в названии слова FIFA, Russia, WorldСup2018, tickets, «чемпионат мира» и их различные комбинации. Резкое увеличение числа таких ресурсов началось в 2014 году, когда было зарегистрировано порядка 3 тыс. доменных имен. В 2015-м их стало больше на 4 тыс., в 2016-м – на 5,5 тыс., а в 2017-м – еще на 13,5 тыс., свидетельствуют данные Group-IB. Минимум 1,5 тыс. доменов созданы целенаправленно под мировой турнир по футболу FIFA в России.

«Такие сайты создают для продажи контрафакта, распространения вирусов, кражи данных банковских карт или незаконной реализации билетов. Стоимость билета первой категории на подобных ресурсах достигает 375 тысяч рублей, в то время как на официальном сайте FIFA цена не превышает 66 тысяч», – уточнили в компании Group-IB.

Специалисты говорят, что векторы кибератак на пользователей во время ЧМ известны. По мнению ведущего антивирусного эксперта «Лаборатории Касперского» Сергея Голованова,

среди главных угроз для болельщиков можно выделить продажу поддельных билетов, хищение денег с карт, а также спам-атаки. Популярным инструментом мошенников остается фишинг


Фишинговые схемы

Андрей Костин, старший контент-аналитик «Лаборатории Касперского», рассказал об основных видах фишинга, которые используются в преддверии спортивного мероприятия.

• Классический фишинг на FIFA
Этот вид фишинга связан с поддельными аккаунтами FIFA и применяется для получения персональных данных пользователей. Задолго до события мошенники регистрируют домены, которые остаются в «спящем» состоянии. Потом их начинают постепенно активировать. На смену обнаруженному и заблокированному сайту приходит другой. На «спящих» доменах либо вообще нет контента, либо присутствует «заглушка» на главной странице.
В «Лаборатории Касперского» зафиксировали увеличение количества случаев фишинга, связанных с продажей билетов. Например, злоумышленники копируют внешний вид официального онлайн-магазина FIFA, где предлагается по акции купить недорогие билеты. С помощью такой схемы злоумышленники стремятся заполучить данные банковских карт пользователей.

• Фишинг на сайты с предложением авиабилетов и съема жилья
Аналитики с высокой вероятностью ожидают появления большого количества фишинговых сайтов, где предлагаются дешевые авиабилеты до России, а также различные фейковые акции, в рамках которых можно якобы арендовать недорогое жилье. Это могут быть поддельные сайты Booking.com, Airbnb и других популярных сервисов бронирования. Такие схемы рассчитаны в основном на иностранных болельщиков.

• Фишинг на клиентов банков – партнеров чемпионата
Цель такого фишинга – получение злоумышленниками доступа к банковским аккаунтам и счетам пользователей.

• Фишинговые сайты для просмотра онлайн-трансляций с ЧМ-2018
Часто такие сайты предлагают для просмотра скачать якобы новый Flash Player и таким образом заражают пользователей вредоносным ПО.

• Сайты по продаже билетов
По закону, билеты на ЧМ можно купить только на официальном сайте FIFA. Однако «Лаборатория Касперского» обнаружила множество ресурсов, где предлагаются билеты. Болельщики рискуют приобрести с большой переплатой поддельный документ, по которому в день матча их могут просто не пустить на стадион.

По мнению А. Бусаргина, на каждом неактивном домене в любой момент может появиться противоправный контент (контрафакт, фишинг и т. д.).

Если у злоумышленника есть зарегистрированный сайт и оплаченный хостинг, то создать мошеннический ресурс и запустить его продвижение можно всего за пару часов

«Риски, которые несут в себе тысячи этих доменов, нельзя игнорировать», – добавляет эксперт.


Вредоносный спам

Киберпреступников всегда привлекают громкие мировые события, в том числе политические или спортивные. «На их фоне легко усыпить бдительность своих потенциальных жертв, заставив получателей поверить в их легитимность. Главное – изначально привлечь внимание к своему письму», – говорит Мария Вергелис, старший спам-аналитик «Лаборатории Касперского».

По ее словам,

сейчас самый массовый спам на тему FIFA 2018 – это мошеннические сообщения об огромных денежных выигрышах в лотереях, которые якобы проводятся крупными компаниями

Среди брендов – Coca-Cola, Microsoft, Visa и, конечно, сама FIFA. Все письма содержат вложения – документы в формате pdf или doc(x), имитирующие уведомления о выигрыше.

Чтобы получить приз, «победители» обычно должны передать свои паспортные и подробные контактные данные (ФИО, дата рождения, адрес проживания, электронная почта, телефон). Также мошенники предлагают пользователям оплатить расходы на почтовый перевод и денежную транзакцию для получения желанного выигрыша.

«Мы не исключаем, что среди таких сообщений с вложениями могут встречаться и рассылки с вирусами», – предупреждает Мария Вергелис. При открытии документа в таких случаях может запускаться макровирус, способный парализовать работу компьютера пользователя и завладеть его личной информацией.
Также встречаются примеры фишинга, где пользователя просят перейти по поддельной ссылке и ввести данные банковской карты. За такую «регистрацию» пользователю обещают участие в розыгрыше крупных денежных призов и билетов на матчи.

«Среди классического спама мы также встречаем немало предложений с продажей футбольной атрибутики, услуги транспорта и проживания в России на момент проведения ЧМ, а также туристические пакеты от различных маленьких агентств», – добавляет Мария Вергелис.

