Игра на устрашение: как не стать жертвой хакеров во время пандемии COVID-19

Варвара Краснова

22.02.2021 09:17

Новый всплеск интернет-мошенничества, связанный с началом массовой вакцинации от COVID-19, зафиксировали в начале 2021 года специалисты по информационной безопасности (ИБ). Еще в прошлом году хакеры «оседлали» тему пандемии, активно используя охватившую мир панику.

Новый всплеск интернет-мошенничества, связанный с началом массовой вакцинации от COVID-19, <a href="https://www.washingtonpost.com/politics/2021/01/26/cybersecurity-202-vaccine-distribution-unleashes-new-cybersecurity-risks/" target="_blank" rel="false noopener">зафиксировали</a> в начале 2021 года специалисты по информационной безопасности (ИБ). Еще в прошлом году хакеры «оседлали» тему пандемии, активно используя охватившую мир панику.По <a href="https://www.ptsecurity.com/ru-ru/about/news/okolo-13-procentov-vsekh-fishingovyh-atak-svyazany-s-temoy-covid-19/" target="_blank" rel="false noopener">данным</a> Positive Technologies, тема коронавируса затрагивалась в 13% всех мошеннических рассылок. Причем скорость реакции на новую повестку впечатляет: например, уже в феврале 2020 года кибермошенники заработали $1 млн на фейковой кампании по продаже медицинских масок и антисептиков в Великобритании. «Профиль» выяснил у экспертов, как меняются обманные схемы и как защититься от новых киберугроз.<h2>Работа под прикрытием</h2>Еще весной 2020 года, в первую волну пандемии, сетевые жулики <a href="https://www.rospotrebnadzor.ru/about/info/news/news_details.php?ELEMENT_ID=14333" target="_blank" rel="false noopener">разработали</a> целый арсенал новых уловок: продавали фальшивые цифровые пропуска, выписывали лжештрафы за нарушение карантина, предлагали провести тестирование на дому, гарантировали денежные компенсации за лечение. Играя на страхе и информационном голоде граждан, они умело использовали горячие темы: продажу медицинских товаров и услуг, обход режимов самоизоляции и так далее.[embed]https://profile.ru/society/shtamm-v-pasporte-zachem-spravki-vakcinirovannym-i-perebolevshim-covid-19-618191/[/embed]Собеседники «Профиля» рассказали, что в 2021 году вектор останется прежним. Новым прикрытием для мошенников станет тема вакцинации, слухам и домыслам о которой нет конца. Руководитель отдела ИБ-аналитики Positive Technologies Екатерина Килюшева призывает опасаться информационных рассылок о сроках и местах вакцинации, а также форм записи на получение или покупку препарата. По мнению Алексея Федорова, главы представительства Avast в России и СНГ, очень вероятно паразитирование на «паспортах здоровья».Другой потенциальный сценарий – приглашение от имени госучреждения участвовать в тестировании вакцины за вознаграждение, говорит Екатерина Рудая, эксперт лаборатории практического анализа защищенности «Инфосистемы Джет». Возможен и обратный вариант: предложение привиться зарубежной вакциной за предоплату. В «Лаборатории Касперского» <a href="https://securelist.ru/healthcare-security-in-2021/99412/" target="_blank" rel="false noopener">согласны</a>, что до завершения пандемии тема здоровья останется любимой приманкой хакеров, поскольку информация о лечении и действиях властей будет по-прежнему крайне востребована.Жертвами мошенников становятся не только рядовые пользователи сети. Как <a href="https://blog.avast.com/ru/2021-predictions-avast" target="_blank" rel="false noopener">предупреждают</a> в лаборатории анализа угроз Avast, в зоне риска также фармацевтические компании. Осенью 2020-го Microsoft <a href="https://www.zdnet.com/article/microsoft-says-three-apts-have-targeted-seven-covid-19-vaccine-makers/" target="_blank" rel="false noopener">рассказал</a> о нескольких кибератаках на известных производителей вакцины от коронавируса, а в январе в сеть <a href="https://www.fontanka.ru/2021/01/13/69693261/" target="_blank" rel="false noopener">«утекли»</a> документы о вакцине Pfizer.