Игра на устрашение: как не стать жертвой хакеров во время пандемии COVID-19
Новый всплеск интернет-мошенничества, связанный с началом массовой вакцинации от COVID-19, зафиксировали в начале 2021 года специалисты по информационной безопасности (ИБ). Еще в прошлом году хакеры «оседлали» тему пандемии, активно используя охватившую мир панику.
По данным Positive Technologies, тема коронавируса затрагивалась в 13% всех мошеннических рассылок. Причем скорость реакции на новую повестку впечатляет: например, уже в феврале 2020 года кибермошенники заработали $1 млн на фейковой кампании по продаже медицинских масок и антисептиков в Великобритании. «Профиль» выяснил у экспертов, как меняются обманные схемы и как защититься от новых киберугроз.
Работа под прикрытием
Еще весной 2020 года, в первую волну пандемии, сетевые жулики разработали целый арсенал новых уловок: продавали фальшивые цифровые пропуска, выписывали лжештрафы за нарушение карантина, предлагали провести тестирование на дому, гарантировали денежные компенсации за лечение. Играя на страхе и информационном голоде граждан, они умело использовали горячие темы: продажу медицинских товаров и услуг, обход режимов самоизоляции и так далее.
Штамм в паспорте: зачем справки вакцинированным и переболевшим COVID-19
Собеседники «Профиля» рассказали, что в 2021 году вектор останется прежним. Новым прикрытием для мошенников станет тема вакцинации, слухам и домыслам о которой нет конца. Руководитель отдела ИБ-аналитики Positive Technologies Екатерина Килюшева призывает опасаться информационных рассылок о сроках и местах вакцинации, а также форм записи на получение или покупку препарата. По мнению Алексея Федорова, главы представительства Avast в России и СНГ, очень вероятно паразитирование на «паспортах здоровья».
Другой потенциальный сценарий – приглашение от имени госучреждения участвовать в тестировании вакцины за вознаграждение, говорит Екатерина Рудая, эксперт лаборатории практического анализа защищенности «Инфосистемы Джет». Возможен и обратный вариант: предложение привиться зарубежной вакциной за предоплату. В «Лаборатории Касперского» согласны, что до завершения пандемии тема здоровья останется любимой приманкой хакеров, поскольку информация о лечении и действиях властей будет по-прежнему крайне востребована.
Жертвами мошенников становятся не только рядовые пользователи сети. Как предупреждают в лаборатории анализа угроз Avast, в зоне риска также фармацевтические компании. Осенью 2020-го Microsoft рассказал о нескольких кибератаках на известных производителей вакцины от коронавируса, а в январе в сеть «утекли» документы о вакцине Pfizer.
Любопытно, что отдельные хак-группировки решили не трогать медицинские организации в условиях пандемии – в частности, о таком намерении заявил известный шифровальщик Maze (правда, вскоре после этого обещания хакеры все же опубликовали информацию, похищенную у британской клиники Hammersmith Medicines Research). Другой вымогатель, DoppelPaymer, наоборот, подчеркнул, что фармацевты нередко наживаются на панике, поэтому их защищать не стоит, в отличие от больниц и экстренных служб. Стать жертвой целевых атак в 2021 году, по мнению «Лаборатории Касперского», может каждая организация, заявившая об успехах в разработке препаратов для борьбы с вирусом.
Эволюция фишинга
Хотя интернет-махинации адаптируются к повестке дня, их цель – кража данных или денег – остается неизменной. Остались прежними и два основных метода злоумышленников.
Где пользователей интернета сегодня подстерегают вирусы, и как от них защититься
Социальная инженерия. С началом пандемии активизировались недоброжелатели, специализирующиеся на психологии – они запустили манипулирующие email-рассылки и SMS-сообщения. Получили распространение фейковые благотворительные акции: например, в марте 2020 года встречались письма с призывом отправить пожертвование на разработку вакцины от коронавируса для детей в Китае. А в конце лета в одной из рассылок, направленной жителям Великобритании, предлагалось оплатить лжевакцину. Ссылка вела на поддельный сайт канадской аптечной сети.
Пожалуй, самым небанальным ходом стала рассылка от имени врача о теории заговора. В письме говорилось, что вирус выпущен на свободу, чтобы сократить популяцию людей и облегчить тотальный контроль за населением. Читателям предлагали получить разработанную «доброжелателями» секретную вакцину, для чего требовалось оставить свои ФИО, адрес и телефон. Стоит ли говорить, что данные отправлялись злоумышленникам?
Роспотребнадзор предостерегает от сайтов, предлагающих купить любые «чудо-средства» от заражения. Также в ведомстве сообщили, что мошенники используют предлог бесплатного тестирования или дезинфекции дома ради квартирной кражи.
Хакинг (запуск вредоносного ПО). Другая тенденция – создание тематических сайтов с информацией о коронавирусе, начиненных шпионским ПО или программами-вымогателями. Так, распространялся спам с адресов @who.com, @who.org или @who-safety.org (WHO – аббревиатура Всемирной организации здравоохранения): пользователей просили перейти по ссылкам для получения якобы крайне важных новостей о вирусе. Таким образом злоумышленники похищали личную информацию и платежные данные, получали доступ к счетам жертв.
Была создана копия сайта Университета Джонса Хопкинса (университет в Балтиморе, США, публикующий ежедневную статистику заболеваемости коронавирусом) с картой распространения инфекции на домене Corona-Virus-Map.com – посетителям предлагалось загрузить приложение. Согласившиеся получали на свое устройство следящее ПО.
Отдельную угрозу представляют мобильные приложения по теме коронавируса. Например, при скачивании приложения Coronavirus.apk Android-пользователи предоставляли мошенникам доступ к звонкам, SMS, календарю, файлам, контактам, микрофону и камере. В Узбекистане пользователи загружали приложение с коронавирусной статистикой, а получали опасный троян Android Trojan Spy. Это ПО в фоновом режиме делало снимки, крало фото из галереи и получало доступ к SMS. Другой аналогичный пример – шифровальщик CryCryptor, который атаковал пользователей, маскируясь под приложение Covid-19 Tracer App.
«Набирают популярность и программы-вымогатели, и сталкерское, и рекламное ПО. В том числе они распространяются через соцсети. Пользуясь тем, что после начала карантина люди начали проводить больше времени в смартфонах, киберпреступники активнее нападают на молодую аудиторию на популярных платформах YouTube, TikTok и Instagram», – рассказывает Алексей Федоров.
С конца 2020 года внешнее содержание вредоносных сайтов меняется, добавляет эксперт Check Point Алексей Белоглазов: «В ноябре мы отметили бум новых доменов, связанных с эпидемией: с начала месяца было зарегистрировано 1062 домена с названием “vaccine”, из которых 400 содержали дополнения “covid” или “corona”. Эти цифры эквивалентны вместе взятым показателям августа, сентября и октября».
В декабре и январе исследователи Check Point обнаружили в даркнете более 340 объявлений о продаже фальшивых вакцин от коронавируса. По их подсчетам, прирост мошенничеств с темой прививок с начала декабря составил 400%. Цены на лжевакцины тоже выросли: если в начале 2021 года средняя цена составляла $250, то сейчас киберпреступники требуют от $500 до $1000.
Также популярная тема используется для фишинговых кампаний, говорит Белоглазов: «Хакеры распространяли в Сети вредоносные файлы Download_COVID-19 New approved vaccines.23.07.2020.exe (с англ. «Загрузите новые одобренные вакцины от COVID-19.23.07.2020.exe»). При загрузке такого файла на устройство устанавливалась программа, способная собирать данные для входа, имена пользователей и пароли. Другая недавняя рассылка проводилась на английском и испанском языках – письма содержали тему Pfizer’s COVID vaccine: 11 things you need to know (с англ. «Вакцина Pfizer от COVID: 11 вещей, которые вам нужно знать») и файл, зараженный трояном».
По словам собеседников «Профиля», в наступившем году принципиально новых видов кибермошенничества не предвидится. Задача жуликов та же – заставить пользователя перейти по ссылке, загрузить вложение, ввести данные на нужной странице. Поэтому люди будут сталкиваться с привычными схемами, но в актуализированной «обертке».
Примите противовирусное
По мнению ведущего аналитика ИБ-направления КРОК Анастасии Федоровой, форс-мажорная ситуация прошлого года позволила злоумышленникам преуспеть, однако сейчас пользователи более спокойны, а значит и устойчивы к уловкам. Тем не менее расслабляться рано. «Профиль» собрал рекомендации опрошенных экспертов, как обезопасить себя от киберугроз:
- Использовать сложные пароли и вводить платежные и личные данные только на доверенных сайтах.
- Не загружать вложения от неизвестных отправителей и не переходить по подозрительным ссылкам, особенно полученным от посторонних лиц.
- Бдительно относиться к получаемым сообщениям с упоминанием коронавируса, в том числе остерегаться краудфандинговых кампаний, направленных на борьбу с эпидемией.
- Самостоятельно проверять адреса сайтов вне зависимости от наличия замка в адресной строке.
«Часто киберпреступники подчеркивают эксклюзивность своего предложения, чтобы у жертвы не было времени подумать или попросить совета. Будьте внимательны при получении “срочных” предписаний», – указывает Алексей Федоров.
И, конечно, эксперты в один голос призывают применять антивирусное ПО с функцией защиты от фишинга на ПК, телефонах и любых других устройствах. Пусть оно возьмет на себя проблему виртуальных вирусов, а нам и в реальном мире забот хватит.
Читайте на смартфоне наши Telegram-каналы: Профиль-News, и журнал Профиль. Скачивайте полностью бесплатное мобильное приложение журнала "Профиль".