Инфоповод для фишинга

Рост регистраций поддельных сайтов возникает при наличии резонансных событий

Хакеры сосредоточились на сценариях персонализированных атак, сохраняя механизмы их реализации. Злоумышленники стали активно предлагать генерации дипфейков на заказ другим преступникам. Самое главное в борьбе с фишингом – это повышение осведомленности об онлайн-инцидентах в обществе, отмечают эксперты.

ТАРГЕТИРОВАННОЕ МОШЕННИЧЕСТВО

В сентябре 2022 года 98% обращений о неправомерном использовании доменных имен в адрес российских регистраторов составили жалобы на фишинг, по данным Координационного центра доменов .RU/.РФ. Мошенники переходят от простых имитаций сайтов к более сложным схемам, которые модифицированы под поведение пользователя, отметила в разговоре с RSpectr руководитель проектов Координационного центра доменов .RU/.РФ Ольга Баскакова.

Массовая рассылка поддельных SMS, сообщений в мессенджерах или электронной почте сменилась персонализированным подходом, подтвердил RSpectr руководитель группы по защите от фишинга CERT-GIB Иван Лебедев.

Иван Лебедев, CERT-GIB:

– Теперь генерируется отдельная, таргетированная ссылка, использующая параметры потенциальной жертвы (страна, часовой пояс, язык, IP, тип браузера) для отображения релевантного контента на мошеннической странице.

Ольга Баскакова, Координационный центр доменов .RU/.РФ:

– Кроме того, мы сейчас наблюдаем появление схем с вовлечением большого числа переадресаций, что усложняет отслеживание конечного ресурса и его оперативную блокировку.

Стать участником преступной группы, занимающейся кражей данных, теперь проще, утверждают эксперты Managed Defense. В октябре аналитики обнаружили платформу Caffeine, работающую по модели «фишинг как услуга» (PhaaS). Сервис имеет низкую стоимость и открытую регистрацию, которая позволяет войти в систему любому, у кого есть электронная почта.

Хакеру уже не нужно работать через подпольные форумы или службы зашифрованного обмена сообщениями

Не удивительно, что количество жалоб пользователей на поддельную рекламу со ссылками на различные фишинговые сайты в октябре в сравнении с сентябрем 2022 года выросло почти на 300%, отметили в ВТБ.

Сбер в октябре предупредил о новой фишинговой схеме. Мошенники рассылают письма от имени различных онлайн-сервисов с угрозой блокировки аккаунта.

РЕЗОНАНС КАЖДЫЙ ДЕНЬ

Злоумышленники чаще меняют не инструменты, а сценарии, под которые адаптируют атаки, объяснил RSpectr руководитель отдела информационной безопасности «СёрчИнформ» Алексей Дрозд. По его словам, всплеск регистраций любых фишинговых сайтов лишний раз показывает, что мошенникам хорошо удается обыгрывать любое сколько-то резонансное событие.

Инфоповоды появляются чуть ли не каждый день, утверждает аналитик исследовательской группы Positive Technologies Федор Чунижеков. Эксперт рассказал, что из недавних атак можно выделить кампанию APT-группировки Tonto в отношении нескольких российских госучреждений и организаций из телекоммуникационного сектора.

Федор Чунижеков, Positive Technologies:

– Злоумышленники использовали инфоповод об увеличении числа кибератак на организации и рассылали фишинговые уведомления от имени Российского центра реагирования на компьютерные инциденты (RU-CERT). При открытии этих писем устройство жертвы компрометировалось шпионским ПО Bisonal, которое собирает информацию об устройстве и учетные данные пользователя.

Одна из новых форм фишинга, которую адаптировали под аудиторию, – это атака Browser-in-the-Browser (BitB). Злоумышленники заманивают пользователя на сайт, где есть упомянутый резонансный инфоповод, и предлагают зарегистрироваться, например, на мероприятие через свой профиль, уточнил Алексей Дрозд.

Летом c помощью BitB мошенники атаковали геймеров, рассказал Иван Лебедев. По его словам, эксперты Центра реагирования на инциденты информационной безопасности Group-IB обнаружили более 150 мошеннических ресурсов, маскирующихся под платформу дистрибуции компьютерных игр Steam.

Основная опасность атак BitB в том, что жертве труднее распознать фишинг

Иван Лебедев, CERT-GIB:

– BitB была впервые описана весной этого года исследователем mr.d0x. Она позволяет создавать на фишинговом ресурсе поддельное окно браузера, на первый взгляд неотличимое от настоящего. Жулики решили воспользоваться тем, что на платформе Steam аутентификация пользователя происходит во всплывающем окне (pop—up), а не в новой вкладке.

Pop-up на самом деле не окно, а его рисунок, уточнил Алексей Дрозд. Эксперт объяснил, что человеку сложно распознать фишинг в хорошо отрисованной картинке.

Пользователь вряд ли будет анализировать, настоящее перед ним окно или нет, считает старший контент-аналитик «Лаборатории Касперского» Антон Яценко. Он пояснил RSpectr, что оно выглядит как стандартное в браузере, у него есть значки безопасности и легитимный URL в адресном поле.