Андрей Брызгин, руководитель направления «Аудит» Group-IB, считает действия кибермошенников настоящей слежкой: «Преступники могут не только наблюдать за вашими действиями, но и манипулировать ими: например, перенаправить вас на фишинговую страницу, вывести на устройство уведомление о необходимости установить важное обновление легальной программы и загрузить под его видом вирус».




Глобальные диверсии и последствия

Опасность грозит не только обычным пользователям, но и инфраструктуре ЧМ, предупреждают эксперты.

По словам Дмитрия Волкова, руководителя департамента Threat Intelligence и CTO Group-IB, в преддверии чемпионата мира по футболу ожидается всплеск вредоносной активности по всем направлениям (фишинг, трояны, трояны в банкоматах, целевые атаки).

Особое внимание стоит уделить диверсиям. Например, во время церемонии открытия зимних Олимпийских игр в Пхенчхане (Южная Корея) атака на компьютерные сети привела к проблемам с телетрансляцией, работой сети Wi-Fi и сайта pyeongchang2018.com. Хакеры использовали вирус Olympic Destroyer, который уничтожает файлы и выводит системы из строя.

С. Голованов также указал на вероятные угрозы инфраструктуре ЧМ: «Это отключение трансляции, отсутствие интернета (как это было в Корее), отключение электричества (как на Украине), DDoS-атаки на официальный сайт…».

В Group-IB считают, что основной ущерб от кибератак для частных компаний – это деньги (убытки, недополученная прибыль).

Если же говорить про международные соревнования, то успешное кибернападение – это в первую очередь удар по репутации страны

Да и последствия могут быть самыми плачевными. Всего за три майских дня 2017 года вирус-шифровальщик WannaCry атаковал 200 тыс. компьютеров в 150 странах мира. Он повлиял на работу университетских сетей в Китае, заводов Renault во Франции и Nissan в Японии, телекоммуникационной компании Telefónica в Испании и железнодорожного оператора Deutsche Bahn в Германии. Ущерб оценили в 1 млрд долларов.

27 июня прошлого года на Украине зафиксирована масштабная кибератака с использованием новой модификация локера-шифровальщика NotPetya, который частично затронул компании в России, США, Индии, Австралии и других странах. Датский логистический гигант Moller-Maersk потерял из-за вируса шифровальщика от 200 до 300 млн долларов.

«События прошлого года наглядно продемонстрировали, что многие компании и даже государства проигрывают преступникам в технологиях», – напоминают в Group-IB. Хакеры становятся более быстрыми и незаметными – они применяют готовые программные модули, которые, как конструктор, собирают под конкретную задачу, автоматизируют процессы, используют бестелесные программы, которые работают только в оперативной памяти. В руки преступников в результате утечек попадают хакерские инструменты, разработанные по заказу спецслужб.

В Group-IB считают, что одна из причин успешных кибератак – неправильная оценка рисков при построении систем защиты. Как правило, инциденты происходят в компаниях (и странах!), уверенных, что они надежно обезопасили себя. Многие организации не понимают, что такое современная компьютерная преступность, как проводят атаки и какие решения используют. Очень часто в компаниях игнорируют инструменты киберразведки (Threat Intelligence). А ведь без знаний о том, кто враг и как он действует, победить его просто невозможно, убеждены эксперты.


Способы защиты пользователя

Самый надежный способ не быть обманутым для пользователя – это всегда быть начеку и следовать правилам. Эксперты Group-IB и «Лаборатории Касперского» рекомендуют болельщикам покупать билеты и атрибутику только на официальном сайте FIFA.

А. Костин советует:

«Всегда необходимо проверять адрес сайта и ссылки, по которой хотите перейти, чтобы, например, что-либо приобрести, а лучше вводить название сайта вручную»

«Чтобы защититься, пользователям ни в коем случае нельзя открывать вложения от неизвестных отправителей, не передавать свои личные и финансовые данные третьим лицам, не пользоваться услугами спамеров и не приобретать товары, рекламируемые в спам-сообщениях», – говорит М. Вергелис.

А. Костин также советует завести для онлайн-покупок отдельную банковскую карту и счет с лимитированной суммой. Это позволит избежать серьезных финансовых потерь в случае кражи банковской информации. Чтобы быть полностью спокойным за свои данные, лучше установить надежное защитное решение с актуальными базами зловредных и фишинговых сайтов.

Недавно стало известно, что технические специалисты ФСБ проверяют отели, где будут проживать игроки и персонал команд – участниц чемпионата мира по футболу, говорит руководитель департамента Threat Intelligence и CTO Group-IB Дмитрий Волков. По его словам, представители спецслужбы тестируют оборудование Wi-Fi, поскольку, перехватив сессию в публичной сети, злоумышленники могут авторизоваться и получить данные постояльцев – доступ к социальным сетям, личным кабинетам в финансовых организациях.

Нельзя забывать, что мошенников особенно привлекают данные банковских карт. В связи с этим Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) опубликовал на своем сайте советы для граждан и банковских учреждений по защите от действий злоумышленников.

Болельщики смогут серьезно снизить риск попасться на уловки киберпреступников, если будут следовать рекомендациям экспертов. Но самое главное – это быть внимательным и помнить, где обычно лежит бесплатный сыр.

Изображение: RSpectr, freepik.com