Пароль от карты, где деньги лежат
Какие сюрпризы приготовили кибермошенники и как от них защититься
Эксперты бьют тревогу и называют стремительный рост цифровой преступности главным трендом наших дней. Только в 2020 году объем черного рынка украденных данных банковских карт (кардинга) вырос в два раза – до 2 млрд долларов, подсчитали в Group-IB. Каковы последние тренды в фишинге, как злоумышленникам удается держать руку на пульсе событий и возможна ли стопроцентная защита от аферистов в интернете – в материале RSpectr.
УВЛЕКАТЕЛЬНЫЙ МИР ФАЛЬШИ И ЛЖИ
Фишинг – наиболее распространенный прием интернет-мошенничества для получения конфиденциальных данных. Например, это рассылка электронных писем с вредоносными ссылками или зараженными вложениями. Их содержание отражает актуальные потребности людей или просто играет на их чувствах. При этом письма выглядят как сообщения от известных компаний и госучреждений. Мошенники даже могут замаскировать адресанта под организацию, в которой вы работаете, и предложить скачать документы, чтобы заразить компьютер вирусами-шифровальщиками и шпионами. С их помощью злоумышленники охотятся за коммерческой информацией, учетными данными или деньгами пользователей.
Поддельными могут быть сайты, страницы в соцсетях и мессенджерах, выглядящие как настоящие ресурсы.
Алексей Марченко, руководитель отдела развития методов фильтрации контента «Лаборатории Касперского»:
– Фишеры часто используют в своих схемах крупные бренды и знаменитостей. Также наиболее привлекательными для мошенников стали банки, пенсионные фонды, государственные лотереи. То есть те, кому доверяют.
Преступники получают в результате своих действий немалые деньги. Например, выручка мошенников только от фейковых рекламных акций, прошедших на взломанных онлайн-страницах известных людей, составляет более 500 млн рублей в год.
Власти обещают открыть на портале «Госуслуги» сервис экстренного реагирования на фишинг и телефонный спам
По словам замглавы Минцифры Максима Паршина, главное в борьбе с фишинговыми сайтами – это скорость их удаления.
Максим Паршин, Минцифры:
– В нашем понимании, должна быть возможность блокировать фишинговый сайт в течение часа. То есть создавать вредоносный сайт должно быть дороже, сложнее, нежели его закрыть.
Новый сервис заработает до конца 2021 года.
НОВОЕ – ЭТО ТВОРЧЕСКИ ПЕРЕРАБОТАННОЕ СТАРОЕ
При этом технически фишинг – очень простая атака, главная задача злоумышленника – заставить пользователя кликнуть по ссылке или открыть вредоносное вложение, пояснил RSpectr бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий.
Он отмечает:
для создания фишингового письма может быть использован любой информационный повод
Алексей Лукацкий, Cisco Systems:
– Постоянно идет смена текста [сообщений] – от рассылок от имени портала «Госуслуги» до запугивания Роскомнадзором или судебными приставами, от рекламы услуг сдачи налоговой отчетности до писем от службы безопасности банка, от интернет-магазина продажи вакцины от COVID-19 до выплат соцпособий, от продажи паспорта вакцинированного до помощи с выездом на летний отдых в закрытые из-за пандемии страны.
Если раньше злоумышленникам достаточно было изготовить грубую подделку реального сайта или использовать схематичный повод для вымогания денег и данных, то сейчас интернет-пользователи стали более бдительными, отмечает в разговоре с RSpectr начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд. Поэтому мошенники постоянно усложняют и меняют уже отработанные сценарии обмана под текущую ситуацию. Киберпреступники копируют содержимое онлайн-магазинов, маскируют фейковые страницы под сайты оформления заказов, используя слова order (заказ), delivery (доставка), pay (оплата) и создают похожие домены.
А.Дрозд подчеркивает:
понять, что домен типа Wildberries-pay.ru – фишинговый сайт, а не страница, куда сервис переадресовал вас для оплаты, сложнее даже продвинутым пользователям онлайн-шопинга
Крупные компании сейчас формируют собственные цифровые экосистемы. Пользуясь этим, фишеры выдают фейковые сервисы за настоящие. Например, в 2020 году появилось множество доменов sber-burger, sber-maps, sber-disk, sber-book, sber-mobil и т.д. Пандемия предоставила злоумышленникам огромное поле деятельности. Появились фейковые тесты на коронавирусную инфекцию, оформление цифровых пропусков и т.д.
