Основная статья: Фишинг

Фишинговые сайты в России

Основная статья: Фишинговые сайты в России

2024

В App Store появились поддельные приложения ВТБ и Тинькофф-банка, которые крадут данные пользователей

В App Store появились поддельные приложения ВТБ и Тинькофф Банка, которые крадут данные пользователей. Об этом в Министерстве внутренних дел (МВД) РФ сообщили 10 апреля 2024 года. Подробнее здесь.

В России мошенники начали отправлять на смартфоны push-уведомления, чтобы заполучить данные к Госуслугам

В России мошенники начали отправлять на смартфоны push-уведомления, чтобы заполучить данные к Госуслугам. О новой схеме кибермошенничества стало известно 25 марта 2024 года.

В этот день газета «Коммерсантъ» со ссылкой на Telegram-канал True OSINT (Open Source Intelligence, разведки по открытым источникам) опубликовала статью, в которой говорится о появлении фишинговых сайтов, маскирующихся под крупных операторов связи, где абоненту предлагается якобы верифицировать номер. Преступники рассылают push-уведомления для подтверждения паспортных данных по ссылке, ведущей на сайт якобы оператора, а затем на портал Госуслуг, где жертву просят ввести логин и пароль к личному кабинету. В случае успешной реализации такой схемы аферисты получают данные доступа к Госуслугам, и информацию о пользователей.

Мошенники начали отправлять на смартфоны push-уведомления, чтобы заполучить данные к Госуслугам

Эксперты True Osint обращают внимание на то, что мошенники используют полученные данные для таргетированных атак через звонки (фрод). Руководитель сервиса мониторинга внешних цифровых угроз Solar Aura группы компаний «Солар» Александр Вураско подтвердил рост фишинговых атак «якобы от лица операторов». В компании по кибербезопасности Angara Security предупреждают, что подобные схемы несут угрозу не только для абонентов, но и для самих операторов связи: снижается доверие к коммуникации с компанией, соответственно, конверсия от рекламных сообщений бренда падает.Объём данных Казначейства прирастает на 22-25% ежегодно. Как развивается экосистема сервисов датацентричного ведомства 40.7 т

Телекоммуникационные операторы по запросу издания прокомментировали появление в РФ новой схемы мошенничества. В «МегаФоне» и МТС отметили, что такие фишинговые ресурсы выявляют при помощи собственных антифишинговых платформ. В Tele2 заявили «Коммерсанту», что «значительного роста мошенничества с использованием фишинга не наблюдают».^[1]

Кибергруппировка рассылает российским промышленным компаниям очень убедительные фишинговые письма якобы от госорганов

Компания BI.Zone, российская компания по управлению цифровыми рисками, 30 января 2024 года сообщила о сравнительно новой киберкампании, нацеленной на российские предприятия. Стоящая за ней группировка Scaly Wolf («Чешуйчатый волк») охотится за корпоративными данными. Большинство объектов атак — промышленные и логистические компании из России. Последняя такая атака отмечена в январе 2024 года. Подробнее здесь.

2023

Число заблокированных фишинговых ссылок в России выросло в 5 раз

По данным «Лаборатории Касперского», в 2023 году объёмы онлайн-мошенничества в России значительно выросли. Количество фишинговых и скам ссылок в доменной зоне .RU, которые заблокировала компания, увеличилось более чем в 5 раз по сравнению с 2022 годом. Об этом «Лаборатории Касперского» сообщила 22 января 2024 года^[2].

Тренды в 2023 году. Одна из наиболее распространённых целей фишеров в России в течение года — аккаунты людей в мессенджерах. Злоумышленники часто использовали их в рамках многоступенчатых схем телефонного мошенничества и для реализации фишинговых атак на пользователей из списка контактов жертв.

Мы не видим предпосылок к тому, чтобы объёмы фишинга и скама в ближайшее время снизились. Наоборот, злоумышленники продолжают развивать свои тактики и разрабатывать многоступенчатые схемы выманивания данных, например ссылаться на сферу деятельности жертвы. Такие атаки значительно усложняются в случаях, когда начинаются с сообщения в мессенджере якобы от знакомого или сотрудника той же сферы или сопровождаются фальшивыми голосовыми сообщениями, — сказал Сергей Голованов, главный эксперт «Лаборатории Касперского».

Также в 2023 году в России увеличилось количество вредоносных ссылок — в 2,5 раза по сравнению с 2022 годом. К этой категории относятся страницы, содержащие ссылки на вредоносные программы, а также интернет-ресурсы, необходимые для работы вредоносов.

Телефонное мошенничество. Объёмы телефонного мошенничества остаются на стабильно высоком уровне. Так, в 2023 году 43% пользователей приложения Kaspersky Who Calls поступали звонки с неизвестных номеров с подозрением на мошенничество*. При этом пик пришёлся на ноябрь — в этом месяце 18,5% пользователей получали такие звонки. С различными спам-звонками в 2023 году сталкивались 94%.

Злоумышленники всё время совершенствуют свои инструменты и методы убеждения, поэтому решения для защиты от телефонного спама становятся всё более актуальными. Они подскажут, если входящий вызов — нежелательный. Например, наше приложение предупреждает, что на номер поступали жалобы на мошенничество не только в рамках "классических" звонков, но и в мессенджере. В целом важно помнить, что ни в коем случае не стоит называть посторонним коды из СМС и push-уведомлений, а если разговор кажется подозрительным, сразу завершайте звонок, — напомнил Владимир Григорьев, аналитик Kaspersky Who Calls.

В ответ на актуальные вызовы в 2023 году в решении Kaspersky Who Calls появился функционал определения номеров в WhatsApp (принадлежит компании Meta, её деятельность признана экстремистской и запрещена в России). С его помощью можно видеть, от какой организации поступает звонок (например, из службы доставки или магазина), а также выявлять и блокировать в мессенджере спам-номера и звонки с подозрением на мошенничество.

Выявлены новые партнерские программы мошенников с розыгрышами и криптоинвестициями

14 декабря 2023 года компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, сообщила о том, что выявила с начала 2023 года 10 активных мошеннических партнёрских программ для координации владельцев и распространителей ссылок на скамерские и фишинговые сайты, нацеленных на пользователей из России. Самыми популярными в 2023 году схемами у партнеров являются фейковые розыгрыши призов и криптоинвестиции. Ежемесячно одна такая программа может приносить участникам «партнерского сообщества» около 4 300 000 рублей.

Как сообщалось, в исследовании аналитиков департамента Digital Risk Protection компании F.A.C.C.T. говорится о том, что партнерские программы позволяют мошенникам масштабировать незаконный бизнес, привлекать больше жертв и увеличивать прибыль за счет разделения задач по привлечению трафика, генерации фишинговых страниц, рассылки писем и сообщений. На специальных ресурсах — теневых маркетплейсах и в закрытых Telegram-каналах— мошенники приобретают как уже готовые фишинговые ресурсы, так и шаблоны страниц, блоки и формы для оплаты, а также трафик за долю от украденных у жертв денег.

По данным аналитиков Digital Risk Protection компании F.A.C.C.T., с начала 2023 года было выявлено 10 крупных активных партнёрских программ, нацеленных на потенциальных жертв из России. В целом на русскоговорящих пользователей направлено около 87% обнаруженных ресурсов, распространяемых подобным образом.

Специалисты F.A.C.C.T. детально изучили инфраструктуру нескольких партнерских программ. По данным на лето 2023 года, в среднем на платформе партнерской программы было размещено 156 активных предложений, максимальное количество партнеров в одном предложении — 746.

За месяц участники партнерских программ похищают у жертв более 17 400 000 рублей за 23 500 платежей. «Средний чек» составляет 740 рублей.

В одной из партнёрских программ, запущенной во второй квартале 2023 года, за три летних месяца прибыль выросла в три раза: с 908 000 рублей в июне до 3 118 000 рублей в августе.

Автор предложения (оффера) регистрирует домен, создает мошеннические веб-страницы с тематическим дизайном, размещает их на хостинге. Затем выставляет оффер с созданным сайтом на платформе партнерской программы. В основном, мошеннические страницы посвящены лотереям с выбором коробочки с призом, инвестициям в криптовалюты, особенно "выгодным" акциям от маркетплейсов. Реже встречаются предложения жертвам купить "красивое" доменное имя для сайта.

Администрация партнерской программы проверяет размещенный сайт и предоставляет фишинговые формы или формы приема оплаты для добавления на сайт.

Партнёры выбирают оффер, получают реферальную ссылку для распространения и привлекают трафик на эту ссылку доступными способами — электронными письмами, сообщениями в социальных сетях, СМС и мессенджерах, рекламой.

Как правило, партнер получает в среднем 60-90% от суммы украденных денег, а автор оффера — 10-40%.

Несмотря на то, что партнерские программы существуют уже как минимум с 2018 года, подобные формы нелегального бизнеса в последнее время пользуются особой популярностью у злоумышленников и продолжают создавать угрозу для интернет-пользователей. Если одни «партнерки» закрываются, их место занимают другие проекты, которые очень быстро набирают популярность. Количество используемых брендов в схемах активно расширяется, нанося как материальный ущерб жертвам схемы, так и репутационный — эксплуатируемым брендам. Основываясь на динамике роста, мы прогнозируем дальнейшее расширение «партнерок» и призываем пользователей сохранять бдительность, чтоб не стать легкой наживой для злоумышленников. поведал Евгений Егоров, ведущий аналитик департамента Digital Risk Protection компании F.A.C.C.T.

Эксперты F.A.C.C.T. напоминают о необходимости соблюдать базовые правила цифровой грамотности:

• Проверять доменное имя сайта, на котором находится пользователь. Воспользоваться Whois-сервисами для определения даты создания домена. Если сайт выдает себя за популярный бренд, но был создан недавно, это должно насторожить.
• Не оплачивать товары или услуги и не вводите свои персональные данные, если нет уверенности в том, что пользователь находится на легитимном сайте.
• Скептически относится к рекламе в интернете. Даже на легитимных ресурсах может быть размещена реклама, ведущая на мошеннические ресурсы.

Для защиты брендов от репутационных рисков и прямого ущерба, связанного с их незаконным использованием на поддельных сайтах, компаниям следует использовать автоматизированные решения, сочетающие анализ данных киберразведки и возможности машинного обучения.

Большинство фишинговых атак помогает генерировать софт из даркнета

Более 80% фишинговых рассылок делаются с софта, который злоумышленники покупают в даркнете. Самые популярные программы стоят от 299 рублей, а некоторые и вовсе распространяются бесплатно. С их помощью можно украсть пароли и учетные данные. Есть и дорогие программы, которые дают доступ к Telegram пользователя и позволяют перехватывать нажатия клавиш - их стоимость доходит до $15 000. Об этом 21 ноября 2023 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина.

Как подчеркивают авторы исследования - BI.ZONE Threat Intelligence, на ноябрь 2023 года порог входа в киберпреступность сильно снижен - софт, приобретенный в дарктнете, позволяет использовать мошеннические инструменты хактивистам и киберпреступникам любого уровня. Кроме того, некоторые предложения предоставляют пользователям конструкторы для создания вредоносного программного обеспечения с возможностью доступа к управлению аккаунтами жертв.

Распространение фишинговых писем с коммерческим вредоносным ПО – один из самых простых способов получения первоначального доступа к инфраструктуре. Теневой рынок таких продуктов будет расти и развиваться, – отметил руководитель BI.ZONE Threat Intelligence Олег Скулкин.

По данным экспертов, в 2023 году хакеры применяли теневой софт для атак более чем на 100 тыс. компаний. Среди самых популярных вредоносных ПО - AgentTesla, FormBook, White Snake, RedLine, Snake Keylogger, DarkCrystal, DarkGate. Бесплатный софт AgentTesla используется, например, почти в половине фишинговых рассылок. На втором месте FormBook.

Многие киберпреступники активно используют бесплатные программы, чтобы снизить свои расходы на большое количество проводимых атак, отмечает член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.

Например, благодаря слаженной работе уполномоченных органов, мошенники теперь реже могут использовать российский хостинг для размещения мошеннических сайтов, нацеленных на пользователей из РФ. Из-за этого они переходят на хостинговые сервисы в Нидерландах и США, а значит затраты на обслуживание фишинговых ресурсов растут, так как хостинг за рубежом в обычно дороже. Всего за первые 9 месяцев 2023 года компания F.A.С.С.T. выявила 10,4 тыс. фишинговых сайтов, который были нацелены на пользователей из РФ. Это в сравнении год к году больше на 5%. Чаще всего, пользователи «попадаются» на фишинговые ресурсы под видом онлайн-сервисов, банков, служб доставки, соцсетей и почтовых сервисов, - отметил депутат.

Кроме того, снижать затраты на проведение кибератак мошенникам сегодня помогает и искусственный интеллект. По данным Positive Technologies, количество подобных атак будет расти.

В частности, ИИ помогает им поддерживать иллюзию осмысленного диалога с жертвами, а также генерировать фишинговые письма, создавать дипфейки голосов, изображений и видеороликов. Кроме того, на ноябрь 2023 года уже существуют генеративные нейросети, которые создаются специально для незаконной деятельности – например, WormGPT, которая предназначена для проведения фишинговых атак и компрометации корпоративной почты. Ее может использовать даже злоумышленник, который не обладает никакими специальными компетенциями и создавать при этом убедительные фальшивые письма, вести продолжительные атаки, - рассказал депутат.

Киберпреступники в 11 раз чаще стали использовать подмененные буквы во вредоносных письмах

Компания F.A.С.С.T. зафиксировала резкий рост попыток обхода антиспам-решений с помощью омоглифов — графически одинаковых или похожих друг на друга знаков во вредоносных рассылках. В третьем квартале 2023 года количество подобных писем в 11 раз превысило показатели аналогичного периода 2022 года. Самыми популярными подменными буквами у киберпреступников стали — Е, О, С, А. Об этом компания сообщила 31 октября 2023 года.

По данным специалистов Центра кибербезопасности F.A.C.C.T., резкий всплеск подмен в символах тем и текста в письмах с вредоносным вложением наблюдается с начала 2023 года. Так, подобную технику используют операторы стилера WhiteSnake, вредоносной программы для кражи учетных данных из браузеров, приложений и криптокошельков жертв. В августе стилер распространялся под видом письма от следователя. Тогда сотрудники компаний получали письма якобы с запросом дать показания по уголовному делу. На самом деле в рассылке был архив с вредоносом.

С одной стороны, расстановка омоглифов позволяет киберпреступникам и просто спамерам разослать больше писем, обходя встроенные фильтры почтовых сервисов на исходящие сообщения и снижая вероятность оперативной блокировки почтового адреса, откуда шла рассылка. С другой стороны — вредоносные письма таким образом обходят антиспам-системы во входящих письмах и могут дойти до адресатов.

Как правило, злоумышленники добавляют латинские символы-омоглифы в письма на русском языке. Самыми популярными литерами при заменах стали Е, О, С, А, при этом использование специальных символов или других алфавитов не обнаружено. В письмах из одной вредоносной рассылки могут встречаться различные варианты замен букв.

Судя по всему, старый трюк с омоглифами вполне работает. В 2023 году мы видим резкий всплеск использования во вредоносных письмах на русском языке подмены букв на латинские. — рассказал Ярослав Каргалев, руководитель Центра кибербезопасности F.A.С.С.T. — Такой простой прием может обмануть рядовую антиспам-систему, а получатель письма рискует скомпрометировать свою электронную почту, устройство или всю сетевую инфраструктуру компании, пройдя по фишинговой ссылке или открыв архив с вредоносом. А автоматизированную систему защиты электронной почты от фишинговых рассылок так легко не проведешь.

:

Выявлены приложения с вирусом-шпионом для кражи денег у влюбленных

27 октября 2023 года компания F.A.C.C.T. сообщила о еще одной версии мошеннической схемы Fake Date (с англ. — фейковое свидание). Теперь преступники пытаются украсть у жертвы деньги еще до покупки билетов в кино или театр под видом оплаты домашнего интернета или заказа такси, используя при этом фейковые мобильные приложения. Осенью 2023 года в России по схеме Fake Date работали 6 мошеннических групп, нелегальный заработок только одной из них за 10 дней превысил 6,5 млн рублей.

Классическая схема Fake Date выглядит следующим образом: под видом привлекательной девушки мошенник знакомится с потенциальной жертвой в соцсетях или на сайте знакомств и предлагает провести романтический вечер в театре, на стендап-шоу, в антикино, кальянной или заказать доставку ужина. Жертва получает ссылку на фишинговый сайт, оплачивает "билеты", а деньги и данные карты похищаются злоумышленниками. Бывает, что деньги списываются дважды или трижды — при покупке билета для "подруги" или оформлении "возврата".

После того, как об этой схеме стало довольно подробно известно, мошенники решили изменить механику. Теперь они похищают деньги намного раньше похода на первое свидание, а вместо фишинговых ресурсов уже используют мобильные приложение с внедренной шпионской программой.

После того, как между молодыми людьми уже возник интерес и доверие, "девушка" может внезапно исчезнуть из переписки или ее откровенные фото и видео будут очень долго загружаться. Выясняется, что у красотки возникли проблемы с оплатой домашнего интернета и внести небольшую сумму придется именно новому кавалеру.

Девушка скидывает ссылку на фейковый сайт сервиса, с которого нужно загрузить мобильное приложение. Спрятанная в нем шпионская программа способна перехватывать вводимые данные банковской карты и входящие смс-коды для кражи денег со счетов клиентов российских банков. Аналогичным образом действует схема с заказом такси, о чем также барышня может попросить своего нового знакомого.

По данным на сентябрь 2023 года, в России по схеме Fake Date работали 6 активных мошеннических групп. Действуя по схеме с фейковыми свиданиями только одно преступное сообщество за 10 дней смогло получить более 6,5 миллионов рублей за 721 операцию. Средняя сумма похищенного у одной жертвы составила около 9 000 рублей, при том, что у одной жертвы могло быть несколько списаний подряд. Для сравнения в начале 2023 года 7 наиболее активных в России группировок заработали на желающих пойти на свидание 5 миллионов рублей (в период с 12 по 14 февраля, 21-23 февраля и 6-8 марта).

В России классическая мошенническая схема Fake Date появилась еще в 2018 году. А после пандемии, с появлением новых инструментов для генерации фишинговых сайтов и использования переводов card-to-card, она переживает "второе рождение", — отметил Евгений Егоров, ведущий аналитик Digital Risk Protection компании F.A.C.C.T. — некоторые группы мошенников зарабатывают на Fake Date в два раза больше, чем те, кто работает по классической схеме "Мамонт" с оплатой товара. Это может быть связано с тем, что в схеме со свиданиями используется уже больше брендов (интернет-операторы, такси, театры, кино) для сценариев атак, нежели чем через продажу несуществующих товаров на досках объявлений — там используются только бренды двух популярных сервисов.

Вся "техподдержка" Fake Date по-прежнему осуществляется через Telegram: здесь воркеры (участники сообщества, привлекающие жертв на скачивание вредоносного приложения) получают ссылку на скачивание мобильного приложения — APK-файла, ведут свою теневую online-бухгалтерию, покупают чат-ботов или «голосовушки» — заранее записанные аудио и видеосообщения от лица девушек.

От подобных продвинутых киберугроз бренды могут защитить себя и своих клиентов только используя автоматизированные решения, сочетающих анализ данных киберразведки и возможности машинного обучения. Платформа F.A.C.C.T. Digital Risk Protection позволяет выявлять угрозы на ранних этапах их возникновения и обнаруживать мошеннические ресурсы ещё до того, как злоумышленники приведут туда трафик.

Пользователям эксперты F.A.C.C.T. напоминают о необходимости соблюдать базовые правила цифровой грамотности:

• Не переносить общение из чатов сервисов объявлений в мессенджеры.
• Не переходить по ссылкам от незнакомых людей в мессенджерах или почте.
• Загружать только официальные приложения, которые самостоятельно нашли в магазине мобильных приложений, либо на легитимном сайте сервиса.

Sticky Werewolf атакует государственные организации России и Белоруссии

Группировка Sticky Werewolf атакует государственные организации России и Белоруссии. Об этом 13 октября 2023 года сообщила компания BI.Zone.

Sticky Werewolf получает доступ к системам государственных организаций России и Белоруссии с помощью фишинговых писем со ссылками на вредоносные файлы. Для создания ссылок используется коммерческое вредоносное ПО. По данным киберразведки BI.ZONE, Sticky Werewolf активна как минимум с апреля 2023 года и к октябрю 2023 года осуществила не менее 30 атак.

Ссылки для фишинговых писем злоумышленники создают с помощью сервиса IP Logger. Он позволяет собирать информацию о кликнувших пользователях: время перехода, IP-адрес, страну и город, версию браузера и операционную систему. Это помогает Sticky Werewolf сразу провести базовое профилирование, отсеять системы, которые не представляют для них интереса, и сосредоточить атаки на наиболее приоритетные.

Кроме того, благодаря IP Logger группировка может использовать собственные доменные имена при создании ссылок. Это затрудняет распознавание фишинга, поскольку адрес не выглядит подозрительно.

Ссылки в письмах ведут на вредоносные файлы с расширением .exe или .scr, замаскированные под документы Word или PDF. Открыв файл, жертва видит ожидаемый контент, например: экстренное предупреждение МЧС, исковое заявление или предписание об устранении нарушений. В это время в фоновом режиме на устройство устанавливается коммерческое вредоносное ПО NetWire RAT. Оно позволяет атакующим собирать информацию о скомпрометированной системе, получать данные о нажатиях клавиш, видео с экрана и веб-камеры, записывать звук микрофона и осуществлять другие действия с целью шпионажа.

NetWire копируется на устройство во временную папку под видом легитимного приложения. Чтобы дополнительно затруднить его обнаружение, Sticky Werewolf использует протектор Themida, который обеспечивает обфускацию — противодействие анализу вредоносной активности.

Коммерческое вредоносное ПО предоставляет злоумышленникам возможности за умеренную цену. Именно поэтому оно пользуется большим спросом среди киберпреступников и иностранных проправительственных группировок. Примечательно, что такие программы активно используются даже после ареста их разработчиков, сказал Олег Скулкин, руководитель управления киберразведки BI.ZONE.

Новый троян под видом приложения для доставки ворует деньги у россиян

Эксперты компании F.A.С.С.T. обнаружили новую схему мошенничества, которая предполагает установку троянской программы под видом приложения для заказа доставки популярной электроники, одежды или обуви. Об этом компания сообщила в октябре 2023 года. По данным исследователей, от действий мошенников в сентябре уже пострадали клиенты банков как в России, так и Белоруссии. За 10 дней в сентябре с помощью поддельных приложений злоумышленники смогли украсть по модифицированой схеме «Мамонт» почти 3 млн рублей, сделав 76 списаний. Средний чек от одной жертвы составлял 67 тыс. рублей.

Классическая мошенническая схема «Мамонт» предполагает оформление фейковой покупки и доставки товаров с популярных маркетплейсов, аренды недвижимости или совместной поездки. Обычно, когда жертва обращается к ним для уточнения деталей доставки или аренды, мошенники предлагают перейти в чат платформы или мессенджер, за счёт чего выходят из-под действия встроенных механизмов защиты маркетплейса. Там они предлагают совершить оплату доставки и самого товара по специально подготовленной ссылке якобы на сайт банка.

В модифицированной схеме «Мамонт» в этот момент они просят скачать и установить специальное Android-приложение, с помощью которого только и можно заказать соответствующий товар. Оплата покупки также проводиться через это приложение, и здесь-то и происходит перехват данных банковской карты и SMS-оповещения от банка, что и позволяет мошенникам украсть все деньги со счета жертвы.

По данным компании F.A.С.С.T., на конец лета 2023 года в России по классической схеме «Мамонт» работали 17 активных преступных групп. В сентябре же было обнаружено новое мошенническое сообщество «Мамонта», которое использует Android-трояны в своих атаках. Участники сообщества, привлекающие жертв на скачивание вредоносного приложения, создают поддельные объявления о продаже товара с помощью специального Telegram-бота и получают ссылку для скачивания мобильного приложения в виде APK-файла, которую и пересылают злоумышленники в мессенджере. При этом ссылка ведет на поддельный сайт магазина приложений, то есть вредонос жертве нужно поставить самостоятельно из недоверенного источника.

Старые трюки рано или поздно перестают приносить желаемый доход скамерам, и тогда они придумывают новые сценарии, приманки, меняют механику, – пояснил появление новых модификаций фишинга ведущий аналитик департамента Digital Risk Protection компании F.A.C.C.T. Евгений Егоров. – Мы видели, как мошенники использовали в схеме «Мамонт» сгенерированные Telegram-ботами фишинговые страницы, затем они стали заражать жертв стилерами, похищавшими логины-пароли. Сейчас одна из группировок начала использовать мобильные трояны. Часть пользователей может решить, что мобильные приложения, похожие на известные сервисы, будто бы из официального стора, вряд ли скрывают опасность — на это и делают ставку злоумышленники.

Чтобы не стать жертвой мошенников по новой схеме, рекомендуется при покупке дорогих товаров не переходить на общение во внешние мессенджеры. Проверять предлагаемые «продавцами» внешние ссылки перед переходом по ним, а лучше вообще не переходить по ссылкам, полученным от незнакомых собеседников. Также стоит загружать и устанавливать приложения только из официальных магазинов и не пользоваться для этого готовыми ссылками – лучше искать приложение в поиске платформы.

Шпионский троянец маскируется под письма Следственного комитета РФ и ворует пароли Outlook, Telegram и криптокошельков

Компания BI.Zone в октябре 2023 года обнаружила новую вредоносную рассылку шпионского троянца White Snake, которая теперь выдает себя за сообщение от Следственного комитета. Впервые этот же вредоносный код был обнаружен компанией в другой фишинговой рассылке, распространяемой от имени Роскомнадзора в августе этого года. Также были зафиксированы случаи распространения подобной вредоносной программы под видом коммерческого предложения.

White Snake – это шпионский троянец (инфостилер), который собирает секретные данные на инфицированном компьютере через популярные браузеры, такие как Chrome и FireFox, а также имеет возможность собирать пароли и учетные данные таких клиентских программ как Outlook, Discord, Telegram и других. В частности, он ворует секретные адреса криптокошельков, которые можно использовать для воровства криптовалюты. Это коммерческий шпион, который за 140 долл. позволяет организовать атаку `под ключ` для любого мошенника.

В текущей версии фишинговой атаки жертва получала письмо якобы от Следственного комитета РФ. В теме письма было указание на якобы ведущееся расследование уголовного дела. Например, заголовок мог быть таким: «Запрос в связи с расследованием уголовного дела № 11091007706001194 следственный комитет РФ» или «Требование в рамках расследования уголовного дела № 11091007706011194 следственный комитет РФ». К письму прилагался PDF-файл с предписанием явиться в Следственный комитет и архив, защищенный паролем. Причем пароль для расшифровки находился в имени файла: «Трeбoвaниe 19098 СК РФ от 07.09.23 ПАРОЛЬ — 123123123.zip». Если жертва распаковывала архив и нажимала на файл с названием «Перечень юридических лиц и предприятий, уклонение от уплаты налогов, требования и дополнительные.exe», то запускалось основное тело троянца White Snake, который закреплялся в системе и занимался уже своей черной шпионской деятельностью.

Чтобы не попасть на удочку злоумышленников нужно внимательно смотреть на атрибуты переписки. В частности, обратный адрес отправителя был указан в домене mail.ru, хотя у Следственного комитета есть собственный домен sledcom.ru. Кроме того, нужно внимательно смотреть на расширения файлов, настроив свой почтовый клиент на их показ. Кликать по исполнимым файлам (с расширением .EXE) крайне не рекомендуется, хотя и в форматах PDF и DOCX могут быть вредоносные вложения. Лучше открывать такие файлы не полноценной программой чтения, а упрощенным ридером с ограниченными функциями по исполнению встроенных элементов. Кроме того, надо понимать, что закодированные архивы часто используются злоумышленниками для скрытия вредоноса от антивирусной программы. Поэтому требование распаковки архива может являться признаком вредоносной рассылки. Если же вы все-таки сделали указанные в рассылке действия и подозреваете, что ваш компьютер заражен, то стоит обратиться к корпоративной службе информационной безопасности и проверить свою систему антивирусной программой. После лечения от вредоноса не забудьте поменять пароли от сервисов, приложений и криптокошельков.

Злоумышленники воруют Telegram-аккаунты блогеров под видом представителей партнёрской программы

Злоумышленники воруют Telegram-аккаунты блогеров под видом представителей партнёрской программы. Об этом 28 сентября 2023 года сообщила «Лаборатория Касперского».

Атака начинается с того, что блогеру пишет якобы представитель крупной компании в области онлайн-ритейла и предлагает рекламное сотрудничество. В ходе общения злоумышленники придерживаются стандартной схемы делового общения для таких взаимодействий. Менеджер рассказывает, что блогер может выбрать любые позиции, представленные на площадке, устроить распаковку для подписчиков и разместить ссылки на товары у себя в аккаунте. Дальше в диалоге обговаривается стоимость рекламной интеграции. Если блогер соглашается на условия и подбирает товары, представитель бренда заявляет, что отправляет их на согласование с руководством. Переписка с фальшивым менеджером может длиться несколько дней.

На определённом этапе блогера просят зарегистрироваться на сайте партнёрской программы и присылают ссылку на ресурс — разумеется, поддельный. Он выглядит правдоподобным: на нём размещены логотип, описание партнёрской программы и бонусов, которые получают её участники. На фишинговой странице блогеру нужно указать ФИО, адрес почты, число подписчиков и охваты канала, а также номер телефона. Однако после этого человека автоматически перенаправляют на фальшивую форму авторизации в Telegram и просят ввести одноразовый код для входа в Telegram-аккаунт. В некоторых случаях необходимость в такой информации объясняют якобы обновленными требованиями закона о рекламе. Если человек введёт эти данные, они уйдут злоумышленникам, и с их помощью фишеры смогут получить доступ к учётной записи в мессенджере и ко всем Telegram-каналам, привязанным к ней.

Отдельные элементы этой кампании указывают на то, что она таргетированная и направлена именно на блогеров. Украденные аккаунты злоумышленники могут использовать для шантажа, размещения своего контента или дальнейших мошеннических схем. Блогерам приходят десятки рекламных предложений в день, поэтому они могут не заметить подвоха. Злоумышленники, в свою очередь, разрабатывают легенды так, чтобы усыпить бдительность потенциальных жертв, например ссылаются на нормативные акты и корпоративную политику. Однако просьба передать конфиденциальные данные, к которым относится в том числе пароль и одноразовый код из СМС или push-уведомления, должна сразу насторожить, — сказала Ольга Свистунова, старший контент-аналитик «Лаборатории Касперского».

Чтобы не попасться на удочку злоумышленников, специалисты «Лаборатории Касперского» рекомендуют:

• критически относиться к любым сообщениям и предложениям в сети;
• настроить в Telegram двухфакторную аутентификацию;
• не переходить по ссылкам из сомнительных сообщений;
• не передавайть никому конфиденциальные данные, в том числе пароли от аккаунтов;

Российские клиники подверглись массовой рассылке писем от мошенников

Российские медицинские учреждения столкнулись с рассылкой писем от мошенников, которые от имени Роскомнадзора требуют устранить «нарушения» в хранении персональных данных пациентов. Для этого они предлагают свои услуги, таким образом пытаясь получить полный доступ к чувствительной информации. Об этом 18 сентября 2023 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина. Подробнее здесь.

В России используют нестандартную схему для кражи учётных данных от электронной почты

7 сентября 2023 года стало известно о новой нестандартной схеме кражи учетных данных от электронной почты в России. О ней рассказали в «Лаборатории Касперского».

По словам экспертов, в фишинговой рассылке злоумышленники сообщают потенциальной жертве о необходимости верифицировать учётную запись электронной почты. Однако нужную им информацию (имя, фамилию, логин и пароль) просят прислать ответным сообщением, а не переходить для этого по ссылке на фишинговую страницу. В противном случае мошенники грозят деактивировать аккаунт.

Как сообщили в «Лаборатории Касперского», письма приходят от некого «центра обмена сообщениями хостинга веб-почты». Авторы рассылки сообщают, что обновляют базу на 2023 год и удаляют все неиспользуемые учётные записи. Они настоятельно рекомендуют подтвердить электронную почту и обновить данные — так они якобы будут знать, что аккаунт активен и не будут его удалять. В тексте сообщения злоумышленники оставляют место для заполнения данных. Получателя пугают тем, что с момента получения уведомления у него есть 48 часов для верификации.

Чтобы вызывать меньше подозрений, злоумышленники оформляют некоторые письма как технические: в тему письма добавляют код уведомления, состоящий из набора цифр и букв, а в подпись добавляют «copyright» и фразу «все права защищены».

Подобные письма, без фишинговой ссылки, но с местом для заполнения данных, мы видим сейчас исключительно на русском языке. Вероятно, это обусловлено несколькими факторами. Во-первых, злоумышленникам становится всё сложнее создавать фишинговые сайты в доменной зоне .ru. Во-вторых, сделать письмо без ссылки на поддельный ресурс банально дешевле. У пользователей же такие сообщения в некоторых случаях могут вызывать даже меньше подозрений: многие знают, что не стоит кликать на сомнительные ссылки, а здесь этого не просят. К тому же подобные рассылки зачастую тяжелее обнаружить защитными решениями, — отметил эксперт по кибербезопасности «Лаборатории Касперского» Роман Деденок.

Мошенники пишут россиянам от имени правоохранителей

В августе 2023 года центр мониторинга внешних цифровых угроз Solar AURA компании «РТК-Солар» зафиксировал массовую фишинговую рассылку от имени правоохранительных органов РФ. Используя домены, максимально похожие на официальные доменные имена следственных органов, мошенники рассылают письма с требованием ознакомиться с материалами уголовного дела. Для правдоподобия злоумышленники используют реальные данные граждан, полученные из масштабных утечек, установили специалисты Solar AURA. Об этом «РТК-Солар» сообщил 30 августа 2023 года.

Рассылки осуществляются адресно: злоумышленники берут персональные данные потенциальных жертв из ранее утекших баз данных и обращаются к ним по имени отчеству. В ряде случаев злоумышленники также указывают в письмах паспортные данные и адреса регистрации. Фигурирующие в тексте номера уголовных дел являются настоящими и получены из открытых источников. Все это создает иллюзию взаимодействия с органом государственной власти и повышает шансы на то, что получатель письма запустит вредоносную программу.

Данные, содержащиеся в фишинговых письмах, относятся к масштабным утечкам. В частности, было установлено, что злоумышленники воспользовались одной из утечек 2022 года: тогда общее количество опубликованных записей достигло 30 млн, включая более 6 млн уникальных электронных почт, среди которых 78 тысяч принадлежат корпоративным доменам. Эти факты объясняют массовый характер распространения фишинговой рассылки.

Схема, использованная в этой атаке, не является новой и чрезвычайно распространена. Злоумышленники систематически используют фишинговые письма для доступа к конфиденциальным данным или внедрения вредоносного программного обеспечения. Но данная схема претерпела некоторые изменения. Ранее злоумышленники вкладывали вредоносные ZIP-файлы непосредственно в письма, однако в связи с ужесточением мер безопасности подобные сообщения теперь, скорее всего, будут автоматически фильтроваться как спам. Поэтому злоумышленники вместо привычных вложений вставляют ссылку на файлообменник, через которую, как предполагается, жертва загрузит вредоносное содержимое. В этой атаке оно замаскировано под программу для распознавания текста.

Гражданам важно помнить, что правоохранительные органы не оповещают о процессуальных действиях посредством электронной почты. Если вы нежданно получили письмо от органов государственной власти, в котором вам предлагается совершить какие-либо действия (скачать файл, перейти по ссылке, заполнить форму), обратитесь за разъяснениями в соответствующий орган, используя контактные данные с его официального сайта, – отметил Сергей Трухачев, заместитель директора центра мониторинга внешних цифровых угроз Solar AURA компании «РТК-Солар».

Мошенники массово рассылают компаниям в РФ письма с «уголовными делами» от имени СКР

Мошенники массово рассылают компаниям в РФ письма с «уголовными делами» от имени Следственного комитета России (СКР). О новой схеме в конце августа 2023 года рассказали в ИБ-компаниях «РТК-Солар» и «Лаборатории Касперского».

Как пишут «Ведомости», используя домены, максимально похожие на официальные доменные имена следственных органов, они рассылают письма с требованием ознакомиться с материалами уголовного дела. Такое письмо получил сотрудник издания, в нем злоумышленники пишут, что адресант проходит свидетелем по некоему уголовному делу, и просили сообщить о возможности присутствовать на заседании суда в очной форме. Отправителем письма был указан «старший следователь СКР по г. Москва Роман Анатольевич Дворников», а почтовый домен имитировал реальную почту сотрудников следственного комитета – @mail – server1 – sledcom.org вместо sledcom.ru. Также к письму была прикреплена вредоносная ссылка, которая якобы вела на карточку дела, но по факту активировала вредоносную программу.

Переход по ссылкам из таких писем приведет к скачиванию с файлообменного сервиса архива с вредоносным файлом-стилером, предупредили в «РТК-Солар», «Лаборатории Касперского» и F.A.C.C.T. (бывшая Group IB). Эта программа крадет пользовательские данные — из браузеров, приложений и криптокошельков жертвы — и отправляет их злоумышленникам, пояснили эксперты.

Рассылка проводится адресно, замечает замдиректора центра мониторинга внешних цифровых угроз Solar AURA компании «РТК-Солар» Сергей Трухачев. Мошенники берут персональные данные потенциальных жертв из ранее утекших баз данных, к адресату обращаются по имени и отчеству, иногда указывают его паспортные данные и адрес регистрации, используют настоящие номера уголовных дел, полученные из открытых источников. Так аферисты создают иллюзию, будто письмо пришло от реального органа государственной власти.^[3]

В Рунете растет число фишинговых доменов, которые маскируются под российские онлайн-кинотеатры и музыкальные сервисы

В Рунете растет число фишинговых доменов, которые маскируются под российские онлайн-кинотеатры и музыкальные сервисы – виток активности киберпреступников в этой сфере обнаружили эксперты по кибербезопасности Angara Security. По данным компании, число поддельных сервисов с видео- и музыкальным контентом увеличилось на 10 и 15% соответственно в сравнении с аналогичным периодом 2022 года. Об этом Angara Security сообщила 23 августа 2023 года.

Чаще всего мошенники подделывают ресурсы kinopoisk.ru и ivi.ru – фальшивые домены формируются путем добавления одной или нескольких букв к названию реального сервиса. Если домен блокируют, владельцы тут же регистрируют новый: в 2023 году киберпреступники создали уже несколько десятков подобных сайтов. Аналитики Angara Security предупреждают: большинство подобных сайтов заманивают посетителей онлайн-показом пиратских фильмов и могут красть платежные и персональные данные.

Тренд на подделку сайтов онлайн-кинотеатров появился еще в период пандемии, но тогда мошенники стремились подделать сайты Netflix и только «осваивали» российский «Кинопоиск», – сказала Виктория Варламова, эксперт Angara Security по защите бренда. – Теперь, когда российский зритель отрезан от мировых новинок кино, его очень легко привлечь обещанием онлайн-показа нашумевших «Барби» или «Оппенгеймера». Причем современные фишинговые сайты, которые обнаруживают наши аналитики, мимикрируют не только под легальные стриминговые сервисы, но даже под известные пиратские видеоресурсы вроде Kinogo.

Самой популярной ловушкой среди фальшивых музыкальных сервисов оказалась поддельная «VK Музыка» – домены с этим названием лидируют в аналитике Angara Security по изучению фишинговых площадок. Эксперты напоминают о том, что все рекламные объявления реального сервиса маркируются галочкой официальной страницы VK, а оформление или оплата подписки должны вести покупателя только на официальный сайт сервиса с доменом vk.com.

В сегменте цифровых сервисов электронных и аудиокниг число фишинговых сайтов сократилось на 20% – эксперты объясняют это тем, что основным каналом для распространения книг стали Telegram-каналы. В них количество поддельных ресурсов как раз ощутимо выросло: в первом полугодии 2023 года зарегистрировано около 5000 фишинговых ТГ-каналов, это в пять раз больше, чем в 2022 году.

Мы отмечаем миграцию киберпреступлений в Telegram, – отметила Виктория Варламова. – Эта площадка предоставляет большие возможности для распространения видео- и аудиоконтента, при этом правообладателям отслеживать распространение пиратского контента очень сложно. У нас нет причин считать, что темпы киберпреступности снизятся в ближайшем будущем, поэтому мы призываем онлайн-сервисы к повышенной бдительности и улучшению мер по защите своих пользователей от фишинга и мошенничества.

Шаблоны документов, содержащие вирусы. ЦБ РФ сообщил о новой схеме мошенников

8 августа 2023 года в Центробанке РФ сообщили о новой схеме мошенничества, в которой используются шаблоны документов, содержащие вирусы. По данным регулятора, мошенники создают поддельные сайты государственных ведомств и известных справочно-правовых систем и публикуют зараженные документы, доступные для скачивания. Аферисты часто используют метод SEO-poisoning («отравление» поисковой выдачи), позволяющий этим сайтам занимать первые строки в поиске.

Пользователь скачивает документ, после чего на его компьютере запускается программа удаленного доступа. С помощью нее хакеры могут дистанционно менять банковские реквизиты в договорах компании – например, с подрядчиками или поставщиками. Вместо данных настоящего получателя средств они указывают свои, – сообщается в Telegram-канале ЦБ.

В Банке России отметили, что, как правило, сотрудники компании обнаруживают вирусное ПО не сразу. Иногда мошенники блокируют доступ к рабочим компьютерам, а за его восстановление вымогают деньги. Чтобы не стать жертвой таких мошенников регулятор рекомендует:

• установить и регулярно обновлять антивирус;
• настроить запрет на автоматическую установку и запуск разных программ;
• обращать внимание на адрес сайта — поддельный может отличаться от официального всего одним символом. Вдобавок официальные сайты государственных органов обычно маркируются синим кружком с галочкой;
• быть осторожным при работе с сайтами, если в их адресной строке нет значка безопасного соединения (замочек)
• скачивая документ, обращать внимание на его формат. Безопасными считаются pdf, docx, xlsx, jpg, png.

В июле 2023 года российские банки выявили новую схему мошенничества, в которой используются фейковые фото банковских карт. Злоумышленники получают доступ к аккаунту человека в мессенджере и просят знакомых перевести деньги. Для большей убедительности мошенники присылают фото карты с именем нужного человека. Внешне карты похожи на карты крупных кредитных организаций, но на самом деле счет открыт в другом менее известном банке.^[4]

Фишинговые атаки с применением Cobalt Strike снова обрушились на российские компании

Специалисты управления киберразведки BI.ZONE обнаружили масштабные атаки группировки Lone Wolf, нацеленные на российские логистические, производственные, финансовые организации и компании из сферы розничной торговли. Об этом компания BI.Zone сообщила 4 августа 2023 года.

Злоумышленники из Lone Wolf реализовали как минимум четыре массовые фишинговые рассылки с 21 по 28 июля. Письма отправлялись по базам корпоративных электронных адресов якобы от имени АО «ТАИФ-НК», ДЦ «Автосалон 152», «Русагро-Приморье» и УФАС России по Магаданской области.

В трех из четырех рассылок преступники уведомляют получателя о досудебной претензии и требуют в короткий срок погасить задолженность по договору, включая пени за просроченную оплату. В противном случае злоумышленники угрожают обратиться с исковым заявлением в арбитражный суд. Все документы, свидетельствующие о задолженности, прилагаются к письму. В четвертой рассылке — якобы от Магаданского УФАС России — содержится копия постановления без дополнительных разъяснений.

Чтобы разобраться в ситуации, жертва спешит посмотреть вложения: в выявленных рассылках файлы назывались Досудебное.doc, пп-ас32-4783.doc, акт.xls. При открытии любого из них на устройстве запускается цепочка команд, в результате чего злоумышленники загружают программное обеспечение Cobalt Strike Beacon.

Cobalt Strike Beacon — компонент решения Cobalt Strike. Это коммерческий инструмент, который специалисты по тестированию на проникновение используют, чтобы эмулировать действия атакующих, а злоумышленники — чтобы решать задачи на разных этапах киберинцидента. В зависимости от целей атакующих запуск Cobalt Strike может привести к краже чувствительных данных или их шифрованию, а в ряде случаев — к похищению денег со счетов организации.

Уже довольно давно у различных группировок популярны инструменты вроде Cobalt Strike. Они открывают широкие возможности для достижения цели атаки с использованием минимума дополнительных вредоносных инструментов или позволяют отказаться от них вовсе. Более того, часто Cobalt Strike применяется в компаниях в легитимных целях, что значительно снижает скорость обнаружения его подозрительной активности, сказал Олег Скулкин, руководитель управления киберразведки BI.ZONE.

Мошенники взломали соцсети «Уралсиба» и разместили там фишинговые ссылки

3 августа 2023 года банк «Уралсиб» сообщил о массированной кибератаке, в результате которой были взломаны его социальные сети. Кроме того, пострадали сетевые ресурсы ряда других финансовых организаций. Подробнее здесь.

Фишинговые письма от имени Роскомнадзора содержат ПО для кражи учетных данных компаний

Эксперты управления киберразведки BI.ZONE обнаружили фишинговую кампанию, нацеленную на российские организации. Под видом уведомлений от Роскомнадзора злоумышленники распространяют стилер White Snake — вредоносное ПО для кражи паролей и других данных с зараженного устройства. Об этом компания BI.Zone сообщила 1 августа 2023 года.

Преступники рассылают по корпоративным email-адресам архив с несколькими файлами. В первом документе — якобы официальное уведомление от Роскомнадзора. В нем сообщается, что «в ходе выборочного мониторинга активности установлено посещение запрещенных интернет-ресурсов», то есть получатель письма нарушил закон № 255-ФЗ «О контроле за деятельностью лиц, находящихся под иностранным давлением».

В этом же уведомлении злоумышленники требуют «безотлагательно проверить приложенные материалы и дать пояснение в течение двух рабочих дней». В противном случае они угрожают «принять меры воздействия административного и уголовно-правового характера». Все это — чтобы жертва быстро открыла второй файл, то есть стилер White Snake.

Вредоносное ПО White Snake позволяет злоумышленникам достать сохраненные пароли, копировать файлы, записывать нажатия клавиш, звук с микрофона, видео с веб-камеры, а также получить удаленный доступ к скомпрометированному устройству и к корпоративным системам. Всю собранную информацию преступники часто перепродают через время, поэтому компании не сразу способны ощутить весь нанесенный ущерб.

Если перечисленных функций стилера злоумышленнику недостаточно, он может использовать White Snake для загрузки и запуска любых необходимых ему вредоносных инструментов. Подписка на стилер стоит всего 140 $ в месяц, а неограниченный доступ — 1950 $.

Теневой сегмент интернета предлагает все более качественные инструменты для реализации целевых атак. Они позволяют обойти традиционные средства защиты и предоставляют злоумышленникам все необходимые средства для достижения цели. Низкая цена и легкость в эксплуатации ведут к неизбежному увеличению числа целевых атак. Чтобы защититься от таких кампаний, необходимо развивать процессы предупреждения киберугроз, а также их выявления и реагирования на них, сказал Олег Скулкин, руководитель управления киберразведки BI.ZONE.

Фишинговая рассылка — один из главных способов получить первоначальный доступ во время целевых атак. Чтобы защититься от нее, следует использовать специализированные решения, которые блокируют спам и вредоносные письма. Если компания уже пострадала от кибератаки, необходимо оперативно провести реагирование на инцидент и расследование.

Хакера задержали за хищение аккаунтов 130 россиян на портале Госуслуг

В Уфе петербургские полицейские задержали хакера из Петербурга, похитившего данные от аккаунтов на портале Госуслуг у 130 россиян. Об этом пресс-служба МВД России сообщила 13 июля 2023 года.

По данным правоохранительных органов, злоумышленник создал в интернете несколько фишинговых сайтов. Их внешний вид копировал официальные страницы различных государственных учреждений. При попытках воспользоваться сервисами граждане вводили данные своих учетных записей, зарегистрированных на Едином портале государственных и муниципальных услуг. Таким образом аферист получал доступ к чужим аккаунтам и, меняя пароли, использовал их для подачи заявок в микрокредитные организации. Перечисленные деньги выводил через анонимные электронные кошельки и обналичивал. После того как лимит на получение кредита исчерпывался, учетная запись уничтожалась вместе со всей информацией о ее использовании, говорится в сообщении МВД.

Следователем Следственного управления МВД России по Красносельскому району города Санкт-Петербурга возбуждено уголовное дело по признакам преступления, предусмотренного статьей 272 УК РФ. Подозреваемый задержан полицейскими на территории города Уфы. В ходе обыска по месту его временного проживания изъяты 25 SIM-карт, средства связи, банковские карты.

В настоящее время фигурант доставлен в Санкт-Петербург, в отношении него избрана мера пресечения в виде запрета определенных действий. Проводятся оперативно-розыскные мероприятия, направленные на установление всех эпизодов противоправной деятельности, - сообщила официальный представитель МВД России Ирина Волк 13 июля 2023 года.[5]

Группа XDSpy атаковала российские организации от имени МЧС

12 июля 2023 года центр кибербезопасности F.A.C.C.T. обнаружил 11 июля 2023 года фишинговую рассылку вредоносных писем, проводимую кибершпионской группой XDSpy. Cистема для проактивного поиска и защиты от сложных и неизвестных киберугроз F.A.С.С.T. Managed XDR задетектила рассылку, нацеленную на российские организации, включая один из известных научно-исследовательских институтов.

В тексте письма получателей просят посмотреть список сотрудников компании, которые "могут симпатизировать группам, дестабилизирующим внутреннюю ситуацию в России". Отправители письма угрожают, что в случае отсутствия ответа, против сотрудников будут приняты юридические меры.

Под видом файла-приманки Spisok_rabotnikov.pdf со списком случайных людей загружается вредоносная программа, которая собирает чувствительные данные и документы с компьютера жертвы.

XDSpy пользовалась подобными техниками и раньше: в середине марта 2023 года кибершпионы атаковали структуры МИДа России, а в октябре 2022 года — российские организации с фейковыми повестками от имени Минобороны.

Впервые группу XDSpy, атакующую организации России и ^[6], обнаружил белорусский CERT в феврале 2020 года, хотя эксперты считают, что сама группа активна как минимум с 2011 года. Несмотря на долгую историю XDSpy, международные специалисты так и не определились, в интересах какой страны работает эта группировка. Большинство целей группы находятся в России — это правительственные, военные, финансовые учреждения, а также энергетические, исследовательские и добывающие компании.

Мошенники начали красть деньги со счетов россиян, рассылая сообщения с предложением заработать на оценке отелей

В России мошенники начали красть деньги со счетов россиян, рассылая сообщения с предложением заработать на оценке отелей. Об этом стало известно 20 июня 2023 года. Подробнее здесь.

Мошенники в России начали использовать ChatGPT в фишинговых атаках

Мошенники в России начали использовать ChatGPT в фишинговых атаках. Об этом в середине июня 2023 года рассказала управляющий директор «Лаборатории Касперского» на территории РФ и стран СНГ Анна Кулашова. Подробнее здесь.

Обнаружена массовая фишинговая рассылка под видом документов о мобилизации

Компания BI.ZONE 10 июня 2023 года сообщила о фиксации рассылки фишинговых писем. Злоумышленники использовали спуфинг, то есть подделывали адрес отправителя: для получателя письмо выглядело как сообщение из госорганов.

Жертвам приходили письма с темами: «Призыв по мобилизации», «Всеобщая мобилизация 2023», «Сверка документов Военкомат», «Призывники 2023 список» и пр. И тема, и текст сообщения убеждали пользователя открыть прикрепленный архив или скачать его по ссылке.

В архиве был вредоносный файл, который устанавливал на устройство троян DCRat. Такое ПО позволяет атакующим получить полный контроль над скомпрометированной системой.

С помощью DCRat злоумышленники делают скриншоты, записывают последовательность нажатия клавиш, получают содержимое буфера обмена и т. д. В итоге у преступников могут оказаться логины и пароли от корпоративных аккаунтов, финансовая информация, персональные данные, а также другие конфиденциальные сведения.

Даже неподготовленные злоумышленники достигают целей, когда используют злободневные темы и человеческий фактор. К сожалению, избежать подобных угроз практически невозможно. Поэтому организации должны обеспечить адекватную защиту от фишинговых атак, сказал Олег Скулкин, руководитель управления киберразведки BI.ZONE.

Защита от подобных рассылок — нетривиальная задача. Настройки безопасности сервера электронной почты будут неэффективны без программных дополнений, поведенческого и сигнатурного анализа писем. Поэтому важно применять специализированные защитные сервисы, которые умеют отсеивать спуфинг еще до того, как он попадет к получателю.

В России ликвидировали группу киберпреступников, которые 1,5 года похищали деньги у пользователей BlaBlaCar

Министерство внутренних дел России ликвидировало группу мошенников Jewelry Team, которые полтора года похищали деньги у россиян, решивших воспользоваться популярным сервисом поиска попутчиков BlaBlaCar. Об этом 5 июня 2023 года сообщили в компании F.A.C.C.T. (ранее Group-IB в России), которая помогла ведомству вычислить и задержать киберпреступников. Подробнее здесь.

Число фишинговых схем кражи данных через Telegram в России за год выросло в 67 раз

Число фишинговых схем кражи данных через Telegram в России за год выросло в 67 раз — с 7 в мае 2022 года до 470 штук год спустя. Об этом в конце мая 2023-го сообщили в компании «РТК-Солар». Подробнее здесь.

Кибермошенники в России начали рассылать фейковые письма от имени военкоматов

Кибермошенники в России начали рассылать фейковые письма от имени военкоматов. Об этом стало известно 10 мая 2023 года.

Как пишет Telegram-канал «Mash на Мойке», фальшивые мобилизационные предписания на электронную почту приходят в том числе жителям Петербурга. Получателей писем призывают явиться в военкомат 11 мая 2023 года для уточнения данных и постановки на учет. При этом отмечается, что в качестве отправителя мобилизационного предписания указано несуществующее ведомство — «Главное управление Военного Комиссариата МО РФ». Также там отсутствует обращение к адресату по имени и фамилии. По сообщению Telegram-канала, в этих письмах содержится вредоносное программное обеспечение — ZIP-архив с вирусом.

Кроме того, подобные письма начали получать жители Амурской области, передает «Комсомольская правда». При этом в действительности областной военный комиссариат не отправляет мобилизационные предписания по электронной почте.

Близкий к Минобороны Telegram-канал «Война с фейками» подтвердил, что ведомство не отправляет таких писем - «в России не предусмотрена рассылка мобилизационных предписаний или повесток по электронной почте».

К 10 мая 2023 года единственным законным способом является личное вручение предписания под подпись. В будущем для отправки повесток также планируется использовать портал «Госуслуги», но эта система оповещения заработает не раньше осени 2023 года.

По данным WHOIS, фишинговые письма рассылаются россиянам с адреса, размещенного на домене из Британии. К электронному письму, как пишет «Коммерсантъ», прикреплен файл с расширением «.exe». При сохранении его на компьютер и открытии устройство заражается вирусом. Предположительно, речь идет о так называемом трояне DarkWatchman RAT, предоставляющем отправителям удаленный доступ к компьютеру получателя.^[7]

Обнаружены 80 тысяч фишинговых писем, отправленных с использованием IPFS

По данным «Лаборатории Касперского», в атаках через почту фишеры начали активно использовать технологию Web 3.0 ― IPFS. Об этом компания сообщила 30 марта 2023 года. Злоумышленники размещают фишинговые HTML-файлы в IPFS, чтобы сократить расходы на хостинг. Этот метод атакующие применяют и для массовых, и для целевых фишинговых атак. За первые три месяца 2023 года в компании обнаружили около 80 тысяч писем в России, отправленных подобным образом.

Как происходят атаки через IPFS. Злоумышленники размещают HTML-файлы с фишинговой формой в IPFS и используют шлюзы в качестве прокси-серверов, чтобы жертвы могли открыть файл вне зависимости от наличия на их устройствах IPFS-клиента. Ссылки на доступ к файлу через шлюз атакующие вставляют в фишинговые письма, которые рассылают потенциальным жертвам.

Использование распределённой файловой системы позволяет атакующим экономить на хостинге фишинговых страниц. Кроме того, из IPFS нельзя удалить файл, который размещен другим пользователем или несколькими пользователями. Если кто-то хочет, чтобы файл полностью исчез из системы, он может потребовать от его владельцев, чтобы они сами его удалили, но с мошенниками такой способ вряд ли сработает.

Особенности фишинговых писем и ссылок, отправленных через IPFS. Обычно фишинговые письма, содержащие IPFS-ссылку, не отличаются оригинальностью — это типичный фишинг, цель которого — получить логин и пароль от учётной записи жертвы.

Иначе дело обстоит с HTML-страницей, которая находится по ссылке. В параметре URL содержится электронный адрес получателя. Если его поменять, то изменится и содержимое страницы: логотип компании над фишинговой формой и электронный адрес, введённый в поле логина. Таким образом, одну ссылку можно использовать в нескольких фишинговых кампаниях, нацеленных на разных пользователей, а иногда и в нескольких десятках кампаний.

Злоумышленники использовали и будут продолжать использовать последние технологии в своих целях. В последнее время мы наблюдаем рост количества фишинговых атак через IPFS — как массовых, так и целевых. Распределённая файловая система позволяет мошенникам сэкономить на покупке домена. Плюс полностью удалить файл непросто, хотя попытки борьбы с мошенничеством на уровне шлюза IPFS есть. Хорошая новость заключается в том, что антиспам-решения обнаруживают и блокируют ссылки на фишинговые файлы в IPFS, как и любые другие фишинговые ссылки. В частности, решения «Лаборатории Касперского» используют ряд эвристик, нацеленных на выявление фишинга через IPFS, — комментирует Роман Деденок, эксперт «Лаборатории Касперского» по анализу спама.

Мошенники в России начали использовать ChatGPT для фишинга

Мошенники в России начали использовать ChatGPT для фишинга. Об этом в конце марта 2023 года рассказали специалисты по информационной безопасности компании T.Hunter. По словам экспертов, киберпреступники активно применяют возможности ИИ, для того чтобы повысить достоверность текстов, автоматизировать процесс и повысить вероятность обмана пользователей.

Мы фиксируем, что первые фишинговые письма, написанные с помощью данного софта, стали массово приходить пользователям в марте этого года, - сказал «Известиям» руководитель департамента информационно-аналитических исследований T.Hunter Игорь Бедеров.

Эксперт уверен, что из-за использования искусственного интеллекта количество жертв мошенничества вырастет. Дело в том, что большинство фишинговых писем приходили из-за рубежа, и плохой перевод помогал людям вычислить мошенников.

Однако ChatGPT пишет письма, которые максимально приближены к тем, что пишут люди. Мошенникам остается лишь добавить фишинговую ссылку, после чего разослать письмо миллионам пользователей.

В пресс-службе компании Group-IB сообщили газете, что «проблема» многих фишинговых писем, которые пишут на русском языке иностранцы, в том, что они составлены неграмотно, содержат массу стилистических, орфографических и грамматических ошибок. Технический онлайн-перевод также сильно заметен. Такое «несовершенство» уменьшает эффект, которого хотят добиться злоумышленники, поскольку люди не доверяют неграмотно написанным письмам и реже кликают по ссылкам.

По мнению директора Координационного центра доменов .RU/.РФ Андрея Воробьева, в будущем возможно использование ChatGPT в фишинговых чатах, которые получают все большее распространение. Там ИИ сможет имитировать живое общение, якобы с менеджером компании, вызывая доверие пользователя.^[8]

2022

Мошенники использовали бренды «Красное и белое» и «Додо пицца» для хищения денег у граждан

За июль-август 2022 года команда «РТК-Солар» обнаружила более 2000 вредоносных доменов, которые использовались злоумышленниками для массированного фишинга от имени брендов «Красное и Белое» и «Додо пицца». Под предлогом получения пиццы или бутылки вина всего за 1 рубль карта жертвы привязывалась к несуществующему платному сервису с регулярным списанием средств. На сентябрь 2022 года атака заблокирована, однако в ближайшие месяцы возможна реинкарнация данной схемы в новой форме. Об этом компания сообщила 12 сентября 2022 года.

Выявленные фишинговые атаки стали продолжением вредоносной кампании, всплески которой наблюдаются каждые в 4-6 месяцев, отмечают специалисты команды специальных сервисов Solar JSOC компании «РТК-Солар». Благодаря взаимодействию с регистраторами доменов и регуляторами удалось вовремя пресечь фишинговую активность, а оперативная коммуникация с банком, подключившим интернет-эквайринг, помогла в несколько раз сократить ущерб для пользователей.

Текущая атака продемонстрировала способность мошеннических схем к развитию. Как и прежде, злоумышленники использовали человеческий фактор: для получения «приза» жертве предлагалось самостоятельно переслать ссылку на вредоносный сайт 10-20 своим друзьям в мессенджере. Такой подход значительно повысил эффективность работы мошенников: ссылка от друга вызывает куда большее доверие, чем обезличенная почтовая рассылка.

Остальные же элементы атаки были тщательно переработаны. Так, для распространения информации об «акции» использовались не только мессенджеры, но и специально созданные группы в социальных сетях. Именно они запустили самораспространяемую цепочку рассылок о несуществующих призах.

С учетом опыта предыдущих атак злоумышленники предприняли все необходимые меры, чтобы фейковые ресурсы работали как можно дольше, а их обнаружение и блокировка были затруднены. Если раньше рассылаемые сообщения как правило содержали ссылку на статический сайт, то теперь она вела на один из тысяч доменов, который переадресовывал жертву на вредоносный ресурс через постоянно меняющуюся цепочку промежуточных сайтов.

Вредоносные домены не имели привязки к бренду – это набор из сгенерированной последовательности символов в экзотических доменных зонах .ml, .tk, .cf, .ga и .gq. Регистрация там бесплатна и может быть осуществлена через API, то есть автоматически. В свободном доступе легко найти скрипты, позволяющие пачками регистрировать такие доменные имена, – отметил Александр Вураско, эксперт направления специальных сервисов Solar JSOC компании «РТК-Солар». – Но самое интересное в новом витке схемы – это непосредственно процесс хищения денег. Вводя данные карты, жертва оформляла подписку, в рамках которой каждые 5 дней с нее списывали 889 рублей. Деньги поступали на счет реально существующего юрлица в банке из ТОП-20. Такие платежи антифрод-системы банка в большинстве случаев не замечают, а малая сумма с лихвой компенсировалась большим количеством «подписчиков».

Для вывода денег злоумышленники в один день зарегистрировали более двух десятков доменов, на которых разместили однотипные сайты, посвященные онлайн-тренировкам для «сжигания жира». Именно на этот курс незаметно для себя подписывались жертвы атаки, оставлявшие данные своих банковских карт. При этом фейковые фитнес-сайты были максимально нефункциональными: большинство опций не работало, подробные сведения об оформляемой подписке отсутствовали, а публичная оферта, хоть и имела сведения о юрлице, по факту являлась юридически ничтожной. Все это лишний раз доказывает, что данные сайты использовались исключительно как часть мошеннической схемы с напитками и пиццей.

На сентябрь 2022 года пик атаки прошел. Вредоносные сайты заблокированы, массовые рассылки в мессенджерах и социальных сетях не фиксируются.

Мошенники многократно увеличили активность с использованием названий известных компаний

30 августа 2022 года компания Group-IB сообщила о том, что в первом полугодии 2022 года взрывной рост случаев онлайн-мошенничества с использованием известных брендов — на 579% по сравнению с аналогичным периодом 2021 года. По данным аналитиков Group-IB Digital Risk Protection, специализирующихся на борьбе с нелегальным использованием брендов, более половины всех обнаруженных сайтов были связаны с использованием схемы таргетированного мошенничества — фейковыми опросами с розыгрышами ценных призов от имени известных компаний.

По оценкам Group-IB, для привлечения внимания жертв злоумышленники используют уже более 2100 мировых брендов и торговых марок компаний из сферы онлайн-ритейла, телекоммуникаций, сферы услуг, банковского сектора и тд. Для сравнения: в конце 2021 их было всего 120. Чаще всего за прохождение опроса мошенники обещают пользователям крупное вознаграждение или ценный приз, но в итоге жертва сама лишается денег и данных банковских карт. Ежемесячные потери пользователей от таргетированного мошенничества в мире Group-IB оценивает в $80 млн (5,9 млрд руб.) по минимальным подсчетам.

В рамках такого типа мошенничества "под цель" генерируется индивидуальная, так называемая, таргетированная ссылка, использующая параметры потенциальной жертвы (страна, часовой пояс, язык, IP, тип браузера и др.) Ссылки бывают как многоразовые, так и одноразовые — именно поэтому мошеннические ресурсы сложно обнаружить и заблокировать.

Причины столь стремительного роста онлайн-мошенничества под известные бренды в H1 2022 году кроются, как в росте киберкриминала в целом на фоне нестабильной геополитической обстановки, так и уходе популярных торговых марок и появлении на рынке новых — может быть и не таких известных, но востребованных брендов, — отметил Евгений Егоров, ведущий аналитик Group-IB департамента Digital Risk Protection.— Еще одна техническая особенность масштабирования схемы — для получения «приза» необходимо поделиться ссылкой с несколькими друзьями через мессенджеры, что вызывает больше доверия у получателя и, соответственно, увеличивает эффективность схемы.

Кроме схемы с фейковыми опросами, в первом полугодии 2022 года мошенники использовали несколько десятков различных сценариев онлайн-афер, активно разыгрывая тему санкций и прекращения работы в России известных международных брендов:

• мошеннические схемы, связанные с продажей фейковых виртуальных карт оплаты в App Store и PlayStation Store или покупкой доступов к ушедшим с российского рынка сервисам — Spotify Premium, Pornhub и тд.
• распродажа товаров от мировых брендов, которые прекратили свою работу в России — например, мошенническая схема "Мамонт" пополнилась дополнительным сценарием покупки ставших вдруг «дефицитными» товарами от IKEA.
• рост активности мошенников, действующих в сфере лотерей — в первом полугодии 2022 года Group-IB совместно со «Столото» обнаружили и заблокировали 18 709 ресурсов, которые действовали под видом популярных государственных лотерей.
• «Сезонные мошенничества» — липовые сайты для бронирования номеров в гостиницах и оплаты проезда на автомагистралях. Большинство ресурсов появились к началу отпускного сезона. Летом зафиксировано более 30 фишинговых ресурсов, копирующих популярные сочинские отели.
• Начиная с весны, на фоне нестабильности на финансовом рынке, заметен рост числа мошеннических ресурсов и онлайн-трансляций, посвященных «выгодным вложениям» в криптовалюты, инвестиций в ценные бумаги или выводу средств из российских банков на «безопасные счета» за границу.

Group-IB напомнили основные правила, которые следует соблюдать пользователям, чтобы не стать жертвой мошенников:

• В связи с появлением большого количества фейков и фишинговых ресурсов, нацеленных на известные бренды, клиентам стоит быть особенно бдительными, даже загружая программы из официальных сторов — App Store и Google Play.
• Следует проверять доменные имена подозрительных сайтов. Чаще всего злоумышленники используют созвучные популярным брендам домены. Надо использовать официальные приложения.
• При онлайн-покупках всегда надо проверять все реквизиты переводов и платежей. Никому нельзя сообщать коды из СМС и пуш-уведомлений, данные карты (PIN и CVV-коды), персональные данные;
• Не переходить по подозрительным ссылкам от неизвестных отправителей, мошенники могут заразить компьютер или телефон и украсть данные.

Опасность в том, что подобные типы онлайн-мошенничества несут риски не только для пользователей, но и для бизнеса и торговых марок, которые нелегально эксплуатируют мошенники. Однажды потеряв деньги из-за фейкового бренда, пользователь вряд ли к нему вернется.

Компаниям, чьи бренды являются весомым активом, в целях борьбы с таргетированным мошенничеством эксперты рекомендуют использовать высокотехнологичные продукты класса Digital Risk Protection. Применение запатентованных разработок Group-IB поиска и слежения за злоумышленниками, автоматизированный графовый анализ и слежение в режиме реального времени за инфраструктурой злоумышленников позволяют обнаруживать сразу всю сеть мошенников, блокируя ее, а не отдельные ссылки на фишинговые и скам-ресурсы. Таким образом 85% нарушений, связанных с любым типом мошенничества, устраняется в досудебном порядке, экономя ресурсы защищаемых организаций. В компании отмечают, что уровень защиты Digital Risk Protection проверен крупными брендами, а если пользователь инициирует судебные разбирательства с компанией, чей бренд был использован мошеннической схеме, Group-IB готова взять на себя все расходы.

Российские хакеры развернули масштабную целевую фишинговую кампанию

3 мая 2022 года стало известно о том, что российские хакеры развернули масштабную целевую фишинговую кампанию.

Группа APT29 атакует дипломатов и правительственные организации. Подробнее здесь.

2021

Зафиксировано значительное увеличение доли фишинга в общем объеме мошеннических атак

22 февраля 2022 года «Лаборатория Касперского» и «Райффайзен Банк» поделились трендами онлайн-мошенничества в 2021 году.

В 2021 году среди направлений, которые мошенники применяли в своих схемах, исследователи «Лаборатории Касперского» выделяют использование темы коронавируса, предложения лёгкого заработка, в том числе скама с розыгрышами и призами якобы от известных брендов, а также создание большого количества фейковых страниц платёжных систем. Эксперты «Райффайзен Банка» также отмечают значительное увеличение доли фишинга в общем объеме мошеннических атак.

«Мы замечаем значительный рост фишинга по сравнению с телефонным мошенничеством за последние полгода. В 2021 году фишинговые атаки составили 35% от всех случаев мошенничества, с которыми сталкивались наши клиенты, - в 2020 году эта доля составляла всего лишь 5%. Мошенники полностью автоматизируют свои действия: запуск фишинговых ресурсов и их распространение в сети занимает минуты. Мы отслеживаем появление таких сайтов и блокируем их, однако клиентам также важно сохранять бдительность», - прокомментировал Илья Зуев, руководитель управления информационной безопасности «Райффайзен Банка».

Одной из актуальных в 2021 году стала тема инвестиций: банки и другие организации целенаправленно продвигали инвестиционные и брокерские счета. По данным «Лаборатории Касперского», злоумышленники не остались в стороне от этого тренда и постарались сделать так, чтобы их «инвестиционные проекты» выглядели особенно заманчиво. Чтобы привлечь внимание и заполучить доверие потенциальных вкладчиков, мошенники распространяли в рунете объявления от имени известных бизнесменов и крупных компаний. В них предлагалось внести небольшую сумму, чтобы через некоторое время получить взамен значительную прибыль. В некоторых случаях злоумышленники подчеркивали стабильность и отсутствие рисков для инвестора, а также статус организации. Чтобы придать солидности процедуре, жертвам предлагалось пройти тест или оставить заявку, а иногда и получить консультацию специалиста. Итог же был один: отдав деньги мошенникам, инвестор не получал ничего.

В целом в схемах с фишингом в качестве приманки часто используются названия крупных известных компаний. По данным отчёта Kaspersky Fraud Prevention, в 2021 году чаще всего от неправомерного использования бренда страдали глобальные интернет-порталы и онлайн-магазины. На долю каждой из этих двух категорий приходился почти 21% подобных случаев. В 12% случаев использовались названия банков, в 8% - платёжных систем.

Согласно тому же отчёту, чаще всего в 2021 году злоумышленники пытались совершить несанкционированные денежные переводы, используя скомпрометированные учётные записи. Доля таких инцидентов составила 73%. В 21% случаев в ход шли боты и средства автоматизации.

«Злоумышленников привлекают горячие темы, особенно связанные с новыми видами заработка. Мошенникам удаётся эффективно использовать приёмы социальной инженерии и вытягивать чужие деньги. К тому же с развитием защитных технологий и ростом уровня цифровой грамотности пользователей мошенники усложняют разработку контента - скрывают следы и «зашумляют» тексты, искажают страницы, чтобы их сомнительное содержимое было трудно отследить. Мы призываем сохранять бдительность, не доверять подозрительным сообщениям в почте, мессенджерах или на просторах сети. Критическое отношение к сомнительным предложениям и использование проверенного защитного решения помогут сберечь деньги, данные и нервы», - говорит Татьяна Щербакова, старший контент-аналитик «Лаборатории Касперского».

Чтобы не стать жертвой скама или фишинговых схем, эксперты «Лаборатории Касперского» и «Райффайзен Банка» советуют:

• не переходить по сомнительным ссылкам из почты, сообщений в мессенджерах и SMS;
• если отправитель вызывает доверие, а содержание сообщения - нет, лучше удостовериться, что сообщение отправил именно тот, о ком вы думаете, например, спросить у человека напрямую голосом, если есть такая возможность;
• проверять написание адресов сайтов, прежде чем вводить на них данные;
• использовать защитное решение, которое предотвратит попытку перейти на фишинговый или скам-сайт.

45% россиян столкнулись с фишингом в 2021 году

3 декабря 2021 года Компания Avast опубликовала результаты опроса, посвященного фишингу. Эксперты хотели выяснить, как часто люди сталкивались с фишинговыми атаками за последние два года. Согласно полученным данным, в 2021 году люди чаще становились жертвами таких атак: об этом рассказали 45% опрошенных россиян. Этот показатель вырос на 4% по сравнению с результатами 2020 года.

Перед праздниками все ищут подарки близким, закупаются на распродажах. Из-за перебоев в поставках, связанных с пандемией, люди с большей вероятностью могут поверить сообщениям, в которых мошенники заявляют, что доставят популярные товары, сказал Луис Корронс, ИБ-евангелист компании Avast. — Если мы сравним результаты опросов в 2020 и в 2021 году, то увидим, что количество россиян, столкнувшихся с фишинговыми атаками, увеличилось на 7%. Мы надеемся, что повышая осведомленность о мошенничествах, мы делаем жизнь пользователей более безопасной.

В 2021 году с ними столкнулись 72% респондентов из России, при этом в 2020 году в аналогичном опросе о нем рассказали только 56% опрошенных. На втором и третьем месте соответственно — вредоносные электронные письма (60%) и смишинг (SMS-фишинг) (52%). Немного уменьшилось количество атак с социальной инженерией в реальной жизни: с 16% в 2020 году до 15% в этом.

В 2021 году на 4% выросло число пострадавших от фишинговых атак. При этом больше опрошенных рассказали о спаме: 48% сообщили о мошенничестве в полицию, службе безопасности на работе и антивирусному вендору. Чаще всего люди обращались в полицию (49%), в компанию, которую имитировали злоумышленники (38%) и к кому-то из своих коллег (17%).

Согласно предыдущему опросу, который мы провели с YouGov, онлайн-покупки во время пандемии ожидаемо были крайне востребованными в России. 24% россиян стали покупать в сети больше, чем до локдауна. 15% респондентов в это время впервые попробовали онлайн-шопинг. Последняя категория может быть особенно уязвима для фишинговых атак, связанных с покупками в сети, так как у них еще не так много опыта и они могут не заметить и не распознать угрозу вовремя», — отметил Луис Корронс.

Из россиян, ставших жертвами фишинга, чуть больше трети (38%) заявили, что им пришлось сменить пароли от аккаунтов, 29% заявили, что у них украли деньги, и у 15% украли личные данные. 29% жертв пришлось аннулировать кредитные или дебетовые карты — год назад об этом рассказали только 17% респондентов.

Опрос о фишинге 2021 был проведен среди 1372 пользователей Avast в России в Июле-Октябре 2021 года.

В России выявлено 1500 лжебанков

6 апреля 2021 года стало известно о выявлении в России 1529 лжебанков по итогам первого квартала. Это на 20% больше по сравнению с первыми тремя месяцами 2020-го. Об этом свидетельствуют данные компании BI.ZONE, специализирующейся на технологиях обеспечения информационной безопасности.

Мошенники маскируются под настоящие кредитные организации и обманом заставляют своих жертв вводить логины и пароли от своих реальных банковских аккаунтов или вносить предварительную комиссию для получения услуги по заниженной цене. Чтобы обезопасить себя, злоумышленники зачастую копируют фирменный стиль банка, и меняют одну-две буквы в юридическом названии.

Как с китайскими подделками известных брендов, — сравнил вице-президент банка «Ренессанс Кредит» Сергей Афанасьев в разговоре с «Известиями».

Рост числа фишинговых сайтов лжебанков объясняется тем, что такой вид мошенничества является самым дешёвым и массовым, отметил директор блока экспертных сервисов организации Евгений Волошин. По его словам, злоумышленники активизировались в 2020 году на фоне массового перехода на удалёнку и не снижают темпов. В среднем на блокировку фишинговых сайтов уходит от 10 до 70 часов, но в отдельных случаях на ограничение доступа к ресурсу нужно несколько недель.

В кредитных организациях изданию подтвердили рост числа фейковых страниц, через которые у граждан выманивают данные банковских карт или сведения для входа в аккаунт кредитной организации. Помимо этого, злоумышленники зарабатывают на комиссиях или страховках, которые якобы необходимы человеку для получения услуг на выгодных условиях.

В банке «Тинькофф» сообщили, что в первом квартале 2021 года число подделок под их сайт выросло на 70% по сравнению с четвертым кварталом 2020-го. Глава службы информационной безопасности ГК «Элекснет» (входит в группу МКБ) Иван Шубин считает, что рост количества сайтов-подделок связан в том числе с широким распространением онлайн-кредитов в 2021 году.^[9]

2020

Обнаружена фишинговая кампания, нацеленная на российские предприятия ТЭК

24 сентября 2020 года стало известно, что разработчик средств информационной защиты компания «Доктор Веб» опубликовала исследование фишинговой кампании, которая была нацелена на российские предприятия топливно-энергетического комплекса. Первая волна была датирована апрелем 2020 года, последние проявления активности случились в сентябре 2020 года. Подробнее здесь

В РФ зафиксирован резкий рост числа фишинговых доменных имен российских банков

В июле поставлен рекорд по фишингу среди клиентов российских банков: появилось 312 доменных имен, что больше, чем за все предыдущие месяцы 2020 года, вместе взятые, сообщил в августе "Коммерсант". С начала 2020 года общее количество таких доменов составило 618.

Две трети доменных имен оформлены через российских регистраторов, многие — в экзотических доменных зонах .cf или .icu.

Новые фишинговые сайты устроены по одной схеме. К официальному домену банка мошенники добавляют один или несколько символов или приставки "online", "cabinet", "vhod" и "login".

Такие сайты имитируют страницы входа в личный кабинет банковского обслуживания, причем атаки нацелены на корпоративный сектор. После ввода логина и пароля пользователю предлагается скачать плагин для браузера, под видом которого доставляется троян.

Райффайзенбанк предупреждает о новой схеме фишинга в e-commerce

Райффайзенбанк проанализировал активность мошенников в сегменте e-commerce. Согласно данным банка, с января 2020 года они более активно используют поддельные веб-страницы, вовлекая доверчивых граждан в схемы, связанные с `дешевой покупкой` и `возвратом` денег за товары на крупнейших ecommerce-площадках. Эти данные частично подтверждает статистика `Лаборатории Касперского` – с начала года антифишинговые базы компании были пополнены более чем 4 тысячами русскоязычных фишинговых ресурсов, притворяющихся известными онлайн-магазинами.

Мошенники используют фишинговые страницы, которые имитируют `платежные сервисы` известных e-commerce площадок, заманивая покупателей возможностью выгодно купить, продать или вернуть товар. Для этого `продавец` в личном сообщении предлагает перейти на страницу, имитирующую страницу e-commerce ресурса, и предлагает ввести данные карты. После получения данных карт мошенники используют их для оплаты онлайн-покупок, пытаются вывести средства с помощью card-to-card перевода или продают в Darknet.

Для того, чтобы усыпить бдительность, мошенники используют такие формулировки, как `передали товар в службу доставки`, объясняя этим отказ от безопасной сделки на сайте площадки и предлагая провести `безопасный платеж`/ `безопасную сделку` через ссылку, присланную в сообщении.

Чтобы защититься от уловок мошенников во время онлайн-покупок, не забывайте, что:

• Настоящие онлайн-магазины или ecommerce-площадки всегда используют принцип безопасной сделки;
• Внимательно оценивайте предложение: если товар стоит значительно меньше, чем в других магазинах, вероятно, это мошенники;
• Перед покупкой сделайте хотя бы минимальную проверку интернет-магазина — изучите сайт, почитайте отзывы клиентов, информацию по ИНН организации. Проверьте, как осуществляется доставка из интернет-магазина, ее сроки, есть ли пункт самовывоза товаров. Для неизвестных сайтов лучше поискать отзывы в интернет;
• Отдельное подозрение должно вызывать использование небезопасного протокола http вместо https;
• Лучше использовать уникальный сложный пароль для каждого из своих аккаунтов, даже если речь идёт про онлайн-магазины, а также, где это возможно, настроить двухфакторную авторизацию для входа. Не используйте пароли от социальных сетей и банковских программ для онлайн-магазинов;
• Перед вводом данных карты проверьте название ресурса, на котором их вводите. Переходите на ссылки для оплаты только с проверенных ресурсов. Заведите отдельную карту для онлайн-покупок и пополняйте её нужной суммой непосредственно перед оплатой;
• Подключите оповещения или регулярно просматривайте транзакции по карте в интернет-приложении банка. Это снизит риск того, что сумма будет списана незаметно, так как зачастую мошенники проверяют правильность карточных данных, совершая транзакции на небольшие суммы. Это также поможет предотвратить дальнейшие списания при своевременной блокировке карты.

Фишинговая схема с курьерской доставкой онлайн-заказов

19 мая 2020 года стало известно о новой фишинговой схеме, которую мошенники начали активно применять в период самоизоляции россиян в условиях пандемии коронавируса COVID-19. Речь идёт об аферах с курьерской доставкой онлайн-заказов.

Как сообщает Group-IB, на сервисах бесплатных объявлений злоумышленники создают приманки — публикации о продаже товаров по заниженным ценам. Чтобы обойти защиту доски объявлений, злоумышленники через сервис только связываются с жертвой, после чего предлагают перейти в мессенджер, чтобы «обсудить покупку». После этого они узнают у покупателя ФИО, адрес и номер телефона якобы для оформления доставки и просят заполнить форму на странице, похожей на сайты известных курьерских служб. На самом деле это фальшивка, а данные банковской карты уходят мошенникам. Средний чек одной такой «покупки» составляет примерно 15–30 тыс. рублей.

Отмечается, что у всех участников преступного сообщества — свои роли. Одни создают фишинговые ресурсы, нанимают «сотрудников» и распределяют сворованное. Другие выкладыват «приманки» на ресурсах бесплатных объявлений и общаются с «клиентами», называя их «мамонтами». Третьи обзванивают жертв и «разводят» их на «возврат» денег.

Group-IB направила почти 250 фишинговых ресурсов, работающих по схеме с фейковой курьерской доставкой товаров, заказанных через интернет. Эксперты раскрыли преступную группировку Dreamer Money Gang (DMG), которая организовала фишинговую схему через Telegram-бот. Ежедневный оборот DMG превысил 200 тыс. рублей.

Выручка другой преступной группы (название не указано) стремительно росла в последние месяцы. Так, в январе мошенники заработали 784, 6 тыс. рублей, в феврале — 3,5 млн рублей, в марте — 6,2 млн рублей, а в апреле — 8,9 млн рублей.^[10]

МВД и Group-IB задержали администраторов мошеннического онлайн-сервиса, торговавшего поддельными пропусками

Сотрудники московского уголовного розыска при содействии экспертов Group-IB, международной компании, специализирующейся на предотвращении кибератак, задержали администраторов мошеннического сервиса, продававшего фейковые цифровые пропуска на период карантина для жителей Москвы и регионов России. Об этом Group-IB сообщила 27 апреля 2020 года. Всего эксперты обнаружили 126 мошеннических интернет-ресурсов — сайтов, каналов и групп в соцсетях, где незаконно продают поддельные справки и пропуска. Больше половины сервисов уже заблокировано.

Первые мошеннические схемы по продаже электронных пропусков, по данным Group-IB, появились в конце марта -начале апреля 2020 года, когда столичные власти ужесточили требования к самоизоляции и ограничили передвижения по городу. Указом мэра Москвы были установлены три официальных способа бесплатного получения цифровых пропусков: онлайн на портале mos.ru, по телефону +7 (495) 777-77-77 и по SMS на номер 7377. Однако, начиная с 13 апреля, Group-IB фиксировала взрывной рост регистрации мошеннических сервисов: сайтов, Telegram-каналов, VK, ОК и Instagram-аккаунтов, предлагающих купить справки-пропуска на период карантина по цене в среднем от 3000 до 5500 рублей.

Эксперты отдела расследований Group-IB вычислили администраторов одной из преступных групп, предлагавших через популярный мессенджер покупку пропусков для свободного передвижения по Москве, Санкт-Петербургу и Краснодару. Мошенники представлялись сотрудниками правоохранительных органов и в личной переписке обещали помочь клиентам с оформлением пропусков, как они утверждали, по «серой схеме через портал Госуслуг» . Для получения поддельного пропуска интернет-аферисты просили прислать им паспортные данные, и, если требовался пропуск на автомобиль — его госномер. Однако после получения денег на банковскую карту, мошенники удаляли чат с жертвой, включив ее телефон в «черный список». За две недели работы сервиса мошенники смогли совершить несколько сделок — цена их услуг варьировалась от 2500-3500 рублей. Как правило, жертвой мошенничества стали те, кто особенно сильно волновался из-за ограничения передвижения и не дождался начала официального оформления пропусков.

В ходе расследования сотрудниками угрозыска и экспертами Group-IB были получения доказательства, подтверждавшие причастность двух жителей Москвы и Подмосковья, 19 и 23 лет, к администрированию сервиса. Оба подозреваемых были задержаны 21 апреля, дали признательные показания. Возбуждено уголовное дело по признакам преступления, предусмотренного статьей 159 УК РФ (Мошенничество). Во время обыска были изъяты мобильные телефоны и ноутбуки.

В последнее время мошенники очень активно используют темы коронавируса, самоизоляции и введения пропускного режима для схем: фейковых рассылок, обзвонов от имени соцзащиты, предложений покупки цифровых пропусков. Опасность в том, что жертвы, оплачивая пропуск, могут не только потерять деньги, данные банковских карт, но и персональную информацию. Получив данные паспорта, мошенники могут взять на имя жертвы кредит в микрофинансовых организациях или оформить потребительский кредит, предупреждает руководитель отдела расследований Group-IB Сергей Лупанин

По данным на 26 апреля 2020 года, Департамент инновационной защиты бренда и интеллектуальной собственности Group-IB обнаружил 126 мошеннических ресурсов, торгующих цифровыми пропусками: 25 сайтов, 35 групп и аккаунтов в соцсетях и 66 телеграм-каналов. Group-IB уже заблокировала 78 ресурсов, остальные - в процессе блокировки. Работа по мониторингу продолжается.

Group-IB выявила мошенническую схему под видом премии «Лайк года 2020»

20 февраля 2020 года компания Group-IB сообщила, что совместно с Rambler Group выявила многоступенчатую мошенническую схему под видом фиктивной Ежесезонной премии «Лайк года 2020». В рамках масштабной фишинговой атаки пользователям предлагалось выиграть крупный денежный приз за случайно выбранный лайк, поставленный ими в соцсетях. В общей сложности было обнаружено более 1000 связанных доменов, использовавшихся в атаке.

По информации компании, для привлечения желающих получить премию мошенники взломали почтовые серверы одного из операторов фискальных данных (ОФД) и массово рассылали пользователям Рунета сообщения от имени «команды Rambler». После обращений пользователей в Rambler Group, компания провела свое расследование и привлекла Group-IB к реагированию на инцидент.

Центр реагирования на киберинциденты CERT-GIB Computer Emergency Response Team - Group-IB выявил, что мошенники использовали несколько векторов атаки для заманивания пользователей к участию в премии «Лайк года 2020». Помимо рассылки почтовых сообщений они также доставляли фишинговые сообщения через другие каналы, в частности, направляли оповещения о денежном вознаграждении в Google-календарь. Используя распространенные методы социальной инженерии, основанные на желании выигрыша, мошенники в течение длительного времени выманивали данные банковских карт пользователей. Тема посланий так или иначе была связана с денежными выплатами. Получателей поздравляли с победой в конкурсе и с денежным призом, который составлял от 100$ до 2 000$.

В результате проведенных мероприятий рассылка под видом Rambler Group была остановлена. Со своей стороны, Rambler Group связалась с публичными почтовыми сервисами, предупредила их об атаке и попросила превентивно перемещать мошеннические письма в «Спам». В рамках дальнейшей работы специалистам Group-IB удалось заблокировать большинство связанных с атакой сайтов, на которые осуществлялись переходы из полученных писем и приглашений. В общей сложности схема насчитывает более 1000 доменов. На февраль 2020 года работа по блокировкам продолжается.

Мы обращаем особое внимание пользователей на подобные фишинговые атаки. Чаще всего мошенники прикрываются известными брендами и компаниями, чтобы втереться в доверие получателей, собрать их личные данные и использовать их в корыстных целях. Получив подозрительное письмо, стоит к нему отнестись с осторожностью – не переходить по указанным ссылкам. Поэтому мы советуем в таком случае связаться с представителями бренда и уточнить, действительно ли была такая рассылка. рассказал Илья Зуев, директор по кибербезопасности Rambler Group

Мы тестировали схему «Лайк года» на десктопе и мобильных платформах – она везде качественно сверстана и на всех этапах реализации призвана вызвать доверие у пользователя. Этим объясняется ее длительный период активности. Помимо «лайка», графовый анализ выявляет порядка 6 различных сценариев мошеннических кампаний с одинаковой логикой, включая, например, выплаты от несуществующего «Фонда видеоблогеров», Центры финансовой защиты и другие. С каждым сценарием связано от 100 до 350 доменов. Это достаточно разветвленная инфраструктура. В некоторых сценариях почтовые адреса, использующиеся в качестве поддержки и консультации, были зарегистрированы на украинские номера. рассказал Ярослав Каргалев, замруководителя CERT-GIB

Атаку «Лайк года» отличает ряд особенностей. Использование календаря в сервисе Gmail на февраль 2020 года является относительно свежим трендом в социальной инженерии. При настройках календаря по умолчанию данные приглашения автоматически добавляются в него вместе с напоминанием. Таким образом любой пользователь Google-календаря может отправить приглашение на мероприятия другим пользователям Gmail, даже если их нет в его адресной книге. В итоге жертва получит уведомление о создании события на почту. Ключевые слова в содержании будут следующими: "банк, одобрена, выплата денежных средств, программа, возмещение, получение, согласовано, федеральная, служебная, реквизиты" и т. д.

В обоих случаях при клике на ссылку в письме или приглашении, пользователь попадает на сайт-приманку. На экран выводится сумма выигрыша, например, 1735$, а для создания доверия к конкурсу здесь же, на сайте, размещаются восторженные отзывы якобы уже выигравших свой приз пользователей.

Далее на связь выходит «оператор», который консультирует пользователя о дальнейших шагах. В данном случае вместо стандартного окна чата с аватаркой для большей реалистичности мошенники используют видео, в окне рядом демонстрируются инструкции.

Затем редирект – на этот раз пользователя просят ввести номер банковской карты для перевода ему выигрыша. Следующий этап схемы – твист (термин, обозначающий неожиданный поворот в кино): банк внезапно отклоняет карту пользователя. Для решения проблемы предлагается конвертировать валюту, так как выплата может быть произведена только в рублях. Пользователю необходимо заплатить небольшую комиссию – порядка 270 рублей.

Пользователь соглашается оплатить комиссию. Кульминация схемы – редирект на сайт с «безопасным» вводом банковских реквизитов: номера карты, срока действия и CVV, чтоб оплатить комиссию на якобы верифицированном всеми возможными платежными системами сервисами.

Именно здесь происходит кража данных банковской карты пользователя. В схеме с «Лайком года» на последнем этапе ввода данных используется реальный платежный шлюз. То есть «комиссию» мошенники действительно списывают, но их основная цель – данные карты. Как правило, в дальнейшем коллекции текстовых данных карт продаются в кардшопах или же на них приобретаются товары с целью дальнейшей перепродажи и обнала.

Для того чтобы не стать жертвой мошенников, необходимо знать основы цифровой гигиены и постоянно обновлять свои знания. Ниже несколько советов от Rambler Group о том, как самостоятельно определить признаки фишинга и защитить свой аккаунт:

• Пользователю необходимо отнестись с опаской к сообщениям и формам, в которых просят указать личные данные.
• Пользователю необходимо отключить возможность автоматического добавления приглашений и мероприятий в Google-календарь (Настройки>> Мероприятия>> Автоматическое добавление мероприятий (отключить)).
• Не стоит переходить по ссылкам, присланным в подозрительных или непонятных сообщениях электронной почты или через социальные сети.
• Пользователю не стоит загружать и запускать вложенные файлы из сообщений электронной почты, которые пользователь не ожидал.
• Пользователю необходимо внимательно анализировать адреса сайтов, на которые ведут ссылки из писем.
• На всех аккаунтах, где это возможно, рекомендуется подключить двухфакторную аутентификацию. Это поможет, если основной пароль попал к взломщикам.
• Необходимо своевременно обновлять системное и прикладное ПО и устанавливать обновления безопасности.

2019

"Лаборатория Касперского" рассказала о схеме корпоративного фишинга, имитирующей процесс аттестации сотрудников

По словам старшего контент-аналитика «Лаборатории Касперского» Татьяны Щербаковой, малоизвестная схема корпоративного фишинга имитирует процесс аттестации сотрудников компании. Об этом стало известно 6 ноября 2019 года.

По ее словам, о данном способе фишинга Лаборатория Касперского узнала от своих клиентов. Мошенники отправляют на адреса сотрудников различных компаний, в том числе банковской сферы, письма с поддельными ссылками, в которых содержится предложение пройти оценку знаний и навыков на якобы HR-портале, авторизовавшись с логином и паролем от рабочей почты.

В результате мошенники могут получить доступ к корпоративной переписке, в том числе к логинам и паролям от баз данных с персональной информацией клиентов или к самим базам, если они пересылаются в открытом виде.

Алексей Голенищев, директор по мониторингу электронного бизнеса Альфа-Банка, согласился назвать описанный метод «новой схемой» корпоративного фишинга, но рамках «рассылок мошеннических электронных писем».

Раньше это были письма с раскрываемыми «зараженными» вирусами файлами, ссылками на фейковые ресурсы и пр. Очевидно, знания и опыт пользователей корпоративных компьютерных систем растет, в т.ч. в части безопасности, и мошенникам приходится придумывать все новые схемы поделился Алексей Голенищев

Однако эксперт считает, что с помощью описанной схемы фишинга можно выудить логины и пароли от корпоративной почты конкретных сотрудников, если в компании не уделяется должное внимание внешней и внутренней ИТ-безопасности^[11].

Кибератака группы Silence на российские банки под видом приглашения на форум

18 января 2019 года Group-IB сообщила о масштабной волне вредоносных рассылок группы Silence в России. С начала года это самая крупная атака, насчитывающая более 80 000 получателей — сотрудников российских кредитно-финансовых организаций, среди которых основную долю занимают банки и крупные платежные системы.

Массовая атака началась с фишинговых рассылок Silence 16 января. Вредоносное вложение было замаскировано под приглашение на iFin-2019. Подробнее здесь.

2018

Хакеры под видом ЦБ атаковали российские банки через фишинг

15 ноября 2018 года хакерская группа Silence атаковала российские банки, сообщил «Коммерсантъ»^[12]. Под видом ЦБ РФ злоумышленники разослали письма с вредоносным программным обеспечением. Для этого атакующие стилизовали письма и документы под те, которые рассылает Банк России. По мнению экспертов, образцы этих документов хакеры получили, взломав почтовые ящики сотрудников банков.

О том, что российские банки получили вредоносную рассылку якобы с почтового ящика ЦБ РФ, рассказали в Group-IB и подтвердили в «Лаборатории Касперского». Хакеры подделали адрес отправителя, но по какой-то причине не стали использовать SSL-сертификаты для прохождения проверки на подлинность. В общей сложности получателями ноябрьской рассылки, по данным Group-IB, оказались как минимум 52 банка в России и 5 банков за рубежом. Письма, озаглавленные как «Информация центрального банка Российской Федерации», предлагали банкирам ознакомиться с постановлением «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Для этого получатель должен был распаковать архив.

Распаковка архива приводила к загрузке вредоносной программы Silence.Downloader. Этот инструменты используют хакеры из Silence.

Стиль и оформление письма практически идентичны официальным рассылкам регулятора, — рассказали в Group-IB. Скорее всего, хакеры имели доступ к образцам подлинных сообщений.

В компании полагают, что для этого злоумышленники или взломали почтовые ящики сотрудников банка, либо занимались или занимающиеся легальной работой — пентестами (тестированием безопасности компьютерных систем с помощью моделирования хакерской атаки) и реверс-инжинирингом (попытками воспроизвести код каких-либо программ). Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем, полагают в Group-IB.

До этого аналогичная атака была зафиксирована 23 октября. Тогда якобы с адреса ФинЦЕРТ (структуры ЦБ, занимающейся кибербезопасностью) банки получили письмо с вложениями, стилизованными под документы регулятора, которые содержали в себе вредоносную программу — загрузчик Meterpreter Stager. Для управления этой атакой использовались самоподписанные SSL-сертификаты.

Серверная инфраструктура, используемая атакующими, ранее использовалась в атаках, за которыми предположительно стояли хакеры из группировки MoneyTaker.

Silence и MoneyTaker являются двумя из четырех наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций, — считает эксперт по киберразведке Рустам Миркасымов. — Хакеры из MoneyTaker используют все возможные векторы атак на банки, а Silence в свою очередь менее изобретательны и пользуются только безотказным и проверенным способом атаки — фишинговыми письмами. Но, в отличие от своих коллег, уделяют больше внимания содержанию и оформлению текста писем.

Атакующие используют известный и по-прежнему очень эффективный метод — получают доступ к внутренней банковской сети и закрепляются в ней, — пояснил «Коммерсанту» ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. — В течение долгого времени киберпреступники изучают внутреннюю инфраструктуру сети и производят запись с экранов машин сотрудников банка.

После анализа того, как используется внутрибанковское программное обеспечение, хакеры осуществляют перевод денежных средств из банка.

Silence — малочисленная российская хакерская группа, зафиксированная в 2016 году. Эксперты полагают, что за ними числятся атаки на системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР. Хакеры атакуют цели в основном в России, Украине, Белоруссии, Азербайджане, Польше и Казахстане.

Ежедневное количество успешных фишинговых атак в России выросло до 1274

9 октября 2018 года Group-IB представила парадигму информационной безопасности.

Атаки на клиентов банков

Веб-фишинг – метод хищений, который показал рост и в России, и на международном рынке в 2018 году. Количество групп, которые создают фишинговые сайты под российские бренды выросло с 15 до 26. В России общее количество ежедневных успешных фишинговых атак выросло до 1274 (ранее – 950). С помощью web-фишинга в России было похищено 251 млн. рублей, что на 6% больше, чем в 2017 году.

На международном рынке, в отличии от прошлого периода, первую позицию заняли фишеры, нацеленные на облачные хранилища, а не на финансовый сектор. По объему фишинговых сайтов в мире США занимает 1 место (80%), 2 место – Франция, 3-е – Германия. Согласно отчету Group-IB, 73% всех фишинговых ресурсов попадают в следующие три категории:

• облачные хранилища (28%),
• финансовые (26%),
• онлайн-сервисы (19%).

Мошенничество с банковскими картами остается в числе наиболее опасных угроз для физических лиц: недостаточное распространение систем поведенческого анализа при проведении транзакций приводит не только к прямому ущербу, но и к росту бизнеса кард-шопов. Ежемесячно в мире для продажи в кард-шопах загружаются около 686 тысяч текстовых данных скомпрометированных банковских карт и 1.1 млн дампов. Общий объем рынка кардинга за анализируемый период составил – $663 млн.

Снижение угроз со стороны банковских троянов для ПК в России продолжается с 2012 года. Атаки на физических лиц ушли в прошлое, а ущерб для юридических лиц по итогам отчетного периода сократился еще на 12% и составил 547 800 000 ₽ (8,3 млн).

Рынок Android-троянов после нескольких лет роста остановился в России, но продолжает развиваться на мировой арене. Количество проводимых ежедневных хищений с помощью Android-троянов в России снизилось почти в три раза. Также стоит отметить и сокращение среднего размера хищений. Если в 2017 году он был 11 тысяч рублей, то в этом году уже 7 тысяч.

На международном рынке ситуация радикально отличается: за анализируемый период было выявлено 6 дополнительных троянов для ПК, а также выложены либо проданы исходные коды еще 5 троянов.

Саботаж и шпионаж – главные цели проправительственых хакеров

Фокус перспективной разработки и инноваций в создании сложных вирусов, а также проведении многоступенчатых целевых атак сместился от финансово-мотивированных киберпреступников к проправительственных хакерам. Их действия направлены на обеспечение долговременного присутствия в сетях объектов критической инфраструктуры с целью саботажа и шпионажа за компаниями энергетического, ядерного, коммерческого, водного, авиационного и других секторов.

В топ-3 стран происхождения самых активных проправительственных хакерских групп входит Китай, Северная Корея и Иран. Шпионаж также остается ключевым направлением деятельности групп, спонсируемых государствами разных стран. Азиатско-Тихоокеанский регион (APAC) по итогам H2 2017 – H1 2018 стал самым активно атакуемым хакерами разных стран. За год здесь была зафиксирована активность 21 различных групп, что больше чем в США и Европе вместе взятых. Еще одним вектором шпионажа в Group-IB называют взлом домашних и персональных устройств должностных лиц государств.

В отчете Group-IB представлены порядка 40 активных групп, но их гораздо больше. Они спонсируются различным государствами, среди которых: Северная Корея, Пакистан, Китай, США, Россия, Иран и Украина. Страновую принадлежность части групп пока установить не удалось. Как правило, обнаруженные группы или правительственные кампании уже существовали несколько лет, но по разным причинам не были замечены. В разделе отчета Group-IB, посвященном атакам на критическую инфраструктуру делается неутешительный вывод: ландшафт APT-угроз, характерный для каждого региона постоянно меняется, хакеры стараются пользоваться широко распространенными инструментами, в том числе для тестов на проникновение, что затрудняет работу исследователей. Отсутствие данных об обнаруженных атаках в отдельной стране или секторе экономике, скорее всего, означает, что о них пока не известно, а не о том, что они отсутствуют.

Финансовый сектор вновь под угрозой

Традиционно один из самых обширных блоков отчета посвящен тактике атакующих и ущербу, нанесенному киберпреступниками финансовым организациям. В 2018 году была раскрыта хакерская группа – Silence. Помимо нее самыми опасными для банков во всем мире являются MoneyTaker, Lazarus и Cobalt. Они способны взломать банк, добраться до изолированных финансовых систем и вывести деньги. Три группы из четырех – русскоговорящие.

В среднем, каждый месяц в России успешно атакуют 1-2 банка: средний ущерб от атаки – 132 млн. руб ($2 млн). Эксперты Group-IB констатируют, что количество целенаправленных атак на банки с целью хищения через SWIFT за отчетный период увеличилось в три раза. Среднее время для обналичивания денег из банкомата дропами или мулами составляет всего около 8 минут.

Среди других наиболее вероятных регионов возникновения киберпреступных организаций – Латинская Америка, а также Азиатские страны. Скорее всего их первыми целями будут банки. Эксперты Group-IB предупреждают, что коллаборация хакерских групп, применение ими легальных инструментов и умышленное копирование тактики друг друга приведут к многочисленным ошибкам в атрибуции.

Крипто-индустрия

Около 56% всех средств, украденных с ICO, были похищены с помощью фишинговых атак. В 2017 и 2018 годах внимание хакеров возросло к атакам с целью взлома криптобирж. Всего было ограблено 14 криптовалютных бирж. Общий ущерб – более $882 млн.

Криптоджекинг (скрытый майнинг), как направление мошенничества, получило наибольшее развитие в 2017-2018 гг. После выхода ПО для скрытого майнинга Coinhive, появилось еще 7 программ подобного типа. Эксперты Group-IB прогнозируют, что крупнейшие майнеры в мире могут стать целью не только киберпреступников, но и прогосударственных атакующих. При определенной подготовке это может позволить им взять под контроль 51% мощностей для майнинга и захватить управление криптовалютой. Сразу 5 успешных «атак 51%» было зафиксировано в первой половине 2018: сумма прямого финансового ущерба составила от 0,55 млн до 18 млн долларов.

Технологии взлома

Если в 2017 году основное внимание специалистов по безопасности было связано с эпидемиями WannaCry, NotPetya, BadRabbit, то начало 2018 года показало, что очередной источник глобальной угрозы информационной безопасности – это side-channel атаки и уязвимости микропроцессоров разных вендоров. В отчете Group-IB анализируется множество примеров, показывающих реальную опасность «брешей» аппаратного обеспечения и их ключевую проблему: все эти уязвимости невозможно быстро и эффективно закрыть при помощи программных обновлений. Именно поэтому исследовательская активность, посвященная поиску уязвимостей в BIOS/UEFI усиливается с каждым годом пропорционально возросшему количеству угроз, которые используются в реальных целенаправленных атаках. При этом о них становится известно благодаря утечкам, а не исследованию атак: на рынке нет решений, которые могли бы эффективно выявить такие угрозы.

В Group-IB констатируют, что исследования, посвященные поиску уязвимостей в BIOS/UEFI, а также разработка реальных эксплойтов – достаточно трудоемкие и дорогие процессы: не так много хакеров способны выполнять такие атаки, но эта ситуация может измениться, что в корне изменит подход к кибербезопасности в ближайшие годы.

= 2017: КЦ: Среди типов вредоносной активности лидирует фишин =

В мае 2017 года компетентными организациями, сотрудничающими с Координационным центром доменов .RU/.РФ, в адрес регистраторов было направлено 329 обращений о снятии с делегирования доменных имен.

Анализ доменов-нарушителей по типу выявленной вредоносной активности в отчетном периоде показал, что лидирующее место по-прежнему принадлежит доменным именам, связанным с фишингом (257 обращений). Далее следует распространение вредоносного ПО (65 обращений) и контроллеры бот-сетей (7). Стоит отметить, что фишинг остается лидером по количеству обращений уже на протяжении 10 месяцев – за исключением марта, когда на долю фишинга пришлось «лишь» 49% всех обращений.

За отчетный период по обращениям компетентных организаций с делегирования были сняты 313 доменных имен. Для 15 доменных имен снятия делегирования не потребовалось, так как причины блокировки были оперативно устранены (или ресурс был заблокирован хостинг-провайдером).

2016: Российские киберпреступники отказываются от фишинга в пользу скимминга

В связи с принимаемыми мерами по усилению безопасности мобильных и online-сервисов растет популярность кардинга. Как сообщает издание «Известия» со ссылкой на экспертов компании Zecurion, злоумышленники все чаще похищают данные банковских карт с помощью не фишинга, а установленных в банкоматах скиммеров.

За период с января по июнь 2016 года на долю кардинга пришлось 87% от всех похищенных средств россиян. Остальные 13% киберпреступники «заработали» с помощью фишинга. Как сообщают эксперты, количество преступлений, осуществляемых в интернете, по сравнению с прошлым годом сократилось на 3%. Ровно на столько же возросла доля offline-преступлений.

В январе–июне 2016 года скимминг принес злоумышленникам доход в размере 900 млн руб., в то время как фишинг — 140 млн руб.

2014: APWG: Количество фишинг-инцидентов в РФ снижается

По данным отчета Anti-Phishing Working Group за 1й квартал 2014 года, на территории РФ отмечается снижение инцидентов, связанных с фишингом. Доля ip адресов, располагающихся на территории РФ, с которых осуществлялись мошеннические действия, существенно снизилась и составила в среднем 1,6 % в первом квартале 2014 против 15,3% в аналогичном квартале 2013.

Очевидно, что киберпреступления, связанные с фишингом, поменяли свою географическую принадлежность, встретив на территории РФ сильный отпор. В настоящий момент всплеск инцидентов по географической принадлежности приходится на США, Турцию и КНР. Однако, в компании Group-IB считают, что это временное явление и киберпреступники готовятся вскоре нанести новый удар.

О том, что компания Group-IB отправила киберпреступников в нокдаун, напрямую говорит аналитика работы CERT-GIB за первое полугодие 2013 и 2014 годов. Так, в первом полугодии 2014 специалистами CERT-GIB было обработано на 52% меньше заявок: 1537 в 2013 году против 800 заявок за аналогичный период 2014 года. Фишинг удалось снизить на 70%. 762 инцидента за первое полугодие 2013 года к 235 инцидентам за тот же период 2014 года. Таким образом, связь с количества входящих заявок с долей инцидентов фишинга более чем очевидна. В Group-IB подчеркивают, что это временное явление. Финансовый сектор в России по прежнему является объектом повышенного интереса со стороны киберпреступников.

Объем финансовых средств в платежных системах стабильно растет. Банки, в свою очередь, постоянно совершенствуют онлайн-сервисы, тем самым привлекая все большее число пользователей, а это все новые и новые персональные данные, которые нужны злоумышленникам как воздух. В компании предостерегают не снижать бдительности в вопросах информационной безопасности. То, что киберпреступники готовят нанести новый удар очевидно и вполне предсказуемо. Стоит отметить, что победа в выигранном раунде в борьбе с киберпреступностью многим обязана компетенциям Group-IB, наделенным Координационным центром национального домена сети Интернет, в которые входят противодействие фишингу, вредоносному ПО и ботнет-контроллерам.

Смотрите также

Примечания