BitB отличает то, что классические меры защиты против него не сработают, уточнил Алексей Дрозд.

Федор Чунижеков рассказал, как внимательный пользователь сможет выявить такую атаку:

• Если свернуть окно браузера, где появилась форма, а всплывающее окно уходит вместе с ним, – она поддельная.
• Если всплывающая форма использует незащищенный протокол, содержит опечатки в адресной строке, вводить данные не стоит.

Алексей Дрозд, «СёрчИнформ»

– Обезопасить себя можно, только проверив, как ведет себя страница: открывается ли новое окно в панели задач; можно ли изменить его размеры; можно ли переместить его за пределы «родительской» вкладки, например, на другой монитор. Обратить внимание, работают ли привычные элементы, как обычно. Например, по нажатию на зеленый замочек можно посмотреть, кем выдан сертификат.

Бывает, что фейковое окно мимикрирует под привычную картинку в Windows 10, рассказал Антон Яценко. Если у пользователя альтернативная ОС, Windows с нестандартными темами или его старая версия, то отличия можно заметить, считает эксперт.

Антон Яценко, «Лаборатория Касперского»:

– С точки зрения разработки тут нет ничего нового. Используется HTML-верстка с элементами интерактивности, встроенный фрейм внутри фальшивого окна, скрипты, отвечающие за отправление формы злоумышленнику.

В сентябре

эксперты компании зафиксировали более 40,5 тыс. попыток перехода пользователей в России на фишинговые ресурсы, эксплуатирующие тему продуктов Microsoft

ПОЗВОНИ МНЕ, ПОЗВОНИ

Среди вариаций мошенничеств, связанных с кражей личных данных, используется голосовой фишинг – вишинг (сплав слов voice и phishing). Напомним, что учетные данные сотрудников Cisco весной 2022 года злоумышленники взломали в том числе с помощью вишинга.

Федор Чунижеков рассказал, что активизировалась группировка BazarCall, которая использует реальные мошеннические кол-центры для распространения вредоносного ПО и кражи денежных средств у своих жертв. Их заманивают таким образом, что они звонят злоумышленникам сами.

Федор Чунижеков, Positive Technologies:

– Выявить такие атаки сложно из-за того, что письма-приманки не содержат никаких ссылок, что делает антифрод-решения бесполезными, а пользователь самостоятельно загружает вредоносное ПО на устройство по инструкции оператора.

Стоит опасаться новых фишинговых атак с использованием дипфейков, отмечает Алексей Дрозд. По его словам,

злоумышленники уже предполагают услуги по генерации дипфейков «на заказ», хотя раньше их создавали в основном своими силами

Алексей Дрозд, «СёрчИнформ»

– Если будет спрос, то появятся платформы, на которых можно будет создавать подменные личности в режиме реального времени.

Необычный прием мошенничества был замечен на одном из сайтов, на котором чат-бот поддержки, при поддержании диалога с ним, выдавал инструкции для перехода на фишинговую страницу, отметил Федор Чунижеков. Там похищались данные платежных карт, а для запутывания жертвы мошенники даже реализовали подтверждение по коду из SMS и Captcha.

АЛГОРИТМЫ И ЗНАНИЯ КАК ПОДДЕРЖКА

Рынок и регулятор ищут способы противодействия угрозам. Летом Минцифры запустило информационную систему (ИС) мониторинга фишинговых сайтов. Оператором ИС является ФГБУ «НИИ «Интеграл».

Новая ИС автоматически выявляет сайты, которые маскируются под официальные ресурсы госорганов, компаний, популярных маркетплейсов и социальных сетей.

Только за последний месяц системой выявлено около 9 тыс. фишинговых и мошеннических сайтов, рассказали RSpectr в пресс-службе Минцифры. Число ложных срабатываний в ИС постоянно уменьшается.

Минцифры, пресс-служба:

– Система позволяет получать информацию о новых, перерегистрированных, перенесенных доменных именах в интернете – порядка миллиона в час в режиме, близком к реальному времени, с задержкой несколько минут. А также верифицировать обнаруженные подменные ресурсы по различным источникам – не менее 80.

Аналитиками осуществляется гибкое смещение векторов поиска системой неправомерного контента в соответствии с информационными поводами, рассказали в Минцифры. Примером последнего месяца работы является большое количество выявленных ресурсов с фейками о частичной мобилизации. В частности, о фальшивых предложениях получить социальные выплаты, связанные с отправкой в зону боевых действий.

В октябре Минцифры совместно с Санкт-Петербургским госуниверситетом телекоммуникаций им. проф. М.А. Бонч-Бруевича и компанией «РТК-Солар» запустили ресурс «КиберЗОЖ». В спецпроекте в том числе говорится о том, как создавать надежные пароли, защищать мобильное устройство, не попадаться на фишинг и проверять безопасность сайтов, отметили в пресс-службе министерства.

Наталия Черкасова