Алексей Дрозд, «СёрчИнформ»:
– Пока мы больше видим новостей о нелегальной продаже вакцин, но не исключаю, что для фишинга тема вакцинации и «ковид-паспортов» тоже будут использоваться.
ТЕМА ГОДА – ТУРИЗМ
Одной из самых ярких тем 2020 года стал внутренний туризм, получивший развитие из-за закрытия государственных границ. По словам заместителя руководителя Центра реагирования на инциденты информационной безопасности Group-IB Ярослава Каргалева, в августе прошлого года злоумышленники:
- размещали фейковые объявления о горящих предложениях, скидках и акциях несуществующих апартаментов на популярных сайтах объявлений;
- создавали сайты – клоны известных агрегаторов по аренде жилья, например, Booking.com;
- создавали сайты – клоны гостиниц и загородных домов и эксплуатировали тему срочности; например, утверждалось, что свободным остался только один номер, который сейчас просматривают еще полторы сотни потенциальных арендаторов.
Второй всплеск мошенничества в туризме наблюдался перед рождественскими каникулами.
Ярослав Каргалев, Group-IB:
– Если до пандемии злоумышленники подделывали сайты по продаже авиабилетов, то в 2020 году появилось большое количество фейковых страниц для покупки железнодорожных билетов. Особой популярностью пользуются сайты-клоны по продаже фальшивых билетов на поезд «Сапсан».
Для этого
мошенники регистрируют схожее с настоящим доменное имя, создают копию реальной платформы и усиленно ее рекламируют
Например, покупают в популярных поисковиках (Google или «Яндекс») рекламные места по запросам «покупка билетов», «билеты поиск онлайн». Таким образом, в поисковой выдаче сайты-клоны появляются выше настоящих ресурсов.
С открытием границ все становится на свои места: перед туристическим сезоном 2021 года вновь выросло количество фейковых сайтов по продаже авиабилетов. Многие из них даже не замаскированы под популярные бренды, а просто выдают себя за новые сервисы, отмечают участники рынка.
ПСЕВДОГОСУСЛУГИ
Различные социальные выплаты, которыми власти поддерживали приунывших на самоизоляции россиян, не могли не привлечь внимание злоумышленников. С начала пандемии мошенники рассылают письма, напоминающие сообщения портала Госуслуг. В них получателю предлагается ввести номер СНИЛСа якобы для получения положенных выплат. Для оформления нужно перейти в личный кабинет, а после перехода по ссылке в браузере открывается окно, в котором «счастливчик» должен указать номер своей банковской карты, на которую «вскоре придут» деньги.
Власти заявляют, что ведут постоянный мониторинг ресурсов с доменными именами, похожими на www.gosuslugi.ru. При этом на большинстве обнаруженных доменов контент просто отсутствует. Часть подобных ресурсов блокируется сразу, за остальными наблюдают до выявления неправомерного контента или действий. В марте замглавы Минцифры Олег Качанов заявил, что рассылки от Госуслуг никогда не содержат призывов оставить номер СНИЛС или банковские реквизиты. Он напомнил, что уведомления пользователям портала приходят в личный кабинет и в виде push-рассылки в приложение.
НОВЫЕ ТРЕНДЫ
- Одно из последних ноу-хау мошенников – точечная атака на конкретную жертву. За ней длительное время следят через соцсети, изучают ее слабые и сильные стороны. Подготовка атаки может занимать длительное время, но и ее эффективность будет на порядок выше массовой.
- Старый добрый банковский фишинг получил второе дыхание. В Нидерландах зафиксировано несколько мошеннических рассылок с предложением отсканировать QR-код из письма, чтобы «решить проблему с интернет-банкингом». Также для атак на клиентов кредитных организаций злоумышленники активно используют тему коронавирусной инфекции, предлагая получить компенсации своим «клиентам», потерпевшим убытки во время пандемии, сообщили RSpectr в «Лаборатории Касперского».
- В 2020 году появились рассылки, в которых аферисты просят внести небольшую доплату за какую-либо услугу. Чаще всего это поддельные извещения от служб доставки или почты. Встречаются также фейковые предложения о продлении использования сайта или подписки на канал в мессенджере.