Любопытно, что отдельные хак-группировки решили не трогать медицинские организации в условиях пандемии – в частности, о таком намерении <a href="https://twitter.com/malwrhunterteam/status/1240532109699227648?lang=fr" target="_blank" rel="false noopener">заявил</a> известный шифровальщик Maze (правда, вскоре после этого обещания хакеры все же опубликовали информацию, похищенную у британской клиники Hammersmith Medicines Research). Другой вымогатель, DoppelPaymer, наоборот, <a href="https://www.bleepingcomputer.com/news/security/ransomware-gangs-to-stop-attacking-health-orgs-during-pandemic/" target="_blank" rel="false noopener">подчеркнул</a>, что фармацевты нередко наживаются на панике, поэтому их защищать не стоит, в отличие от больниц и экстренных служб. Стать жертвой целевых атак в 2021 году, по мнению «Лаборатории Касперского», может каждая организация, заявившая об успехах в разработке препаратов для борьбы с вирусом.<img class="alignnone size-full wp-image-670381" src="https://cdn.profile.ru/wp-content/uploads/2021/02/1shutterstock_1854498166.jpg" alt="" width="1200" height="675" data-auth="Shutterstock/ FOTODOM" /><h2>Эволюция фишинга</h2>Хотя интернет-махинации адаптируются к повестке дня, их цель – кража данных или денег – остается неизменной. Остались прежними и два основных метода злоумышленников.[embed]https://profile.ru/scitech/internet/gde-polzovatelej-interneta-segodnya-podsteregayut-virusy-i-kak-ot-nix-zashhititsya-173995/[/embed]<strong>Социальная инженерия</strong>. С началом пандемии активизировались недоброжелатели, специализирующиеся на психологии – они запустили манипулирующие email-рассылки и SMS-сообщения. <a href="https://www.esetnod32.ru/company/press/center/eset-preduprezhdaet-o-deystviyakh-kiberprestupnikov-v-svyazi-s-epidemiey-koronavirusa/" target="_blank" rel="false noopener">Получили</a> распространение фейковые благотворительные акции: например, в марте 2020 года встречались письма с призывом отправить пожертвование на разработку вакцины от коронавируса для детей в Китае. А в конце лета в одной из рассылок, направленной жителям Великобритании, <a href="https://www.techrepublic.com/article/phishing-emails-tempting-people-with-fake-coronavirus-vaccines/" target="_blank" rel="false noopener">предлагалось</a> оплатить лжевакцину. Ссылка вела на поддельный сайт канадской аптечной сети.Пожалуй, самым небанальным ходом <a href="https://www.comnews.ru/content/207376/2020-05-29/2020-w22/za-covid-19-internet-stal-opasnee" target="_blank" rel="false noopener">стала</a> рассылка от имени врача о теории заговора. В письме говорилось, что вирус выпущен на свободу, чтобы сократить популяцию людей и облегчить тотальный контроль за населением. Читателям предлагали получить разработанную «доброжелателями» секретную вакцину, для чего требовалось оставить свои ФИО, адрес и телефон. Стоит ли говорить, что данные отправлялись злоумышленникам?Роспотребнадзор <a href="https://www.rospotrebnadzor.ru/about/info/news/news_details.php?ELEMENT_ID=16634" target="_blank" rel="false noopener">предостерегает</a> от сайтов, предлагающих купить любые «чудо-средства» от заражения. Также в ведомстве сообщили, что мошенники используют предлог бесплатного тестирования или дезинфекции дома ради квартирной кражи.<strong>Хакинг (запуск вредоносного ПО).</strong> Другая тенденция – создание тематических сайтов с информацией о коронавирусе, начиненных шпионским ПО или программами-вымогателями. Так, распространялся спам с адресов @who.com, @who.org или @who-safety.org (WHO – аббревиатура Всемирной организации здравоохранения): пользователей просили перейти по ссылкам для получения якобы крайне важных новостей о вирусе. Таким образом злоумышленники похищали личную информацию и платежные данные, получали доступ к счетам жертв.Была <a href="https://habr.com/ru/company/trendmicro/blog/498854/" target="_blank" rel="false noopener">создана</a> копия сайта Университета Джонса Хопкинса (университет в Балтиморе, США, публикующий ежедневную статистику заболеваемости коронавирусом) с картой распространения инфекции на домене Corona-Virus-Map.com – посетителям предлагалось загрузить приложение. Согласившиеся получали на свое устройство следящее ПО.[embed]https://profile.ru/scitech/internet/virusy-vymogateli-kak-oni-rabotayut-i-kak-ot-nix-izbavitsya-65366/[/embed]Отдельную угрозу представляют мобильные приложения по теме коронавируса. Например, при скачивании приложения Coronavirus.apk Android-пользователи <a href="https://1prime.ru/telecommunications_and_technologies/20200414/831261204.html" target="_blank" rel="false noopener">предоставляли</a> мошенникам доступ к звонкам, SMS, календарю, файлам, контактам, микрофону и камере. В Узбекистане пользователи загружали приложение с коронавирусной статистикой, а получали опасный троян Android Trojan Spy. Это ПО в фоновом режиме делало снимки, крало фото из галереи и получало доступ к SMS. Другой аналогичный пример – шифровальщик CryCryptor, который атаковал пользователей, маскируясь под приложение Covid-19 Tracer App.«Набирают популярность и программы-вымогатели, и сталкерское, и рекламное ПО. В том числе они распространяются через соцсети. Пользуясь тем, что после начала карантина люди начали проводить больше времени в смартфонах, киберпреступники активнее нападают на молодую аудиторию на популярных платформах YouTube, TikTok и Instagram», – рассказывает Алексей Федоров.С конца 2020 года внешнее содержание вредоносных сайтов меняется, добавляет эксперт Check Point Алексей Белоглазов: «В ноябре мы отметили бум новых доменов, связанных с эпидемией: с начала месяца было зарегистрировано 1062 домена с названием “vaccine”, из которых 400 содержали дополнения “covid” или “corona”. Эти цифры эквивалентны вместе взятым показателям августа, сентября и октября».В декабре и январе исследователи Check Point обнаружили в даркнете более 340 объявлений о продаже фальшивых вакцин от коронавируса. По их подсчетам, прирост мошенничеств с темой прививок с начала декабря составил 400%. Цены на лжевакцины тоже выросли: если в начале 2021 года средняя цена составляла $250, то сейчас киберпреступники требуют от $500 до $1000.Также популярная тема используется для фишинговых кампаний, говорит Белоглазов: «Хакеры распространяли в Сети вредоносные файлы Download_COVID-19 New approved vaccines.23.07.2020.exe (с англ. «Загрузите новые одобренные вакцины от COVID-19.23.07.2020.exe»). При загрузке такого файла на устройство устанавливалась программа, способная собирать данные для входа, имена пользователей и пароли. Другая недавняя рассылка проводилась на английском и испанском языках – письма содержали тему Pfizer’s COVID vaccine: 11 things you need to know (с англ. «Вакцина Pfizer от COVID: 11 вещей, которые вам нужно знать») и файл, зараженный трояном».По словам собеседников «Профиля», в наступившем году принципиально новых видов кибермошенничества не предвидится. Задача жуликов та же – заставить пользователя перейти по ссылке, загрузить вложение, ввести данные на нужной странице. Поэтому люди будут сталкиваться с привычными схемами, но в актуализированной «обертке».[caption id="attachment_670386" align="alignnone" width="1200"]<img class="wp-image-670386 size-full" src="https://cdn.profile.ru/wp-content/uploads/2021/02/1shutterstock_1628737912.jpg" alt="" width="1200" height="675" data-auth="Shutterstock/ FOTODOM" /> Задача хакеров – заставить пользователя перейти по ссылке, загрузить вложение, ввести свои данные[/caption]<h2>Примите противовирусное</h2>По мнению ведущего аналитика ИБ-направления КРОК Анастасии Федоровой, форс-мажорная ситуация прошлого года позволила злоумышленникам преуспеть, однако сейчас пользователи более спокойны, а значит и устойчивы к уловкам. Тем не менее расслабляться рано. «Профиль» собрал рекомендации опрошенных экспертов, как обезопасить себя от киберугроз:<ul> <li>Использовать сложные пароли и вводить платежные и личные данные только на доверенных сайтах.</li> <li>Не загружать вложения от неизвестных отправителей и не переходить по подозрительным ссылкам, особенно полученным от посторонних лиц.</li> <li>Бдительно относиться к получаемым сообщениям с упоминанием коронавируса, в том числе остерегаться краудфандинговых кампаний, направленных на борьбу с эпидемией.</li> <li>Самостоятельно проверять адреса сайтов вне зависимости от наличия <a href="https://urfix.ru/zamok-adresnoy-stroke-brauzera/" target="_blank" rel="false noopener">замка в адресной строке</a>.</li></ul>«Часто киберпреступники подчеркивают эксклюзивность своего предложения, чтобы у жертвы не было времени подумать или попросить совета. Будьте внимательны при получении “срочных” предписаний», – указывает Алексей Федоров.И, конечно, эксперты в один голос призывают применять антивирусное ПО с функцией защиты от фишинга на ПК, телефонах и любых других устройствах. Пусть оно возьмет на себя проблему виртуальных вирусов, а нам и в реальном мире забот хватит.

По данным Positive Technologies, тема коронавируса затрагивалась в 13% всех мошеннических рассылок. Причем скорость реакции на новую повестку впечатляет: например, уже в феврале 2020 года кибермошенники заработали $1 млн на фейковой кампании по продаже медицинских масок и антисептиков в Великобритании. «Профиль» выяснил у экспертов, как меняются обманные схемы и как защититься от новых киберугроз.

Работа под прикрытием

Еще весной 2020 года, в первую волну пандемии, сетевые жулики разработали целый арсенал новых уловок: продавали фальшивые цифровые пропуска, выписывали лжештрафы за нарушение карантина, предлагали провести тестирование на дому, гарантировали денежные компенсации за лечение. Играя на страхе и информационном голоде граждан, они умело использовали горячие темы: продажу медицинских товаров и услуг, обход режимов самоизоляции и так далее.

Штамм в паспорте: зачем справки вакцинированным и переболевшим COVID-19

Собеседники «Профиля» рассказали, что в 2021 году вектор останется прежним. Новым прикрытием для мошенников станет тема вакцинации, слухам и домыслам о которой нет конца. Руководитель отдела ИБ-аналитики Positive Technologies Екатерина Килюшева призывает опасаться информационных рассылок о сроках и местах вакцинации, а также форм записи на получение или покупку препарата. По мнению Алексея Федорова, главы представительства Avast в России и СНГ, очень вероятно паразитирование на «паспортах здоровья».

Другой потенциальный сценарий – приглашение от имени госучреждения участвовать в тестировании вакцины за вознаграждение, говорит Екатерина Рудая, эксперт лаборатории практического анализа защищенности «Инфосистемы Джет». Возможен и обратный вариант: предложение привиться зарубежной вакциной за предоплату. В «Лаборатории Касперского» согласны, что до завершения пандемии тема здоровья останется любимой приманкой хакеров, поскольку информация о лечении и действиях властей будет по-прежнему крайне востребована.

Жертвами мошенников становятся не только рядовые пользователи сети. Как предупреждают в лаборатории анализа угроз Avast, в зоне риска также фармацевтические компании. Осенью 2020-го Microsoft рассказал о нескольких кибератаках на известных производителей вакцины от коронавируса, а в январе в сеть «утекли» документы о вакцине Pfizer.

Любопытно, что отдельные хак-группировки решили не трогать медицинские организации в условиях пандемии – в частности, о таком намерении заявил известный шифровальщик Maze (правда, вскоре после этого обещания хакеры все же опубликовали информацию, похищенную у британской клиники Hammersmith Medicines Research). Другой вымогатель, DoppelPaymer, наоборот, подчеркнул, что фармацевты нередко наживаются на панике, поэтому их защищать не стоит, в отличие от больниц и экстренных служб. Стать жертвой целевых атак в 2021 году, по мнению «Лаборатории Касперского», может каждая организация, заявившая об успехах в разработке препаратов для борьбы с вирусом.

©Shutterstock/ FOTODOM

Эволюция фишинга

Хотя интернет-махинации адаптируются к повестке дня, их цель – кража данных или денег – остается неизменной. Остались прежними и два основных метода злоумышленников.

Где пользователей интернета сегодня подстерегают вирусы, и как от них защититься

Социальная инженерия. С началом пандемии активизировались недоброжелатели, специализирующиеся на психологии – они запустили манипулирующие email-рассылки и SMS-сообщения. Получили распространение фейковые благотворительные акции: например, в марте 2020 года встречались письма с призывом отправить пожертвование на разработку вакцины от коронавируса для детей в Китае. А в конце лета в одной из рассылок, направленной жителям Великобритании, предлагалось оплатить лжевакцину. Ссылка вела на поддельный сайт канадской аптечной сети.

Пожалуй, самым небанальным ходом стала рассылка от имени врача о теории заговора. В письме говорилось, что вирус выпущен на свободу, чтобы сократить популяцию людей и облегчить тотальный контроль за населением. Читателям предлагали получить разработанную «доброжелателями» секретную вакцину, для чего требовалось оставить свои ФИО, адрес и телефон. Стоит ли говорить, что данные отправлялись злоумышленникам?

Роспотребнадзор предостерегает от сайтов, предлагающих купить любые «чудо-средства» от заражения. Также в ведомстве сообщили, что мошенники используют предлог бесплатного тестирования или дезинфекции дома ради квартирной кражи.

Хакинг (запуск вредоносного ПО). Другая тенденция – создание тематических сайтов с информацией о коронавирусе, начиненных шпионским ПО или программами-вымогателями. Так, распространялся спам с адресов @who.com, @who.org или @who-safety.org (WHO – аббревиатура Всемирной организации здравоохранения): пользователей просили перейти по ссылкам для получения якобы крайне важных новостей о вирусе. Таким образом злоумышленники похищали личную информацию и платежные данные, получали доступ к счетам жертв.

Была создана копия сайта Университета Джонса Хопкинса (университет в Балтиморе, США, публикующий ежедневную статистику заболеваемости коронавирусом) с картой распространения инфекции на домене Corona-Virus-Map.com – посетителям предлагалось загрузить приложение. Согласившиеся получали на свое устройство следящее ПО.

Вирусы-вымогатели: как они работают и как от них избавиться

Отдельную угрозу представляют мобильные приложения по теме коронавируса. Например, при скачивании приложения Coronavirus.apk Android-пользователи предоставляли мошенникам доступ к звонкам, SMS, календарю, файлам, контактам, микрофону и камере. В Узбекистане пользователи загружали приложение с коронавирусной статистикой, а получали опасный троян Android Trojan Spy. Это ПО в фоновом режиме делало снимки, крало фото из галереи и получало доступ к SMS. Другой аналогичный пример – шифровальщик CryCryptor, который атаковал пользователей, маскируясь под приложение Covid-19 Tracer App.

«Набирают популярность и программы-вымогатели, и сталкерское, и рекламное ПО. В том числе они распространяются через соцсети. Пользуясь тем, что после начала карантина люди начали проводить больше времени в смартфонах, киберпреступники активнее нападают на молодую аудиторию на популярных платформах YouTube, TikTok и Instagram», – рассказывает Алексей Федоров.

С конца 2020 года внешнее содержание вредоносных сайтов меняется, добавляет эксперт Check Point Алексей Белоглазов: «В ноябре мы отметили бум новых доменов, связанных с эпидемией: с начала месяца было зарегистрировано 1062 домена с названием “vaccine”, из которых 400 содержали дополнения “covid” или “corona”. Эти цифры эквивалентны вместе взятым показателям августа, сентября и октября».

В декабре и январе исследователи Check Point обнаружили в даркнете более 340 объявлений о продаже фальшивых вакцин от коронавируса. По их подсчетам, прирост мошенничеств с темой прививок с начала декабря составил 400%. Цены на лжевакцины тоже выросли: если в начале 2021 года средняя цена составляла $250, то сейчас киберпреступники требуют от $500 до $1000.

Также популярная тема используется для фишинговых кампаний, говорит Белоглазов: «Хакеры распространяли в Сети вредоносные файлы Download_COVID-19 New approved vaccines.23.07.2020.exe (с англ. «Загрузите новые одобренные вакцины от COVID-19.23.07.2020.exe»). При загрузке такого файла на устройство устанавливалась программа, способная собирать данные для входа, имена пользователей и пароли. Другая недавняя рассылка проводилась на английском и испанском языках – письма содержали тему Pfizer’s COVID vaccine: 11 things you need to know (с англ. «Вакцина Pfizer от COVID: 11 вещей, которые вам нужно знать») и файл, зараженный трояном».

По словам собеседников «Профиля», в наступившем году принципиально новых видов кибермошенничества не предвидится. Задача жуликов та же – заставить пользователя перейти по ссылке, загрузить вложение, ввести данные на нужной странице. Поэтому люди будут сталкиваться с привычными схемами, но в актуализированной «обертке».

Задача хакеров – заставить пользователя перейти по ссылке, загрузить вложение, ввести свои данные

Shutterstock/ FOTODOM

Примите противовирусное

По мнению ведущего аналитика ИБ-направления КРОК Анастасии Федоровой, форс-мажорная ситуация прошлого года позволила злоумышленникам преуспеть, однако сейчас пользователи более спокойны, а значит и устойчивы к уловкам. Тем не менее расслабляться рано. «Профиль» собрал рекомендации опрошенных экспертов, как обезопасить себя от киберугроз:

Использовать сложные пароли и вводить платежные и личные данные только на доверенных сайтах.
Не загружать вложения от неизвестных отправителей и не переходить по подозрительным ссылкам, особенно полученным от посторонних лиц.
Бдительно относиться к получаемым сообщениям с упоминанием коронавируса, в том числе остерегаться краудфандинговых кампаний, направленных на борьбу с эпидемией.
Самостоятельно проверять адреса сайтов вне зависимости от наличия замка в адресной строке.

«Часто киберпреступники подчеркивают эксклюзивность своего предложения, чтобы у жертвы не было времени подумать или попросить совета. Будьте внимательны при получении “срочных” предписаний», – указывает Алексей Федоров.

И, конечно, эксперты в один голос призывают применять антивирусное ПО с функцией защиты от фишинга на ПК, телефонах и любых других устройствах. Пусть оно возьмет на себя проблему виртуальных вирусов, а нам и в реальном мире забот хватит.