- Новой классикой фишинга можно назвать скам (от англ. scam – афера, мошенничество). В 2020 году «Лаборатория Касперского» заблокировала 80 млн попыток перехода на различные мошеннические сайты. Треть из них – 27 млн – касались скам-ресурсов. Схема почти всегда одна и та же: под предлогом выгодной акции или другого денежного вознаграждения злоумышленники заманивают пользователя на свой ресурс. Обещанную выплату мошенники специально не завышают, чтобы предложение казалось реалистичным – ее сумма может составлять несколько десятков или сотен тысяч рублей. Когда человек проходит все этапы опроса или анкеты, его просят перевести «закрепительный платеж», около 300 рублей. В итоге никаких денег человек не получает, а «комиссия» уходит злоумышленникам.
- Успешно развиваются псевдоинвестиционные программы заработка на электронных валютах, вновь начали появляться поддельные приложения криптобирж и криптокошельков. Примером может служить банковский троян Android.Banker.3684, отмечает эксперт «Доктор Веб» Александр Горячев.
- Псевдоброкеры орудовали в интернете и ранее, но во второй половине прошлого года наблюдался особенный всплеск их активности. Он связан с денежно-кредитной политикой Центробанка РФ, который в 2020 году снизил ключевую ставку до исторического минимума. Из-за этого банковские вклады для большинства держателей капитала стали непривлекательными. По данным Московской биржи, 2020 год для российского рынка – рекордный по притоку частных инвесторов.
Ярослав Каргалев, Group-IB:
– Совсем недавно была обнаружены сеть ресурсов псевдоброкера – около 50 сайтов, маскирующихся под легальные инвесткомпании. Жертву «обрабатывают» с помощью звонков на телефон и сообщений в соцсетях.
Обманутый переводит «первый взнос» – 50 тыс. или 100 тыс. рублей. Затем брокер перестает выходить на связь, а сайт фирмы – работать. С начала пандемии в «Яндексе» зафиксировано более 700 жалоб на псевдоброкеров. По данным Group-IB, ущерб от действий мошенников в каждом отдельном кейсе в среднем составлял десятки тысяч долларов.
- Во второй половине 2020 года возросло количество атак на телеграм-каналы. Чтобы получить доступ к учетной записи, можно просто похитить конфигурационные файлы Telegram, хранящиеся на компьютере, с которого человек выходил в мессенджер. Завладев файлом, мошенники могут получить доступ к администраторскому аккаунту. Как правило, для этого используются вредоносные программы класса Stealer, предназначенные для кражи сохраненных в системе паролей.
ЦИФРОВАЯ ГИГИЕНА
Итак, киберпреступники постоянно обновляют схемы и легенды своих афер, но основные приемы и инструменты, которые они используют, остаются прежними. Поэтому рекомендации по защите от фишинга – в рамках обычных правил цифровой гигиены:
обновлять ПО, использовать сложные пароли, регулярно менять их, не открывать подозрительные ссылки
В любом интернет-сервисе должна быть подключена двухфакторная аутентификация через SMS. Еще лучше – через отдельные приложения, например, через идентификатор Google. Если какой-то сервис не использует двухфакторную аутентификацию – лучше его избегать.
Так вы станете для злоумышленников крепким орешком, ведь у киберпреступников тоже есть KPI. Если они понимают, что атака на какой-то объект займет слишком много времени, то переключаются на другие, более доступные цели, обращают внимание эксперты.
Конечно, службы безопасности сервисов могли бы установить большое количество барьеров. Но тогда начался бы отток клиентов из-за слишком сложной процедуры аутентификации (трудно залогиниться, длинные пароли).
Я.Каргалев полагает,
безопасность – это всегда компромисс между легкостью и сложностью использования сервиса
По мнению А.Лукацкого, для защиты от фишинга нужно не только обучать пользователей цифровой грамотности и формировать у них критическое отношение к коммуникациям в интернете, но и развивать технологии поведенческого контроля, которые оценивают сообщения не по отдельности, а в совокупности.
Алексей Лукацкий, Cisco Systems:
– Нужен анализ истории поведения отправителей сообщений, серверов, с которых они высланы, а также оценка веб-страниц, на которые ведут ссылки в сообщениях.
Только так число успешных фишинговых атак будет сведено к минимуму, уверен эксперт.
Изображения: RSpectr, Freepik.com
ЕЩЕ ПО ТЕМЕ:
