Фишинг
Phishing
Вид интернет-мошенничества, цель которого получение доступа к конфиденциальным данным пользователя (логинам и паролям). Пользователь думает, что переходит на заявленный сайт, однако фактически его перенаправляют на подставной сайт. Как правило, жертвами фишеров становятся клиенты банков и платежных систем.
Хакеры использовали электронные письма для осуществления подобного рода атак, но благодаря широкому распространению социальных сетей и смартфонов с доступом в Интернет стали множится и типы фишинговых атак.
Данные электронные письма содержат ссылку, которая якобы ведет пользователя на сайт какой-то компании с высоким уровнем конфиденциальности, хотя, на самом деле, такой сайт - это всего лишь имитация оригинального сайта без какой-либо конфиденциальности.
Таким образом, самоуверенный пользователь, у которого нет надежной антивирусной защиты, может стать жертвой атаки, предназначенной для кражи персональных данных.
Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.
Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».
Схемы фишинга
На каких чувствах играют фишеры
Большинство киберпреступников полагается не только на технологию, но и на человеческую беспечность и доверчивость. Еще в 2011 году в отчете компании Cisco были перечислены семь человеческих слабостей, эксплуатируемых преступниками, которые используют психологические методы воздействия на людей через электронную почту, социальные сети и телефонную связь. Речь идет о:
- сексуальности,
- алчности,
- тщеславии,
- чрезмерной доверчивости,
- лени,
- сострадании и
- поспешности в принимаемых решениях.
Как выглядит фишинговое письмо:
Отправители
- Органы исполнительной власти;
- Крупные телекоммуникационные операторы;
- Профильные интернет-форумы;
- Кредитно-финансовые организации;
- Организации-партнеры;
- Организации-клиенты.
Содержание
- Требование, поступившее от органов исполнительной власти;
- Рассылка изменений в нормативных актах;
- Взыскание/погашение задолженности/штрафа, оплата услуг;
- Поиск документов для проверки.
В начале 2017 года эксперты обратили внимание на новую фишинговую кампанию, направленную против пользователей Gmail. Письма содержат настолько хорошо завуалированные вредоносные ссылки, что даже продвинутые пользователи часто не замечают подвоха и вводят свои учетные данные на фишинговом аналоге Gmail. Как только жертва скомпрометирована, злоумышленники немедленно перехватывают доступ над ее аккаунтом и атакуют все контакты пострадавшего.
Вредоносные письма, идущие от скомпрометированных пользователей, якобы содержат PDF-документ, который можно предварительно просмотреть прямо в веб-интерфейсе почты. Однако кликнув на такое «вложение», которое на самом деле является простым встроенным в письмо изображением, пользователь инициирует переадресацию на фишинговую страницу[1].Михаил Рожков, PARMA TG: Большинство наших BPM-проектов выходят за рамки отдельных процессов и организаций
Фишинговый URL начинается с «data:text/html,https://accounts/google.com», что может ввести пользователя в заблуждение, заставив поверить, что он все еще находится на настоящем сайте Google. На самом деле, для открытия фишинговой страницы в новой вкладке используется специальный скрипт, а страница не имеет никакого отношения к Google.
Компрометация электронной почты
Основная статья: Мошенничество с электронной почтой (business email compromise, BEC, invoice fraud)
Компрометация корпоративного e-mail (англ. business email compromise или invoice fraud) — это мошенничество, при котором преступник изображает из себя продавца или делового партнера и убеждает представителя компании перевести крупную сумму на оффшорный счет в качестве «оплаты» за услуги, которые никогда не оказывал.
Календарный фишинг
В начале 2019 года эксперты «Лаборатории Касперского» зафиксировали волну фишинговых атак на пользователей сервиса Google Календарь. На протяжении мая киберпреступники многократно рассылали жертвам мошеннические сообщения, подделывая их под автоматические уведомления в календаре на смартфоне. Этот новый способ проведения фишинговых атак потенциально предоставляет злоумышленникам больше возможностей, поскольку теоретически может ввести в заблуждение даже опытных пользователей, которые хорошо осведомлены об угрозе спама и фишинга в электронной почте или мессенджерах.
Сообщения, рассылаемые злоумышленниками, эксплуатируют функцию автоматического добавления приглашения в календарь и уведомления об этом событии. У многих пользователей эта функция включена по умолчанию. Если жертва откроет всплывающее окно на смартфоне, которое внешне очень похоже на уведомление приложения от Google, то, скорее всего, увидит ссылку на фишинговый сайт, на котором якобы проводится простой опрос за вознаграждение. Для получения денежного приза, как выяснится позднее, пользователю нужно оплатить небольшую комиссию — а для этого указать данные банковской карты и некоторую личную информацию, в частности имя, номер телефона и адрес. Разумеется, всё это отправляется напрямую к злоумышленникам.
«Этот „календарный фишинг` — очень эффективная схема. Многие пользователи уже привыкли к спам-сообщениям в почте и мессенджерах и зачастую просто игнорируют и удаляют их. В календаре же всё не так очевидно — ведь это приложение создано для упорядочивания информации, а не для её передачи. Так вероятность, что мошенническое сообщение в календаре будет открыто, может быть немного выше, — рассказала Мария Вергелис, старший спам-аналитик „Лаборатории Касперского`. — Пока все образцы таких фишинговых уведомлений, обнаруженные нами, содержат крайне странные предложения, и это сразу видно любому пользователю. Но каждая простая схема со временем становится сложнее и продуманнее. Есть однако во всей этой истории и хорошая новость: для того чтобы не стать жертвой такого мошенничества, не нужно никаких особенных предосторожностей и ухищрений — функцию автоматического уведомления можно легко отключить в настройках календаря». |
«Условия предоставления услуг Google и политика в отношении продуктов запрещают распространение вредоносного контента, и мы усердно работаем над тем, чтобы предотвратить злоупотребления и предупредить их. Борьба со спамом — это бесконечная битва, и, хотя мы добились большого прогресса, иногда спам проходит. Мы по-прежнему глубоко привержены защите всех наших пользователей от спама: мы сканируем контент на фотографиях на предмет спама и предоставляем пользователям возможность сообщать о спаме в календаре, Google Формах, на Google Диске, в Google Фото и в Hangouts. Кроме того, мы предлагаем пользователям средства защиты, предупреждая их об известных вредоносных URL-адресах с помощью фильтров безопасного просмотра Google Chrome», — заявили в пресс-службе Google. |
Cмишинг (SMiShing)
В течение нескольких лет хакеры использовали технику, известную как фишинг. С ее помощью они рассылали жертвам электронные письма якобы из банка, в результате чего обманным путем пытались получить регистрационные данные для доступа к банковскому счету. Т.к. люди стали более осведомленными и лучше стали распознавать фишинговые письма, в результате чего жертв фишинга стало меньше, то хакеры изменили свою тактику и сфокусировали свое внимание на наших телефонах.
Смишинг концептуально очень схож: вместо отправки электронных писем хакеры стали отправлять своим жертвам текстовые SMS-сообщения. Каждое из таких сообщений разработано для того, чтобы обманывать людей с целью получения от них крайне важной персональной информации, например, PIN-код для доступа к их онлайн-банку. Какие-то смишинговые сообщения будут направлять свои жертвы на ложный веб-сайт или попросят скачать необходимое приложение, которое на самом деле заражено вредоносной программой.
Как распознать смишинговое сообщение
Почти каждое смишинговое сообщение имеет одну общую черту: чувство срочности. Вам скажут, что Ваш банковский счет взломан и Вы должны срочно подключиться к нему с помощью прилагаемой ссылки. Или в рамках обычной проверки систем безопасности доступ к Вашему банковскому счету был заблокирован, а потому для восстановления доступа необходимо подтвердить свой пароль. Вас даже могут попросить скачать специальное приложение, чтобы повысить уровень безопасности Вашего счета, и чем раньше, тем лучше.
На самом деле, никакой банк не отправляет срочные SMS-сообщения: большинство из них для передачи важной информации используют электронную почту и обычные письма. Если Вы получили текстовое сообщение от Вашего банка, то оно не будет содержать ссылку: при первой же возможности вы просто будете перенаправлены на страницу сайта банка с формой для авторизации или с контактными данными службы обслуживания клиентов банка.
Аналогичным образом, ваш банк никогда не отправит вам ссылку на сайт для скачивания нового приложения. Они могут направить вас в официальные магазины App Store или Google Play, но большинство из них направит всплывающее уведомление через свое официальное приложение, а не через текстовое SMS-сообщение.
Если у вас есть какие-либо (пуская даже самые малейшие) сомнения относительно текстового сообщения, которое вы получили, то лучше удалите его. Если вопрос действительно является очень срочным, то ваш банк свяжется с вами повторно. Вы также можете позвонить им и получить подтверждение, существует ли проблема на самом деле[2].
Меры защиты от фишинга
Советы для частных пользователей
Проверка источника каждого получаемого вами электронного письма и переход на сайт Вашего банка не по ссылке из письма, а путем набора адреса в адресной строке браузера – вот две основные меры предосторожности, которые Вы можете предпринимать для того, чтобы не попасться «на удочку» кибер-преступников.
1. Научитесь выявлять подозрительные фишинговые письма
Есть несколько признаков, которые идентифицируют атаку по электронной почте[3]:
- Они дублируют образ известной компании.
- Они копируют название компании или ФИО реального сотрудника компании.
- Они содержат сайты, которые визуально похожи на сайты реальных компаний.
- Они предлагают подарки или пугают потерей существующего аккаунта.
2. Проверьте источник информации
Ваш банк никогда не будет просить Вас отправить Ваши пароли или персональную информацию по электронной почте. Никогда не отвечайте на подобные вопросы, а если у Вас есть хоть чуточку сомнений, то лучше позвоните в Ваш банк для получения разъяснений.
3. Никогда не переходите на веб-сайт Вашего банка, нажимая на ссылки в письмах
Не нажимайте на ссылки в письме, т.к. в результате этого Вы можете оказаться на подставном веб-сайте.
Лучше вручную наберите адрес сайта в адресной строке Вашего браузера или используйте ранее настроенную закладку в Избранном, если хотите перейти быстрее.
4. Повысьте уровень безопасности Вашего компьютера
Не терять чувство здравого смысла и обладать рассудительностью также важно, как и защищать свой компьютер с помощью антивируса, способного блокировать данный тип атак.
Кроме этого, Вам следует всегда устанавливать самые последние обновления Вашей операционной системы и веб-браузеров.
5. Вводите Ваши критические данные только на безопасных веб-сайтах
Чтобы узнать, является ли данный веб-сайт «безопасным», проверьте адресную строку в Вашем браузере: адрес сайта должен начинаться с «https://», а рядом с ним должна показываться иконка закрытого замочка.
6. Периодически проверяйте Ваши аккаунты
Никогда не помешает периодически проверять Ваши банковские счета, чтобы не пропустить какие-либо подозрительные действия в Ваших онлайн-транзакциях.
7. Фишинг относится не только к онлайн-банкам
Большинство фишинговых атак направлены против банков, однако для кражи персональных данных они могут использовать и другие популярные веб-сайты: eBay, Facebook, PayPal и другие.
8. Фишинг знает все языки
Фишинг не знает границ, и может настичь Вас на любом языке. В целом, они плохо написаны или переведены, а потому это может служить еще одним индикатором того, что что-то не так.
Например, если Вы никогда не были на испанском веб-сайте Вашего банка, то почему теперь информация для Вас должна быть на этом языке?
9. Если есть хоть малейшие сомнения, не стоит рисковать
Лучший способ предотвращения фишинга – это не реагировать на любые письма или новости, которые просят Вас предоставить конфиденциальные данные.
Удалите эти сообщения и позвоните в ваш банк для прояснения Ваших сомнений.
10. Периодически читайте информацию о развитии вредоносных программ
Если Вы хотите быть в курсе последних вредоносных атак, рекомендаций или советов, чтобы избежать любых опасностей в Интернете, Вы можете читать специализированные блоги о кибер-безопасности в Facebook, ВК, Twitter и др.
Рекомендации для организаций
Чтобы не стать жертвой фишинга рекомендуется пользователям всегда поверять подлинность веб-сайта, на котором они собираются вводить финансовую информацию, и проверять, защищено ли соединение безопасным протоколом https. Кроме того, не стоит переходить по подозрительным ссылкам и выполнять все требования, изложенные в электронных письмах от имени банка, если они вызывают даже самую малую долю сомнения — лучше в этом случае связаться с финансовой организацией напрямую. И, конечно же, необходимо использовать защитное решение, включающее в себя проактивные функции распознавания и блокирования фишинга.
Что необходимо делать, чтобы избежать опасности:
- Регулярно обновляйте антивирус и браузер.
- Наведите курсор на ссылку, чтобы посмотреть, куда она ведет.
- Проверьте письмо на предмет наличия следующих признаков: неправильно написанные слова, неправильные URL-домены, низкое качество графики и неизвестные отправители.
- Вместо перехода по ссылке в письме необходимо посетить сайт компании, отправившей письмо, чтобы убедиться в достоверности информации.
Что нельзя делать:
- Не нажимайте на ссылки в письмах, полученных из неизвестных или подозрительных источников.
- Не отправляйте подозрительно выглядящее письмо друзьям или членам семьи.
- Не загружайте контент, который ваш браузер или антивирус считает подозрительным.
- Не оставляйте на сайте личную информацию.
Обучение персонала компании
Проект по выстраиванию процесса повышения осведомленности[4]
- Ответственные, сроки, бюджет проекта
- Программа обучения
- Разработка материалов / выбор готовой системы
Проводим обучение:
- Базовая программа для новых сотрудников
- Периодические рассылки по отдельным темам
- Разовые рассылки с важной информацией об актуальных угрозах
Проверяем :
- Оценка знаний
- Тестирование в «боевых» условиях»
Рынок систем повышения осведомленности
Имитация действия злоумышленника: фишинговые рассылки в учебных целях
Угрозы, связанные с использованием социальной инженерии, в ближайшем будущем никуда не денутся (а скорее всего, будут только расти)
- Такие атаки универсальны для проникновения в любые системы, легко тиражируются
- Достаточно одного «попавшегося» для компрометации всей сети
- Не стоит полагаться исключительно на технические средства
Можно снизить риски, обучая сотрудников и эффективно проверяя их знания
- Дополняем организационные меры «боевыми учениями»
- Тестирование путем проведения фишинговых рассылок можно дополнять имитацией других действий злоумышленников: телефонное мошенничество, тесты на проникновение
Важно не то, какими именно инструментами мы пользуемся, а качественно организованный процесс обучения и тестирования
- Все приведенные решения – всего лишь частные примеры реализации
- Если процессов нет, то и нечего будет автоматизировать.
Фишинг в России
Основная статья: Фишинг в России
2023
Госорганы и оборонная промышленность — любимые цели фишинга
Эксперты Positive Technologies проанализировали фишинговые атаки на организации в 2022–2023 годах. Чаще всего в фишинговых сообщениях злоумышленники выдают себя за подрядчиков. Бизнес-модель phishing as a service («фишинг как услуга») стала обычной практикой. Эксперты прогнозируют увеличение роли искусственного интеллекта в фишинговых атаках и противодействии им. Об этом Positive Technologies сообщили 14 февраля 2024 года.
По данным исследования, основными целями фишинговых атак являются получение данных (85%) и финансовой выгоды (26%). Одним из каналов сбыта украденной конфиденциальной информации является дарквеб, где спрос на персональные и учетные данные сотрудников компаний и их клиентов традиционно высок. Кража информации может производиться также с целью шпионажа за организацией или страной.
Среди злоумышленников эксперты отдельно отмечают хактивистов, деятельность которых продолжает набирать обороты из-за обостренной геополитической обстановки в мире. Их основная задача — навредить— навредить жертве любыми способами, как в случае с атакой на автозаправочные станции Ирана в декабре 2023 года силами предположительно израильской APT-группировки.
В исследовании говорится, что «фишинг как услуга» стал обычной практикой, эксперты прогнозировали такое распространение киберуслуг несколько лет назад. На февраль 2024 года эту бизнес-модель используют как профессиональные АРТ-группировки и опытные злоумышленники-одиночки, так и новички, не обладающие специальными знаниями и навыками. Как показал анализ мессенджеров и форумов в дарквебе, на которых встречалось упоминание социальной инженерии, наиболее популярными категориями среди запросов и предложений стали готовые фишинговые проекты, инструменты для проведения фишинговых атак и услуги по разработке фишинговых страниц.
Большинство фишинговых атак осуществляется через электронную почту (92%), однако преступники умеют подстраиваться под особенности бизнеса, используя для доставки вредоносных сообщений мессенджеры (8%) и СМС-сообщения (3%). Популярным сценарием атак является выдача себя за руководителя или сотрудника организации в различных каналах связи. Для создания поддельного профиля с целью рассылки вредоносных сообщений злоумышленнику достаточно знать имя руководителя или сотрудника организации-жертвы и иметь их фотографии.
Основным вектором развития фишинга мы видим автоматизацию процессов атаки с помощью ИИ-инструментов, — сказал бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. — Они набирают все большую популярность и используются как злоумышленниками (для подготовки и реализации фишинговых атак), так и специалистами по информационной безопасности (для противодействия киберугрозам). С помощью ИИ киберпреступники поддерживают осмысленный диалог с жертвой, генерируют убедительные фишинговые сообщения, создают дипфейки голосов, изображений и видео. |
Больше половины инцидентов, рассмотренных в исследовании, были направлены на конкретную организацию, отрасль или страну. Чаще других в фокусе злоумышленников оказывались госучреждения (44% инцидентов, в которых прослеживается отраслевая направленность) и оборонные предприятия (19%). Замыкают топ-3 основных жертв фишинговых атак организации в сфере науки и образования (14%)[5].
По данным исследования, чаще всего (26% атак) злоумышленники выдают себя за контрагентов.
Фишеры присылают поддельные акты сверки, счета фактур, документы для продления договоров и другие данные, связанные со взаимодействием с подрядчиками, — отметил аналитик исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Косолапова. — Популярность этой уловки объясняется тем, что она применима практически для всех организаций и предполагает наличие в сообщении ссылок или вложений. В 58% атак такие приманки не содержали привязки к конкретной отрасли. При этом в целевых атаках на медицинские, финансовые, промышленные и телекоммуникационные организации эта тема используется чаще других. |
Для предотвращения, обнаружения и реагирования на угрозы фишинговой атаки эксперты предлагают внедрять в организациях обучение сотрудников и проведение фишинговых симуляций, использование репутационных механизмов на основе средств защиты классов SWG (secure web gateway), NGFW (next-generation firewall), SASE (secure access service edge), решений класса EDR для защиты конечных точек (endpoint detection and response), а также почтовых песочниц и механизмов антифишинга, встроенных в браузеры (в том числе через дополнительные плагины).
Обнаружена целевая фишинговая кампания, нацеленная на правительственные учреждения Индии
ИБ-компания ThreatMon обнаружила целевую фишинговую кампанию, нацеленную на правительственные учреждения Индии, которая приводит к развертыванию обновленной версии RAT-трояна ReverseRAT. Специалисты ThreatMon приписали эту активность группировке SideCopy. Об этом стало известно 21 февраля 2023 года. Подробнее здесь.
Похитители конфиденциальных данных нацелились на итальянцев
Похитители конфиденциальных данных нацелились на итальянцев. Об этом стало известно 11 января 2023 года.
Схема совершенно классическая – жертвам рассылают фишинговые электронные письма с инфостилером внутри.
Данную вредоносную кампанию заметили специалисты ИБ-компании Uptycs. Этот вредонос написан на C# и умеет похищать системную информацию, данные криптокошельков и браузеров, cookie-файлы и учетные данные жертв.
Больше подробностей о происходящем дала миланская компания SI.net. Специалисты рассказали , что в фишинговых письмах была ссылка, при нажатии на которую загружается ZIP-архив с LNK- и BAT-файлом внутри.
При запуске любого файла из архива запускается один и тот же скрипт, скачивающий полезную нагрузку вредоноса с GitHub, а затем устанавливающий инфостилер на устройство жертвы.
После установки инфостилер собирает данные жертвы, а затем отправляет их на домен, контролируемый злоумышленниками.
Эксперты рекомендуют организациям внедрить жесткие средства контроля безопасности и многоуровневые антивирусные решения для вредоносного ПО, чтобы предотвратить подобные атаки[6].
2022
Репозитории открытого ПО наводнены десятками тысяч фишинговых пакетов
15 декабря 2022 года появилась информация о том, что кампания по распространению фишинговых пакетов была обнаружена аналитиками из Checkmarx и Illustria, которые совместно работали над расследованием произошедшего. Как говорят специалисты, пакеты загружались с аккаунтов, использующих определенную схему именования, имели схожие описания и вели к одному и тому же кластеру из 90 доменов, на которых было размещено более 65 000 фишинговых страниц. Подробнее здесь.
Политика верификации Twitter спровоцировала кибератаку на пользователей платформы
Политика верификации Twitter спровоцировала кибератаку на пользователей платформы. Об этом стало известно в ноябре 2022 года.
Анонс еще одной функции Twitter, предлагающей за ежемесячную плату подключить синюю галочку верификации, спровоцировал фишинговую кампанию, которая собирает учетные данные пользователей, желающих сохранить заветную синюю галочку. Подробнее здесь.
Злоумышленники крадут GitHub-аккаунты, подделывая уведомления от CircleCI
Ранее GitHub выпустила предупреждение о фишинговой кампании, целью которой является кража учетных данных и кодов двухфакторной аутентификации (2FA) пользователей. О начале кампании стало известно 16 сентября 2022 года, когда пользователям начали приходить фейковые сообщения якобы от CircleCI.Подробнее здесь.
Крупномасштабная фишинговая кампания использует Microsoft Azure и Google Sites для кражи криптовалют
Крупномасштабная фишинговая кампания использует Microsoft Azure и Google Sites для кражи криптовалют. Об этом стало известно 11 августа 2022 года. Подробнее здесь.
Группировка Luna Moth занимается вымогательством без вымогательского ПО
Социальная инженерия, инструменты удаленного администрирования (RAT) и несколько программ – это все, что понадобилось группировке Luna Moth для проникновения в системы жертв. По словам исследователей из Sygnia, хакеры из Luna Moth проводят вымогательские атаки без вымогательского ПО. Об этом стало известно 12 июля 2022 года.
Используя бренды Zoho Masterclass и Duolingo, Luna Moth проводит классические фишинговые кампании, пытаясь скомпрометировать устройства жертв и украсть все доступные данные.
Фишинговая кампания злоумышленников начинается с фальшивых электронных писем, в которых у жертв просят оплатить подписку и предлагают открыть PDF-вложение с номером мобильного телефона для получения дополнительной информации.
Когда жертва звонит на указанный номер, ей отвечает хакер и обманом заставляет пользователя установить Atera, известный RAT, который дает злоумышленникам полный контроль над устройством. После этого злоумышленники начинают угрожать жертвам, говоря, что сольют данные в сеть или конкурентам, если выкуп не будет выплачен.
Исследователи отметили, что в арсенале Luna Moth есть и другие готовые инструменты удаленного администрирования, такие как Splashtop, Syncro и AnyDesk. Кроме них злоумышленники используют дополнительное ПО: SoftPerfect Network Scanner, SharpShares и Rclone.
В отчете также сказано о том, что хакеры хранят свои инструменты на взломанных устройствах под фальшивыми именами, маскируя их под легитимные бинарные файлы. Эти инструменты позволяют злоумышленникам проводить базовую разведку и получать доступ к дополнительным доступным ресурсам[7].
Вредоносное ПО для онлайн банкинга перехватывает звонки в службу поддержки
Исследователи в области кибербезопасности из компании «Лаборатория Касперского» рассказали о банковском трояне под названием Fakecalls. Помимо обычных шпионских функций, у него есть интересная способность - «разговаривать» с жертвой, имитируя общение с сотрудником банка. Об этом стало известно 12 апреля 2022 года.
Fakecalls имитирует мобильные приложения известных корейских банков, в том числе KB (Kookmin Bank) и KakaoBank. Помимо привычных логотипов создатели трояна выводят на экран Fakecalls номера службы поддержки соответствующих банков. Номера телефонов кажутся реальными (один из номеров можно найти на главной странице официального сайта KakaoBank).
При установке троян запрашивает целый ряд разрешений, включая доступ к контактам, микрофону и камере, геолокации, обработке звонков и пр.
В отличие от других банковских троянов, Fakecall может имитировать телефонные разговоры со службой поддержки. Если жертва звонит на горячую линию банка, троян незаметно разрывает соединение и вместо обычного приложения для звонков открывает свой фальшивый экран вызова. Пока пользователь ничего не подозревает, злоумышленники берут ситуацию в свои руки.
Единственное, что может выдать троян - поддельный экран звонка. У Fakecalls только один язык интерфейса - корейский. Это означает, что если на телефоне выбран другой язык системы, то жертва, скорее всего, почует неладное.
После перехвата звонка возможны два сценария. В первом Fakecalls связывает жертву напрямую с киберпреступниками, поскольку у приложения есть разрешение на совершение исходящих звонков. Во втором случае троян воспроизводит предварительно записанный звук, имитирующий стандартное приветствие банка. Злоумышленники записали несколько фраз на корейском языке, обычно произносимых сотрудниками голосовой почты или call-центра. Мошенники под видом сотрудника банка могут попытаться выманить у жертвы платежные данные или другую конфиденциальную информацию.
Помимо исходящих вызовов, Fakecalls также может подделывать входящие звонки. Когда злоумышленники хотят связаться с жертвой, троян выводит свой экран поверх системного. В результате пользователь видит не реальный номер, используемый злоумышленниками, а тот, который показывает вредонос, например, номер телефона службы поддержки банка.[8]
Фишинговая атака «браузер в браузере»
Среди злоумышленников набирает популярность фишинговая атака «браузер в браузере» (browser-in-the-browser, BitB), при которой создается полностью поддельное окно браузера, включая значки доверия. Об этом стало известно от Компании «Информзащита» 07 апреля 2022 года. Данная концепция ранее уже использовалась хакерскими группировками, чтобы красть данные для входа в систему. Исследователи в области информационной безопасности обеспокоены тем, что атака browser-in-the-browser будет активно применяться в сфере рекламы. При технике BitB окно браузера имитируется с целью подделки легитимного домена, что позволяет проводить правдоподобные фишинговые атаки. Этот метод использует сторонние возможности технологии единого входа (SSO), которые встроены в такие службы как Google SignIn (такая же система действует с Facebook, Apple, или Microsoft). На экране это будет выглядеть как, что-то вроде кнопки «Войти с помощью Microsoft», а далее появится всплывающее окно с запросом данных для доступа к учетной записи или профилю.
Как правило, фишинговое окно включает значок закрытого замка и URL-адрес ресурса (поддельный), что не вызывает сомнений в безопасности процесса аутентификации. Но если в браузере правильно настроены политики безопасности и обновлены все патчи антивирусов, то злоумышленнику будет сложно вставить нелигитимную страницу, объяснили эксперты по анализу защищенности «Информзащиты».
|
При этом хакеры нередко используют такие методы, как кликджекинг или исправление пользовательского интерфейса, который изменяет внешний вид браузеров и веб-страниц, чтобы обойти защиту. Благодаря атаке кликджекинга можно, например, вставить прозрачный элемент поверх кнопки веб-страницы, чтобы пользовательское действие было перехвачено злоумышленником. BitB расширяет данную технику, создавая полностью фальшивое окно браузера. Пользователь думает, что видит настоящее окно, тогда как на самом деле оно подделано внутри страницы и стремится захватить чужие учетные данные. Для того, чтобы сымитировать окно браузера, используется смесь кода HTML и CSS. Атака «браузер в браузере» эффективна для фишинговых кампаний. Пользователям по-прежнему необходимо посетить вредоносный сайт, чтобы появилось всплывающее окно, но после этого они, вероятнее всего, внесут свои учетные данные в форму, потому что все будет выглядеть правдоподобно.
Концепцию BitB могут активно применяют те, кто распространяет вирусную рекламу, считают в «Инфомзащите». Вредоносный код может попасть через такую рекламу в iframe, но так как iframe не защищен, его можно внедрить на родительскую страницу в виде фальшивого окна в браузере. Компании-разработчики стараются отслеживать вредоносные коды. В то же время эксперты по ИБ считают, что атака BitB вряд ли способна обмануть другое программное обеспечение.
Фишинговый инструмент, который позволяет проводить атаки «браузер-в-браузере» для кражи логинов и паролей
23 марта 2022 года сало известно о том, что эксперт по безопасности известный под ником mr.dox, опубликовал на GitHub код фишингового инструмента, который позволяет создавать фальшивые окна браузера Chrome. Его назначение - перехватывать реквизиты доступа к онлайн-ресурсам.
Как сообщалось, при входе на многие сайты, вместо прямой регистрации на них, можно залогиниться с помщью аккаунтов в соцсетях или Google, Microsoft, Apple и даже Steam. Такую опцию, например, предлагает Dropbox.
При атаке всплывает окно с формой ввода реквизитов. В нём может отображаться URL-адрес, но его нельзя изменить. Эта строка используется для того, чтобы удостовериться в подлинности формы логина.
Хакеры многократно пытались использовать поддельные окна логина (Single Sign-On) - с помощью HTML, CSS, JavaScript, - однако, как правило, эти окна выглядели подделкой, способной обмануть только самых неопытных пользователей.
Однако атака, получившая название «Браузер-в-браузере», позволяет выводить окна регистрации, которые неотличимы от настоящих. Хакерам (или пентестерам) достаточно будет отредактировать в составленных mr.dox шаблонах только URL и название окна (поле title) и создать iframe, который выведет это окно.
HTML-код для формы логина можно встроить прямиком в шаблон, однако, как заявил mr.dox, потребуется правильно расположить соответствующее поле с помощью CSS и HTML. Это, впрочем, вряд ли сильно усложнит задачу.
Эксперт по информационной безопасности Кьюба Грецки (Kuba Gretzky), создатель другого фишингового набора Evilginx, убедился в совместимости своей разработки с тем, что сделал mr.dox; в комбинации эти два фишинговых набора можно использовать для перехвата ключей двухфакторной авторизации.
Защититься от такой атаки будет предельно сложно. Сам разработчик указывает, что она ориентирована на пентестеров, но очевидно, что в ближайшее время её уже задействуют в реальных атаках. Единственной мерой предосторожности будет - знать о возможности таких атак и трижды проверять, куда пользователь вводит свои реквизиты доступа. Стоит, правда, отметить, что методика не будет работать при использовании ПО для автозаполнения паролей, в том числе встроенного в браузер: оно сразу определит, что окно поддельное. говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ |
Сама по себе методика таких атак не нова, утверждает mr.dox. По его словам, её уже с переменным успехом применяли создатели фальшивых сайтов для геймеров, чтобы красть реквизиты доступа. Причём недавно: эти атаки датированы 2020 г[9].
2021
Топ-10 «фишинговых» тем
11 января 2022 года компания Positive Technologies поделилась топ-10 «фишинговых» тем 2021 года.
По данным компании, доля атак на частных лиц с использованием методов социальной инженерии в III квартале 2021 года выросла до 83% по сравнению с 67% в том же квартале 2020-го. Хотя большинство векторов атак остаются актуальны из года в год, злоумышленники постоянно совершенствуют методы обмана жертв и успешно адаптируются к условиям пандемии. Они все чаще эксплуатируют в своих атаках возросшие запросы граждан на вакцинацию, сервисы доставки, онлайн-знакомства, сервисы по подписке и даже компенсации жертвам мошенничества.
По версии Positive Technologies, топ-10 тем фишинговых атак 2021 года охватывают следующие направления:
- Продолжение пандемии COVID-19
- Главной темой в этой области в 2021 году стала вакцинация: мошенники предлагали купить поддельные QR-коды и сертификаты, а также проводили поддельные опросы о вакцинации сотрудников для сбора данных.
- Корпоративные рассылки
- Анализ показал, что особый успех имеют сценарии фишинговых рассылок по вопросам изменений в зарплате, обновлений соцпакета и стоимости банковского обслуживания.
- Премьеры сериалов и фильмов
- В период громких премьер мошенники успешнее крадут данные учеток и банковских карт, используя поддельные сайты, имитирующие популярные стриминговые сервисы.
- Спортивные мероприятия
- В 2021-ом злоумышленники использовали темы Олимпиады в Токио, Чемпионата Европы по футболу и уже начали эксплуатировать тему Кубка мира 2022.
- Клиенты банков под прицелом
- Под видом известных брендов злоумышленники заманивают пользователей, обещая бонусы, льготные кредиты или компенсации жертвам мошенничества, а также сообщая о «проблемах» с мобильным банком.
- Почтовые службы
- Мошенники похищают деньги и данные, предлагая клиентам таких сервисов «оплатить» доставку, пошлину или просто «проверить» статус их посылки.
- Отпуска и поездки
- Фишинговые письма и сайты предлагают забронировать места для отдыха и билеты, заманивая людей выгодными акциями и скидками.
- Опасные знакомства
- Злоумышленники цинично эксплуатируют тягу людей к общению в период массового перехода на удаленку и обворовывают жертв, назначая им фейковые свидания.
- Подписки на сервисы
- Мошенники пользуются популярностью сервисов по подписке, присылая жертвам письма на тему оформления или продления подписок на различные платформы.
- Инвестиции в криптовалюту, нефть и газ
- На фоне растущей популярности инвестиций среди физлиц киберпреступники создают фальшивые сайты, имитирующие ресурсы известных компаний, и даже целые фейковые инвестплатформы.
В 2022 году мы вновь ожидаем увидеть большое количество фишинговых атак, объединенных темой значимых событий, в том числе массовые рассылки на тему чемпионата мира по футболу или Зимних Олимпийских игр, — сказала Екатерина Килюшева, руководитель исследовательской группы департамента аналитики информационной безопасности Positive Technologies. — Велика также вероятность атак на пользователей в связи с выходом новых фильмов и сериалов. В 2022 году, например, планируется запуск сериала по мотивам произведений Дж. Р. Р. Толкина. А в связи с выпуском прототипа цифрового рубля злоумышленники могут создавать поддельные сайты, предлагая купить цифровую валюту. Можно ожидать и развития мошеннических схем с использованием социальной инженерии в сфере инвестиций. Тут жертвами станут частные инвесторы, которым мошенники будут настойчиво предлагать свои услуги под личиной инвесторов, авторов обучающих курсов и поддельных платформ для инвестирования. |
Аналитики Positive Technologies также прогнозируют дальнейшее развитие и распространение модели Phishing-as-a-Service. Эта модель основана на сотрудничестве злоумышленников, покупке и продаже готовых решений, таких как мошеннические сайты или вредоносные скрипты.
Для предотвращения серьезных последствий фишинга специалисты рекомендуют: всегда проверять адрес отправителя, не переходить по подозрительным ссылкам, не вводить учетные и платежные данные, не убедившись в легитимности ресурса. Оформлять бронирование отелей и билетов, как и подписки на сервисы, следует только на проверенных ресурсах. Чтобы избежать заражения вредоносным ПО, нужно проверять все полученные файлы. В корпоративной среде для этого рекомендуется использовать песочницы.
Из-за поддельных розыгрышей пользователи теряют $80 млн в месяц
Каждый месяц пользователи по всему миру теряют около $80 млн из-за мошеннических опросов и розыгрышей. Такие данные в декабре 2021 года привели в компании Group-IB, специализирующейся на информационной безопасности.
Аферисты используют названия 120 популярных брендов, чтобы завлечь потенциальных жертв. Людям предлагают в подарок MacBook, Sony Playstation 5, iPad Pro и флагманские модели смартфонов Apple и Samsung.
Чаще всего жертвами мошенников становятся жители Европы — 36,2%, а таргетированное мошенничество больше всего распространено в Индии — 42,2% случае такого мошенничества зарегистрировано в этой стране.
Чаще всего таргетированное мошенничество встречается в сферах телекоммуникаций (56%), электронной коммерции (22,9%) и ритейла (11,9%), передает РБК.
По данным Group-IB, если раньше мошенники предпочитали массово рассылать пользователям спам и СМС-сообщения, а также писать в мессенджерах и по электронной почте, то сейчас подход персонализирован. Так, для потенциальной жертвы генерируют уникальную таргетированную ссылку, в которую заложены данные о стране, где проживает пользователь, а также о часовом поясе, языке, IP-адресе, типе браузера и других аспектах.
Для поддержки фишинговых ссылок создаются специальные доменные сети, в самой крупной из которых 232 домена. Это позволяет оперативно перебрасывать трафик при блокировке одного из них и обеспечивать суточную посещаемость фейкового опроса в 5 тыс. пользователей в сутки. Фишинг такого типа — большая угроза для брендов, говорит заместитель директора Group-IB по направлению Digital Risk Protection Андрей Бусаргин.
Если однажды пользователь потерял деньги из-за «бренда», то вряд ли к нему вернется. Также существует множество непредсказуемых рисков, например, на площадке массово воруют аккаунты, а потом через эти аккаунты отмывают деньги. Если дойдет до разбирательства, компания может получить сильнейший удар и по репутации вместе со штрафом от контролирующих органов, - отметил он.[10] |
Десятки тысяч иранцев столкнулись с массовыми фишинговыми атаками
3 декабря 2021 года команда Check Point Research (CPR) из компании Check Point Software Technologies Ltd., поставщика решений в области кибербезопасности по всему миру, зафиксировала масштабные вредоносные кампании с рассылкой фишинговых SMS: атаки направлены на десятки тысяч устройств граждан Ирана. Сообщения, отправленные якобы государственными службами Ирана, побуждают жертв загружать вредоносные приложения для Android, которые крадут учетные данные кредитных карт, личные SMS-сообщения и коды двухфакторной аутентификации. Злоумышленники также могут снимать деньги с карт жертвы и превращать зараженные устройства в ботов, с их помощью распространяя вредоносное ПО на другие устройства. Команда Check Point Research считает, что главная мотивация злоумышленников — финансовая.
По оценкам CPR (Check Point Research), злоумышленники заразили десятки тысяч устройств Android, что привело к краже миллиардов иранских риалов (1000 риалов примерно равны 1,76 рублей).
Злоумышленники используют Telegram-каналы для распространения вредоносных инструментов, которые стоят всего 50 долларов (около 3 700 рублей).
Согласно исследованию CPR (Check Point Research), данные, украденные с устройств жертв, не были защищены, поэтому оказались в свободном доступе в сети.
Злоумышленники используют скомпрометированные устройства в качестве ботов для рассылки аналогичных фишинговых SMS-сообщений другим потенциальным жертвам. Для продвижения и продажи своих инструментов киберпреступники используют несколько Telegram-каналов. За 50–150 долларов США (примерно 3 700-11 100 рублей) мошенники предоставляют полный «Android Campaign Kit», который содержит вредоносное приложение и базовую инфраструктуру с панелью управления, которой легко можно управлять через Telegram-бот без каких-либо специализированных навыков.
Расследование CPR (Check Point Research) происходит в разгар крупных кибератак, нацеленных на жителей Ирана, включая нападения на железные дороги, заправочные станции и многое другое.
По оценкам CPR, злоумышленники скомпрометировали десятки тысяч устройств Android и установили на них вредоносное ПО. В результате они смогли украсть миллиарды иранских риалов. По оценкам, каждая жертва потеряла от 1000 до 2000 долларов (от 74 600 до 148 000 рублей). Кроме того, расследование CPR показало, что данные, украденные с устройств жертв, не были защищены, поэтому оказались в открытом доступе в сети.
Рисунок 1. Цепочка заражения
Кибератаки существенно влияют на повседневную жизнь иранцев. Сначала это были железные дороги: мы отследили, что их организовала кибергруппировка Indra. Далее были кибератаки на системы автозаправок и авиакомпаний. Теперь мы наблюдаем еще одну атаку, которая показывает, как киберпреступность может привести к хаосу. Мы не видим прямой связи между последними кибератаками и другими вышеупомянутыми, но наши исследования показывают, что даже самые простые, не масштабные кибератаки наносят серьезный ущерб населению Ирана, — рассказал Александра Гофман, руководитель группы анализа угроз компании Check Point Software. — Мы считаем, что эти недавние кибератаки имеют финансовую мотивацию – и что люди, причастные к этим атакам, сами из Ирана. |
Скорость и распространение этих кибератак беспрецендентны. Эта кампания была ориентирована на огромное количество людей. Киберпреступники смогли нанести серьезный ущерб своим жертвам, даже несмотря на низкое качество и техническую простоту инструментов. Есть несколько причин их успеха. Во-первых, хорошо подобранные методы социальной инженерии, имитирующие официальные сообщения от государственных служб: люди хотели изучить подробности, переходя по ссылке из сообщения. Во-вторых, технические методики, когда каждое зараженное устройство рассылает дополнительные фишинговые SMS-сообщения — атаки смогли очень быстро распространиться на большое количество потенциальных жертв. Именно эти кампании применялись в Иране, но в целом они могут быть использованы в любой другой части мира. Я считаю важным повышать осведомленность о схемах, которые используют злоумышленники. |
Шестеро из десяти пользователей попадаются на фишинг
13 октября, 2021 года международный разработчик антивирусных решений ESET поделился результатами пользовательского теста на умение отличать фишинговое сообщение от обычного письма. В эксперименте приняли участие 4292 человек в разных возрастных группах. Каждому пользователю прислали на email по четыре письма — вредоносные и безопасные. В результате 60% участников не смогли правильно идентифицировать мошеннические письма.
Тест показал, что молодые пользователи гораздо чаще отличали реальные сообщения от поддельных: 47% в возрастной группе от 18 до 24 лет понимали, какое письмо открывать не стоит. У возрастной группы от 25 до 44 лет показатели похожие — 45%. Пользователи от 45 до 64 лет ошибались чаще и смогли идентифицировать подделку в 36% случаев. В группе старше 65 лет только 28% участников раскрывали замысел мошенников.
Фишинг существует уже очень давно, но злоумышленники не перестают совершенствовать свои навыки по подделке писем от известных брендов и официальных госструктур. По данным аналитики ESET, тактические приемы фишинговых кампаний направлены на сотрудников домашних офисов. Структура потребления на удаленной работе изменилась, и это создало условия для более успешного применения фишинга, — прокомментировал итоги теста Тони Анскомб, главный специалист по безопасности ESET. |
Согласно телеметрии угроз ESET, лидерами по ежедневной блокировке фишинговых сайтов в мире являются Россия, Япония, Перу, Польша и Франция. При этом источники вредоносных рассылок чаще всего детектируют в Северной Америке и Западной Европе.
Полиция Украины нейтрализовала один из крупнейших в мире фишинговых сервисов
Сотрудники Офиса Генерального прокурора совместно с сотрудниками Департамента киберполиции Национальной полиции Украины и Главным следственным управлением Национальной полиции, а также правоохранительных органов США и Австралии провели спецоперацию, по результатам которой была нейтрализована[11] деятельность одного из крупнейших в мире фишинговых сервисов для осуществления атак на финансовые учреждения разных стран[12].
По данным следствия, хакер из Тернопольской области разработал фишинговый пакет и специальную административную панель к нему, которые были нацелены на web-ресурсы банков и их клиентов. Административная панель позволяла контролировать учетные записи пользователей, которые зарегистрировались на скомпрометированных ресурсах и вводили свои платежные данные. Для демонстрации функционала и продажи своих разработок злоумышленник создал собственный интернет-магазин в даркнете.
В результате фишинговых атак пострадали финансовые учреждения Австралии, Испании, США, Италии, Чили, Нидерландов, Мексики, Франции, Швейцарии, Германии и Великобритании. По предварительным данным, убытки достигают десятков миллионов долларов. Например, более 50% всех фишинговых атак в 2019 году в Австралии было осуществлено именно благодаря разработке тернопольского хакера.
В ходе обыска правоохранители изъяли компьютерную технику, мобильные телефоны и жесткие диски. В ходе осмотра изъятой компьютерной техники было установлено более 200 активных покупателей вредоносного ПО. По предварительным данным, хакер не только сбывал свою продукцию клиентам по всему миру, но и оказывал техническую поддержку при осуществлении фишинговых атак. Сейчас решается вопрос о сообщении фигуранту о подозрении.
2020
Киберпреступники используют Telegram-ботов и Google-формы для автоматизации фишинга
7 апреля 2021 года стало известно о том, что Group-IB, международная компания, специализирующаяся на предотвращении кибератак, обнаружила, что украденные в результате фишинговых атак данные пользователей все чаще выгружаются не только с помощью электронной почты, но и таких легитимных сервисов, как Google-формы и мессенджер Telegram. Альтернативные способы доставки украденных с помощью фишинга данных позволяют злоумышленникам обеспечить их сохранность и оперативность использования. Telegram-боты также используются киберпреступниками в готовых платформах для автоматизации фишинга, доступных в даркнете: в них на основе ботов реализована административная часть, с помощью которой контролируется весь процесс фишинговой атаки и ведется учет похищенных денег. Такие платформы распространяются по формату cybercrime-as-a-service, за счет чего растет количество атакующих группировок и масштаб преступного бизнеса.
Как пояснялось, команда CERT-GIB (Центр мониторинга и реагирования на инциденты информационной безопасности Group-IB) проанализировала инструменты для создания фишинговых страниц, так называемые, фишинг-киты, и выяснила, что в 2020-м году с их помощью фишинговые сайты чаще всего создавались под различные онлайн-сервисы (онлайн-шоппинг, онлайн-кинотеатры и др.), электронную почту, а также под финансовые организации. Суммарно Group-IB обнаружила фишинг-киты, нацеленные свыше чем на 260 уникальных брендов в России и за рубежом.
Фишинг-кит — это набор готовых инструментов для создания и запуска фишинговых веб-страниц, подделанных под сайт конкретной компании или нескольких сразу. Как правило, фишинг-киты продаются в даркнете, на специализированных форумах. С их помощью преступники, не обладающие глубокими навыками программирования, могут разворачивать инфраструктуру для масштабных фишинговых атак и быстро возобновлять ее работу в случае блокировки. Исследователям по кибербезопасности фишинг-киты интересны прежде всего тем, что анализ одного такого «набора» позволяет разобраться в механизме реализации фишинговой атаки и установить, куда отправляются похищенные данные. Помимо этого, исследование фишинг-китов зачастую помогает обнаружить цифровые следы, ведущие к разработчикам такого «товара».
Как и в 2019 году, главной мишенью фишеров были онлайн-сервисы (30.7%): похищая учетные данные пользовательских аккаунтов, злоумышленники получали доступ к данным привязанных банковских карт. Привлекательность почтовых сервисов для атак в 2020 году снизилась, а доля фишинг-китов, нацеленных на них, сократилась до 22.8%. Тройку замыкают финансовые учреждения, на которые приходится немногим более 20%. В 2020 году наиболее часто эксплуатируемыми в фишинговых наборах брендами были Microsoft, PayPal, Google и Yahoo.
Данные, которые пользователь вводит на фишинговым сайте, злоумышленник получает не сразу: сначала они записываются в локальный файл, после чего главной задачей становится извлечение похищенного. Чаще всего для пересылки таких данных используются почтовые адреса, зарегистрированные на бесплатных сервисах электронной почты. Они составляют 66% от общего числа адресов, найденных в фишинговых наборах. Наиболее распространены аккаунты на Gmail и Yandex.
Альтернативные пути получения украденных злоумышленниками данных можно разделить на локальные, когда они записываются в файл, расположенный на самом фишинговом ресурсе, и удаленные — когда они отправляются на сторонний сервер. Для передачи украденных данных злоумышленники активно используют легитимные сервисы. Так, в 2020 году началось широкое применение в фишинговых наборах Google-форм, а также выгрузка украденных данных в специально созданные приватные Telegram-боты. Суммарно на альтернативные способы пока приходится порядка 6%, но вероятнее всего их доля будет расти, а основное увеличение придется на Telegram в силу простоты реализации схемы и анонимности мессенджера.
Функциональность фишинг-китов не ограничивается созданием страниц для похищения данных пользователей: некоторые из них могут подгружать вредоносные файлы на устройство жертвы. Иногда продавцы наборов для фишинга обманывают своих же покупателей, пытаясь заработать на них дважды. Помимо продажи созданного ими вредоносного инструмента, они могут заинтересоваться и похищенными с его помощью данными. Используя специальный скрипт, встроенный в тело фиш-кита, они направляют поток украденных пользовательских данных себе или получают скрытый доступ к хостингу своего покупателя.
Фишинг-киты изменили правила игры в этом сегменте борьбы с киберпреступлениями: раньше злоумышленники прекращали свои кампании после блокировки мошеннических ресурсов и быстро переключались на другие бренды, на апрель 2021 года они автоматизируют атаку, выводя фишинговые страницы на смену заблокированным. Автоматизация таких атак, в свою очередь, приводит к распространению более сложной социальной инженерии, которая начинает применяться в масштабных атаках, а не в точечных, как было ранее. Это позволяет представителям одной из самых древних киберпреступных профессий оставаться на плаву. повведал Ярослав Каргалев, заместитель руководителя CERT-GIB |
Бороться с «продвинутыми» фишинговыми схемами с помощью классического мониторинга и блокировки недостаточно, необходимо выявлять все элементы инфраструктуры атакующих, блокируя не отдельные фишинговые страницы, а сеть мошеннических ресурсов целиком.
«Лаборатория Касперского»: обнаружено 86 тысяч скам-ресурсов в мире
«Лаборатория Касперского» 3 декабря 2020 года представила реpультаты анализа наиболее распространённых схем телефонного и онлайн-мошенничества в 2020 году.
По данным «Лаборатории Касперского», в 2020 году активно росли объёмы телефонного мошенничества и скама. С января по ноябрь компания обнаружила почти 86 тысяч скам-ресурсов в мире, из них 62,5 тысячи были заблокированы во втором полугодии. Особенно распространено такое явление в русскоязычном сегменте интернета. Среди наиболее популярных у скамеров схем в 2020 году можно выделить:
- сообщения на тему различных социальных выплат, в том числе связанных с коронавирусной инфекцией (таких ресурсов было обнаружено порядка 15,6 тысяч);
- предложения, связанные с досками объявлений, сервисами доставки или заказа еды (найдено 8,6 тысяч подобных сайтов);
- опросы от имени якобы крупных компаний и брендов (зафиксировано 6,5 тысяч ресурсов).
Механика такого онлайн-мошенничества практически всегда остаётся одной и той же: под предлогом скидки, выгодной акции или другого денежного вознаграждения злоумышленники заманивают пользователя на фальшивую страницу. Обычно обещанная сумма составляет несколько десятков или сотен тысяч рублей. Размер фейковых выплат не завышают, чтобы предложение казалось реалистичным. Когда человек проходит все этапы опроса или анкеты, его просят перевести «закрепительный платёж» (порядка 300 рублей). В итоге никаких денег он не получает, а «комиссия» уходит злоумышленникам.
Стоит отметить, что в целом количество попыток переходов пользователей на скам-страницы в 2020 году превысило 44 миллиона.
Если представить сумму потенциального ущерба от скама в 2020 году в рублях, то она могла бы превысить 13 миллиардов. Столько могли бы получить злоумышленники, если бы каждая заблокированная нашими продуктами попытка перехода пользователя на подобный ресурс всё же повлекла за собой обман хотя бы одного человека, — отмечает Константин Игнатьев, эксперт по контентному анализу в «Лаборатории Касперского». — Мы призываем пользователей быть внимательными и скептически относиться к крайне щедрым предложениям в сети. Злоумышленники используют методы простой, но эффективной социальной инженерии и играют на желании заработать лёгкие деньги — в результате, к сожалению, люди сами отдают им свои средства, а иногда и личные или платёжные данные. |
Заработать на пользователях злоумышленники активно пытались и с помощью телефонных звонков. Согласно статистике Kaspersky Who Calls, в России в 2020 году среди всех входящих с неизвестных номеров доля спама составила 63%, а доля звонков с подозрением на мошенничество — 5,9%. При этом злоумышленники активно пользовались технологией подмены номера. Чаще всего они указывали телефоны финансовых организаций, государственных учреждений или юридических лиц.
В 2020 году количество звонков от злоумышленников продолжило расти. Это может быть связано с тем, что люди проводят всё больше времени с телефоном под рукой и чаще берут трубку. Но при этом возможность принять взвешенное решение в разговоре у них есть не всегда. Часто злоумышленники использовали актуальную новостную повестку, чтобы вызвать доверие жертвы, — сказал Сергей Голованов, ведущий эксперт «Лаборатории Касперского». |
Check Point: Число фишинговых атак от лица служб доставки выросло на 440%
2 декабря 2020 года стало известно о том, что команда Check Point Research, исследовательское подразделение компании Check Point Software Technologies, сообщает, что в ноябре количество фишинговых писем от лица служб доставки выросло на 440% по сравнению с октябрем. Наиболее резкий рост был отмечен в Европе, на втором и третьем местах по числу фишинговых кампаний оказались Северная Америка и Азиатско-Тихоокеанский регион. Чаще всего (в 56% случав) мошенники рассылали письма от лица DHL. На втором месте — Amazon(37%), на третьем — FedEx (7%).
В Европе в ноябре количество фишинговых писем выросло на 401% по сравнению с октябрем. 77% из них маскировались под различные уведомления от компании Amazon. В США мошенники отправили на 427% фишинговых сообщений больше, чем в октябре, и 65% из них были от имени Amazon. А в Азиатско-Тихоокеанском регионе число фишинговых атак от лица служб доставки выросло на 185%, при этом почти 65% писем использовали бренд DHL.
Еще в начале ноября центры по контролю и профилактике заболеваний США предупредили об опасности посещения торговых центров в период праздников и рекомендовали совершать покупки в Интернете. Объемы онлайн-шоппинга в стране продолжают бить все рекорды. За первые 10 дней ноября, в сезон подготовки к праздникам, американцы потратили на онлайн-покупки 21,7 миллиардов долларов — на 21% больше, чем в 2019 году. По данным издания DC360, за праздничные выходные в честь Дня Благодарения в 2020 году покупатели потратят 38 миллиардов долларов, что почти в два раза больше, чем за тот же период 2019 года.
Однако к буму онлайн-шоппинга приготовились не только магазины — злоумышленники также мобилизовали силы, чтобы заработать на праздничном ажиотаже. Теперь, помимо фальшивых скидочных предложений и ссылок на сайты магазинов, они стали чаще рассылать фишинговые письма от имени служб доставки.
Исследователи Check Point Research предупреждают, что тщательно продуманная схема задействует всю систему онлайн-шоппинга: от скидочных предложений, например, в «Черную пятницу» и «Киберпонедельник», до процесса доставки заказов. Ее главная цель — обманом заставить людей раскрыть данные учетных записей и банковских карт, чтобы в дальнейшем использовать их для кражи денежных средств. В отличие от обычных фишинговых писем, с помощью которых мошенники пытаются добыть личные данные, информацию для входа в личный кабинет онлайн-банка или данные карты, письма от лица служб доставки содержат различные фейковые сообщения о проблемах или предложения отследить посылку.
Для решения проблемы или для того, чтобы воспользоваться услугой, необходимо предоставить личные данные или данные банковской карты. Мошенники не случайно начали рассылку подобных писем именно в ноябре, поскольку в этом месяце многие покупатели онлайн-магазинов ждут свои покупки и чаще обращают внимание на сообщения от служб доставки. Кроме того, многие пользователи уже знают о старых способах мошенничества в период распродаж, и традиционные «выгодные предложения» перестали приносить преступникам доход.
Чтобы обезопасить себя во время онлайн-шоппинга важно соблюдать несколько простых правил. Например, для разных сайтов использовать уникальные не повторяющиеся логины и пароли, заходить на сайт не по ссылке из письма, которая может оказаться фишинговой, а открывать его через поисковую систему, — рекомендует Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Особое внимание стоит уделить языку и ошибкам в письмах и названиях доменов: например, злоумышленники могут использовать расширение .co вместо .com или допускать опечатки в самом письме. |
Статистика и данные, использованные в этом отчете, были обнаружены технологиями предотвращения угроз Check Point, а также хранятся и анализируются в ThreatCloud. ThreatCloud в режиме реального времени предоставляет информацию об угрозах, полученную от сотен миллионов датчиков по всему миру, через сети, конечные точки и мобильные устройства. Интеллект оборудован двигателями на основе ИИ и эксклюзивными данными исследований Check Point Research — исследовательского подразделения CheckPoint.
Group-IB помогла Интерполу выявить фишинг-преступников из Нигерии
25 ноября 2020 года Group-IB, международная компания, специализирующаяся на предотвращении кибератак, приняла участие в операции Интерпола «Falcon» по пресечению деятельности киберпреступников из Нигерии. Подробнее здесь.
Group-IB: Число выявленных и заблокированных фишинг-ресурсов выросло на 118%
Компания Group-IB, международная компания, специализирующаяся на предотвращении кибератак, исследовала ключевые изменения, произошедшие в сфере киберпреступлений в мире и 25 ноября 2020 года поделилась своими прогнозами по развитию киберугроз на 2021 год. Подробнее здесь.
Согласно отчету Group-IB Hi-Tech Crime Trends 2020-2021, в анализируемый период было выявлено и заблокировано на 118% больше фишинг-ресурсов, чем ранее. Аналитики объясняют этот рост несколькими причинами, главная из которых — пандемия: веб-фишинг как одна из наиболее простых схем заработка привлекла внимание большей аудитории, лишившейся доходов. Увеличение спроса на покупки через интернет сыграло на руку фишерам: они быстро подстроились под "новую реальность" и начали проводить фишинговые атаки на сервисы и отдельные бренды, которые ранее не имели для них особого экономического эффекта.
Заметна и смена тактики. В предыдущие годы злоумышленники прекращали свои кампании после блокировки мошеннических веб-ресурсов и переключались на другие бренды. Теперь они автоматизируют атаку, выводя новые фишинговые единицы на смену заблокированным.
С начала года наблюдается рост продвинутой социальной инженерии, где в фишинговой атаке применяются многоходовые сценарии. В таких набирающих популярность фишинговых схемах жертву предварительно прорабатывают — устанавливают с ней контакт (например, посредством мессенджера), создают вокруг нее атмосферу легитимности действий и только после этого направляют на фишинговую страницу. Трендом этого года стало использование одноразовых ссылок. Пользователь получает уникальную ссылку, которая становится неактивной после первого открытия. Если он перешел по ссылке хотя бы раз, то получить этот же контент повторно для сбора доказательной базы не получится. А без нее процесс блокировки фишингового ресурса значительно усложняется.
Наибольшее количество фишинга было создано под онлайн-сервисы (39,6%). Сюда входит фишинг для сбора учетных записей Microsoft, Netflix, Amazon, EBay, Valve Steam и т.п. Далее следуют почтовые сервисы (15,6%), финансовые учреждения (15%), облачные хранилища (14,5%), платежные сервисы (6,6%) и «новичок» списка – букмекерские конторы (2,2%). Практически исчезли фишинг-ресурсы, нацеленные на криптовалютные проекты в силу угасания интереса к ICO-проектам, которые на протяжении 2017–2018 годов были популярны у фишеров.
Group-IB: Схема кражи доменов в России
19 ноября 2020 года компания Group-IB, специализирующаяся на кибербезопасности, сообщила о схеме, которую используют хакеры для кражи легальных доменных в России. Впоследствии эти домены применяются для фишинговых атак. Подробнее здесь.
Avast: почти половина россиян сталкивалась с фишинговыми атаками
28 октября 2020 года стало известно, что компания Avast, представитель из области цифровой безопасности и решений защиты, опубликовала результаты своего опроса – согласно полученным данным, 42% россиян сталкивались с фишингом, 27% стали его жертвами, и чуть больше трети (35%) не смогли дать точный ответ. Две трети респондентов, подвергшихся фишинговой атаке, пострадали, занимаясь личными вопросами, одна треть –– решая рабочие задачи.
В России чаще всего люди сталкивались с телефонным фишингом.
Злоумышленники могут проводить фишинговые атаки по самым разным каналам, поэтому важно, чтобы люди знали о них и об актуальных схемах. С января по сентябрь 2020 года Avast ежемесячно защищал от фишинговых атак в среднем 2770 из 100000 россиян, – рассказывает Алексей Федоров, глава представительства компании Avast в России и СНГ. |
Из россиян, ставших жертвами фишинга, чуть больше четверти (27%) заявили, что им пришлось сменить пароли от аккаунтов, 13% заявили, что у них украли деньги, и у 11% украли личные данные. 11% жертв пришлось аннулировать кредитные или дебетовые карты.
Из тех, кто понес финансовые потери, 43% потеряли до 3500 рублей, каждый пятый (20%) потерял от 3500 до 6999 рублей, 11% потеряли от 7000 до 13999 рублей, 5% –– от 14000 до 20 999 рублей и один из пяти (20%) более 21000 руб.
Социальная инженерия используется при фишинговых атаках, чтобы заставить людей совершить нужные киберпреступнику действия. Злоумышленники воздействуют на поведение, психику жертвы, поскольку обмануть человека проще, чем взломать систему, –рассказывает Татьяна Шемякина, психолог, эксперт по социальной психологии. – Мошенники играют с эмоциями людей, используют страх, оказывают давление на жертву. Они могут пугать срочностью, заставляют волноваться, нервничать, или рассказывают, что они нуждаются в благотворительных пожертвованиях. |
Трое из пяти (61%) россиян, пострадавших от фишинга, не сообщили о мошенничестве. Основные причины, по которым люди не сообщают о мошенничестве: думают, что атака не стоит хлопот (30%), не знают, кому сообщать об этом (29%), уверены в том, что все равно ничего не произойдет, если они сообщат (29%), считают, что полученная ими информация ничего не стоит (23%).
Из жертв фишинга, которые сообщили об атаке, почти половина (49%) сообщили о мошенничестве в полицию, 43% – в компанию, сотрудником которой притворялся злоумышленник, 26% сообщили об этом своим коллегам и 16% рассказали своему провайдеру электронной почты.
В Австралии запущена национальная программа по блокировке фишинговых SMS при помощи блокчейна
15 сентября 2020 года стало известно о запуске в Австралии национальной программы по блокировке фишинговых SMS. Решение использует блокчейн-технологию, в проекте принимает участие местная телекоммуникационная компания Telstra. Подробнее здесь.
Суд разрешил Microsoft захватить контроль над 6 фишинговыми доменами
В июле 2020 года компания [Microsoft] получила судебный ордер на получение контроля над шестью доменами, использовавшимися в фишинговых атаках на пользователей Office 365, в том числе с эксплуатацией темы COVID-19.
Согласно судебным документам, Microsoft нацелилась на киберпреступную группировку, «промышлявшую» фишингом и атакующую клиентов компании с декабря 2019 года. Злоумышленники рассылали электронные письма компаниям, использующим почтовые серверы и корпоративную инфраструктуру в облачном сервисе Office 365[13].
Фишинговые письма отправлялись от имени коллег по работе и доверенных партнеров по бизнесу. Вредоносная операция, о которой идет речь, отличалась от других тем, что злоумышленники не переадресовывали жертв на поддельные страницы авторизации Office 365, а использовали документы Office. При попытке открыть файл пользователи переадресовывались на страницу, требующую загрузить вредоносное поддельное приложение Office 365.
После того, как жертва установила приложение, злоумышленники получали полный доступ к ее учетной записи Office 365 (настройкам, файлам, содержимому электронной почты, спискам контактов, запискам и пр.). Другими словами, приложение позволяет киберпреступникам получать полный доступ к учетной записи без необходимости похищать пароль, лишь с помощью токенов OAuth2.
Microsoft подала гражданский иск 30 июня нынешнего года и указала в исковом заявлении шесть доменов, использовавшихся киберпреступниками для хостинга вредоносного приложения Office 365. Как считают в компании, за фишинговой операцией стоят два человека. Изначально они указывали в теме писем вопросы, касающиеся бизнеса, но быстро перешли на тему коронавируса.
Злоумышленники используют фейковые CV, чтобы распространять вредоносные программы
5 июня 2020 года компания Check Point сообщила, что по мере роста безработицы исследователи обнаруживают вредоносные файлы, маскирующиеся под CV –– особую форму резюме. Прикрепленные к электронному письму файлы в формате Microsoft Excel были с такими темами: «заявка на работу» или «по поводу работы». Когда жертвы открывали прикрепленные файлы, их просили «включить содержимое». На самом деле, после этого жертвы загружали вредоносную программу ZLoader. Это банковская вредоносная программа, предназначенную для кражи учетных данных и другой частной информации от пользователей целевых финансовых учреждений. Вредоносная программа также может похищать пароли и файлы cookie, хранящиеся в веб-браузерах жертвы. Используя украденную информацию, вредоносное ПО может позволить злоумышленникам подключиться к системе жертвы и совершать нелегальные финансовые операции с устройства банковского пользователя.
Исследователи Check Point отмечают рост числа мошеннических тем в Соединенных Штатах. За апрель-май 2020 года число вредоносных файлов, имитирующих CV, удвоилось. В целом, 1 из 450 идентифицированных вредоносных файлов был связан с CV.
Кроме того, исследователи Check Point обнаружили вредоносные медицинские формы отпусков. Документы, которые используют такие названия, как «COVID-19 FLMA CENTER.doc», заражают жертв вредоносным ПО IcedID, банковским вредоносным ПО, предназначенным для банков, поставщиков платежных карт, поставщиков мобильных услуг, а также интернет-магазинов. Вредоносное ПО направлено на то, чтобы заставить пользователей оставлять свои учетные данные на поддельной странице. Затем эти сведения отправляются на сервер злоумышленника в дополнение к сведениям об авторизации, которые можно использовать для взлома учетных записей пользователей. Документы отправлялись по электронной почте с темами: «Ниже прикреплена новая форма для запросов сотрудника об отпуске в соответствии с Законом о семейном и медицинском отпуске (FMLA)». Электронные письма были отправлены из разных доменов отправителей, таких как «medical-center.space», чтобы побудить жертв к открытию вредоносных вложений.
«Безработица растет, и киберпреступники не могут бездействовать в это время. Они имитируют резюме для получения ценной информации, особенно такой, которая касается денег и банковской деятельности. Я настоятельно призываю всех, кто открывает электронное письмо с резюме, подумать дважды. Вы можете сильно пожалеть об этом», отметил Омер Дембински, менеджер Check Point по киберисследованиям |
Статистика Check Point на июнь 2020 года:
- В мае 2020 года было зарегистрировано 250 доменов, содержащих слово «employment» –– занятость. 7% этих доменов были вредоносными и еще 9% подозрительными
- 1 из каждых 450 обнаруженных вредоносных файлов –– мошенничество с использованием CV: это вдвое больше, чем за последние два месяца
- Общее количество вредоносных атак увеличилось на 16% по сравнению с периодом с марта по апрель, когда был разгар пандемии.
- В мае 2020 года эксперты Check Point еженедельно отмечали в среднем более 158 000 атак, связанных с коронавирусом. По сравнению с апрелем это снижение на 7%.
- За последние 4 недели было зарегистрировано 10 704 домена, связанных с коронавирусом. 2,5% из них были вредоносными (256 доменов) и еще 16% (1744 доменов) подозрительными
По мнению Check Point чтобы оставаться в безопасности, нужно:
- 1. Следить за похожими доменами. Следить за орфографическими ошибками в электронных письмах и на веб-сайтах.
- Быть аккуратнее с неизвестными отправителями. Быть осторожнее с файлами, полученными по электронной почте от неизвестных отправителей, особенно если они запрашивают определенное действие, которое обычно не делается.
- Использовать достоверные источники. Убедится, что товары заказываются из подлинного источника: лучше всего не нажимать на рекламные ссылки в электронных письмах, а самим найти нужного продавца в Google, и кликнуть по ссылке на странице результатов Google.
- Остерегаться «специальных» предложений. «Лекарство от коронавируса за 150 долларов» –– если предлагают подобное, вряд ли это заслуживает доверия.
- Не использовать один и тот же пароль несколько раз. Убедиться, что используется индивидуальный пароль для каждого приложения и для каждой учетной записи.
Пользователей GitHub атакуют фишеры
18 апреля 2020 года стало известно, что команда реагирования на инциденты (SIRT) платформы GitHub предупредила пользователей о фишинговой кампании, в ходе которой злоумышленники похищают учетные данные через лендинговые страницы, выдаваемые ими за страницы авторизации GitHub. Подробнее здесь.
2019
Количество фишинг-китов на рынке увеличилось более чем в два раза
15 апреля 2020 года компания Group-IB сообщила, что на рынке зафиксирован резкий подъем продаж фишинг-китов – «конструкторов» для массового создания фишинговых сайтов. За 2019-й год количество такого «товара» на андеграунд-форумах увеличилось более чем в два раза. Рост спроса на один из наиболее популярных инструментов мошенников во всем мире отразился и на средней цене: она выросла на 149%. Эксперты Group-IB объясняют рост популярности фишинг-китов низким порогом входа на этот рынок и простотой реализации схемы заработка.
Фишинговый набор (англ. Phishing Kit) — это архивный файл, содержащий скрипты, необходимые для создания и работы фишингового сайта. Такой инструмент позволяет злоумышленникам, не обладающим глубокими навыками программирования, быстро разворачивать сотни фишинговых страниц, часто используя их как «зеркала» друг друга. При блокировке одного такого сайта – мошенник активирует другой, при блокировке этого – следующий и так далее. Таким образом, фишинг-кит позволяет атакующим быстро возобновлять работу вредоносных ресурсов, обеспечивая собственную неуязвимость. Этим объясняется интерес к ним со стороны специалистов по кибербезопасности. Детектирование фишинговых наборов позволяет не только находить сотни и даже тысячи фишинговых страниц, но, что более важно, может служить отправной точкой расследований с целью идентификации их разработчиков и привлечения их к ответственности.
По данным команды Group-IB Threat Hunting Intelligence, проанализировавшей сотни андеграунд-форумов, в 2019 году число активных продавцов фишинговых наборов увеличилось более чем на 120% по сравнению с предыдущим годом. Как и следовало ожидать, количество уникальных объявлений, размещенных на этих ресурсах также возросло более, чем в два раза.
Выросла и стоимость фишингового набора, увеличившись вдвое в 2019-м относительно прошлого года. Так, в среднем, разработчики просили $304 за фишинг-кит, а в целом цены варьировались в диапазоне от $20 до $880. Для сравнения, в 2018 году цены на фишинговые наборы находились в интервале от $10 до $824, а среднее значение составляло $122. Как правило, стоимость фишинговых наборов зависит от их сложности, а именно от качества и количества фишинговых страниц, а также наличия дополнительных сервисов, таких как, например, техническая поддержка со стороны разработчика.
Иногда фишинговые наборы предлагаются на форумах бесплатно. Это объясняется отнюдь не щедростью продавцов, а вероятным наличием в них бэкдоров, которые позволяют их авторам получать доступ к скомпрометированным данным.
В прошлом году системой Group-IB Threat Intelligence было обнаружено более 16 200 уникальных фишинговых наборов. Однако их детектирование постоянно усложняется: киберпреступники стараются скрывать использование фиш-кита, удаляют его из кода или прибегают к различным способам сокрытия. Так, лишь 113 460 из 2,7 миллионов, т.е. 4% обнаруженных фишинговых страниц позволили выявить «следы» используемых фишинговых наборов.
О росте спроса на фишинговые наборы свидетельствует и количество обнаруженных в них уникальных адресов электронной почты: согласно данным Центра реагирования на инциденты информационной безопасности (CERT-GIB Computer Emergency Response Team - Group-IB), в прошлом году этот показатель вырос на 8%. Это может свидетельствовать о росте числа их операторов.
Для привлечения покупателей разработчики фишинговых наборов используют в них известные бренды с большой аудиторией, что в теории должно облегчить реализацию мошеннических схем для будущих владельцев таких наборов. В 2019 году наиболее часто использующимися в фишинговых наборах брендами были Amazon, Google, Instagram, Office 365 и PayPal, а Топ-3 интернет-площадок для торговли фишинговыми наборами был представлен Exploit, OGUsers и Crimenetwork.
«Разработчики фишинговых наборов — это движущая сила фишинг-бизнеса во всем мире. Один человек может стоять за созданием сотен фишинговых страниц и зарабатывать на этом тысячи долларов, долгое время оставаясь незамеченным. Поэтому фокус специалистов по кибербезопасности должен смещаться с блокировки фишинговых страниц на поиск и идентификацию создателей фиш-китов. В практике Group-IB есть целый ряд расследований, благодаря которым удалось раскрыть личности разработчиков фишинговых наборов. Делясь подобной информацией с соответствующими правоохранительными органами и обеспечивая задержание киберпреступников, Group-IB преследует цель предотвратить дальнейшее распространение этого «заболевания» и бороться не с его проявлениями в виде фишинговых страниц, а с его возбудителями — создателями фишинговых наборов, делая их работу экономически невыгодной», |
За годы своей работы Group-IB аккумулировала обширную базу фишинговых наборов, что позволяет бороться с фишингом, нацеленным на конкретный бренд. Данная база регулярно обогащается: как только система Group-IB Threat Intelligence обнаруживает фишинговую страницу, соответствующий сервер сканируется на наличие фишинговых наборов.
Подложное использование названий технологических компаний и социальных сетей в фишинговых схемах
11 февраля 2020 года компания IBM опубликовала ежегодный индекс угроз IBM X-Force Threat Intelligence Index 2020, который показал, как изменились методы киберпреступников за несколько десятилетий незаконного доступа к миллиардам корпоративных и персональных записей и использования сотен тысяч уязвимостей в программном обеспечении. Согласно исследованию, 60% первичных проникновений в инфраструктуру жертвы были осуществлены при помощи ранее украденных учетных данных и известных уязвимостей ПО, что позволяло злоумышленникам меньше полагаться на обман пользователей, чтобы получить доступ к данным.
Чем больше пользователи узнают о фишинговых письмах, тем более таргетированными становятся атаки. Вместе с некоммерческой организацией Quad9 специалисты IBM выявили усиливающуюся тенденцию в сфере фишинга: преступники выдают себя за крупные потребительские технологические бренды (технологические компании, социальные сети, стриминговые сервисы) и подделывают ссылки на их сайты с целью фишинга. Подробнее здесь.
27% попыток всех фишинговых атак происходит через электронную почту
7 февраля 2020 года стало известно, что команда исследователей Check Point Research, подразделение Check Point Software Technologies, поставщика решений в области кибербезопасности по всему миру, опубликовала свой отчет о брендах, которые наиболее часто используются в попытках фишинга за 4 квартал 2019. Злоумышленники чаще всего имитировали бренды, чтобы украсть личную информацию или учетные данные пользователей в течение последнего квартала — именно он содержит самое большое количество распродаж в течение года.
При фишинговых атаках злоумышленники пытаются создать сайт-копию официального сайта известного бренда, используя доменное имя или URL-адрес, дизайн веб-страницы, аналогичные подлинному сайту. Ссылка на фальшивый веб-сайт может быть отправлена жертвам по электронной почте или в сообщениях, перенаправлена во время просмотра веб-страниц или запущена из фальшивого мобильного приложения. Поддельный веб-сайт часто содержит форму, предназначенную для кражи учетных данных пользователей, платежных реквизитов или другой личной информации.
Топ брендов, которые злоумышленники пытались использовать в попытках фишинга в 4 квартале 2019 года:
Ранжируются по количеству их общих появлений в попытках фишинга:
- Facebook (18% фишинговых атак в мире)
- Yahoo (10%)
- Netflix (5%)
- PayPal (5%)
- Microsoft (3%)
- Spotify (3%)
- Apple (2%)
- Google (2%)
- Chase (2%)
- Ray-Ban (2%)
Топ способов распространения фишинговых сообщений:
В течение четвертого квартала исследователи наблюдали различия в распространении фишинговых страниц: каждая категория брендов распространялась по-своему. Например, через мобильные устройства в основном распространялись фишинговые страницы социальных сетей и банков. Через электронную почту, как правило, распространялись фишинговые письма, приуроченные к периоду распродаж, например таких, как черная пятница в ноябре 2019 года.
Электронная почта (27% всех фишинговых атак в 4 квартале):
- Yahoo!
- Rbs (Ray-Ban Sunglasses)
- Microsoft
- DropBox
Веб-сайты (48% всех фишинговых атак в 4 квартале):
- Spotify
- Microsoft
- PayPal
Через мобильные устройства (25% всех фишинговых атак в 4 квартале):
- Chase Mobile Banking
- Apple
- PayPal
Киберпреступники используют разные способы атак, чтобы обманом заставить своих жертв ввести личную информацию, учетные данные или перевести деньги. Часто ссылки на фишинговые сайты приходят через спам, но иногда злоумышленники, получив учетные данные пользователя, тщательно изучают жертву в течение нескольких недель и работают над целенаправленной атакой на партнеров, клиентов компании от лица своей жертвы для кражи денег. Такой способ позволяет хакерам замаскироваться под доверенное лицо. За последние два года количество атак такого типа возросло, и в 2020 году фишинг по-прежнему будет представлять серьезную угрозу, рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ
|
Отчет Check Point Phishing Report основан на данных ThreatCloud intelligence, совместной сети по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, проанализированных на предмет обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных веб-сайтов, а также ежедневно идентифицирует миллионы типов вредоносных программ.
Решения «Лаборатории Касперского» ежемесячно предотвращали 38 млн попыток перехода на мошеннические сайты
Согласно статистике «Лаборатории Касперского», в 2019 году значительно выросло число фишинговых атак, в ходе которых злоумышленники, как правило, пытаются заполучить личные и платёжные данные пользователей. Об этом Kaspersky сообщил 28 января 2020 года. В этот период решения «Лаборатории Касперского» ежемесячно предотвращали в среднем 38 миллионов попыток перехода пользователей на мошеннические сайты. Фишеры пристально следят за новостной повесткой и используют интерес публики к разным крупным событиям и знаменитостям, придумывая официально выглядящие приманки и хитростью вынуждая человека нажать на вредоносную ссылку или оставить личные данные. Подробнее здесь.
Хакеры со спецподготовкой атакуют госорганы по всему миру
Эксперты компании Anomali Inc. обнаружили в декабре 2019 года широкомасштабную фишинговую кампанию, нацеленную на государственные учреждения по всему миру. Предположительно ее операторов интересуют сведения о проектах по централизованным закупкам и тендерам[14].
Кампания хорошо организована и, судя по всему, довольно эффективна. Каждое фишинговое письмо уникально, формируется специально под конкретное ведомство, на которое планируется устроить атаку. Жертвы перенаправляются на специально подготовленные фишинговые сайты, на вид полностью дублирующие легитимные ресурсы. Но единственным их реальным назначением является кража реквизитов доступа.
Атакованы правительства Канады, Китая, Австралии, Швеции и США. По мнению экспертов, атаки производятся из Турции или Румынии; по крайней мере, именно там располагаются домены, используемые при атаках. Однако кто ими управляет, сказать точно пока невозможно.
Microsoft назвала самые необычные виды мошенничества в интернете
Компания Microsoft опубликовала в конце 2019 года отчет о тенденциях вредоносного ПО и кибербезопасности в 2019 году, в котором также рассказала о росте активности фишинговых атак[15][16].
По словам Microsoft, количество обнаруженных фишинговых писем выросло с 0,2% в январе 2018 года до 0,6% в октябре 2019 года. В то время как количество фишинговых атак увеличилось, общее число вымогательского ПО, криптомайнеров и других вредоносных программ сократилось.
В своем блоге компания рассказала о трех наиболее сложных фишинговых атак, выявленных в нынешнем году.
Первой является многоуровневая вредоносная кампания, в результате которой киберпреступники отравили результаты поиска Google. Мошенники сначала направляли перехваченный с законных сайтов web-трафик на собственные ресурсы. Попав в топ результатов поиска Google по ключевым словам, преступники отправляли жертвам электронные письма со ссылками на данные результаты поиска. Если пользователь нажимал на подобную ссылку, а затем на популярный результат поиска, он попадал на сайт, где его перенаправляли на фишинговую страницу.
Другая вредоносная кампания была выявлена в августе. Мошенники использовали вредоносные пользовательские страницы с ошибкой 404 для осуществления мошеннических атак. Тогда как большинство фишинговых писем содержат ссылку на мошеннический URL-адрес, в рамках данной кампании злоумышленники использовали ссылки на несуществующие страницы. Системы безопасности Microsoft во время сканирования ссылки обнаруживали ошибку 404 и считали ссылку безопасной, тогда как в действительности пользователь перенаправлялся на вредоносный сайт. Использование алгоритмов генерации поддоменов и постоянная смена домена позволяли злоумышленникам создавать большое количество фишинговых URL-адресов.
Третья фишинговая кампания заключалась в осуществлении MitM-атак. Злоумышленники собирали связанную с целевой компанией информацию (логотипы, баннеры, текст и фоновые изображения) с сайта Microsoft, и с помощью данных элементов создавали свой фишинговый сайт, который практически никак не отличался от настоящего. Далее фишеры рассылали письма с URL-адресами, имитирующими страницы авторизации. У жертв складывалось впечатление, что они находятся на легитимной странице, однако выдать подвох мог URL-адрес, отображающийся в адресной строке браузера.
Наблюдается рост фишинговых писем с сексуальным вымогательством (sextortion)
За последние несколько месяцев миллионы угрожающих писем были разосланы пользователям со всего мира. Начав с Германии, а потом перейдя на Великобританию и другие страны, преимущественно США и Канаду, анонимные кибер-преступники атаковали жителей стран Запада фишинговыми письмами. В этих сообщениях обычно утверждается, что у преступников имеется запись потенциальной жертвы, сделанной без ее согласия в ее личное время (как правило, запись носит интимный характер), и что эти записи будут распространены среди ее друзей, членов семьи и сослуживцев, если жертва не согласится заплатить определенный выкуп. Как правило, кибер-преступники предоставляют своей потенциальной жертве инструкции, как сделать платеж с использованием различных криптовалют[17].
Что делать, если вы получили такое письмо?
Самое лучшее, что вы можете сделать при получении письма, в котором вас пытаются шантажировать, - это проигнорировать его. Довольно часто, когда вы читаете подобное письмо, вы можете увидеть, что оно не персонализировано, и что это – массовая рассылка. В большинстве случаев игнорирование письма – это лучшее, что вы можете сделать. Если вы чувствуете, что письмо довольно реально, и вы этим сильно обеспокоены, то в таком случае вам лучше сообщить об этом в местные органы полиции.
Чего НЕ СЛЕДУЕТ делать при получении подобного письма?
Просто не открывайте письмо. Если вы получаете такое письмо в свой почтовый ящик, все, что вам необходимо сделать, - это удалить его и жить дальше своей жизнью. Однако, если все же вы открыли письмо, мы советуем вам не платить выкуп. Оплата выкупа преступникам может стать не единственной вашей проблемой: перевод денег незнакомцам может стать причиной обращения к вам органов государственной безопасности, т.к. такой перевод может спонсировать террористические группировки. Вы никогда точно не знаете, кто получит ваши деньги, а потому лучшее решение – это никогда НЕ платить им. Противостоять хакерам – это тоже не самая лучшая идея: говоря им имена или взаимодействуя с ними, вы просто делаете себя более легкой жертвой. Не надо привлекать к себе дополнительное внимание со стороны хакеров.
Еще один важный момент – не принимать такие сообщения лично на свой счет: ежедневно кибер-преступники отправляют миллионы сообщений. Скорее всего, они даже не знают, кто вы такой, а ваш адрес электронной почты просто присутствует в их спамовом списке. Короче говоря, старайтесь не открывать подобные письма, и если вы по какой-либо причине все же сделали это, то никогда не нажимайте на любые ссылки в тексте письма и не открывайте какие-либо вложения в них.
Кто стоит за этими письмами с вымогательствами?
На текущий момент неизвестно, спонсируется ли эта атака какими-либо государствами или за ней стоят отдельные хакеры. Впрочем, известно, что кто бы они ни были, они хотят наживы и они технически опытны для успешного проведения крупномасштабных кампаний без каких-либо последствий для себя. В наши дни мы живем в современном мире, где хакеры могут находиться либо в соседнем с вами доме, либо на далеком острове на Карибах или же в центре тропических лесов Амазонии в Бразилии.
Как они нацелились на вас?
Вопрос, который мы обычно слышим, заключается в том, как эти шантажисты смогли найти ваш адрес электронной почты и нацелились на вас. За последние несколько лет произошло несколько нарушений данных, и хакеры украли миллиарды адресов электронной почты. Часто такие базы данных электронных адресов продаются на «черном» рынке в «теневом» Интернете, и почти каждый может прийти и скачать список адресов, чтобы запустить свою кампанию по электронной почте. Несмотря на то, что эти фишинговые письма обычно легко идентифицировать, но когда преступники отправляют несколько миллионов писем, как минимум несколько людей обязательно попадаются на этом обмане. Хакеры рассчитывают на то, что даже небольшой процент людей, кто получил письмо, все же последуют инструкциям и переведут деньги на их счета.
Как не стать жертвой?
Некоторые провайдеры сервисов электронной почты, такие как Gmail и Yahoo, довольно-таки хорошо фильтруют такие письма. Поэтому можно с уверенностью сказать, что значительный процент мошеннических писем, отправленных вам, реально никогда не попадет к вам, потому что они не смогут преодолеть эти фильтры. Однако хакеры становятся все более креативными. Если вы хотите быть защищены немного лучше, то вам следует установить премиальный антивирус на все ваши устройства, которые подключены к Интернету.
Организатор фишинговых атак выплатит своим жертвам более $1,1 млн
Киберпреступник, атаковавший такие крупные компании, как Uber, Sainsbury's, Nectar, Groupon, T Mobile, AO.com и Argos, выплатит[18] более $1,1 млн в качестве компенсации жертвам фишинговых атак[19].
27-летний Грант Уэст (Grant West), известный в Сети как «Courvoisier», начал свою фишинговую кампанию в 2015 году. Он атаковал популярные компании для доступа к финансовым данным десятка тысяч клиентов, которые затем продавал в даркнете за разные криптовалюты. По результатам расследования, Уэста идентифицировали как лидера группировки Organised Crime Network, атаковавшей расположенные в Лондоне организации. Наряду с финансовыми данными он также продавал инструкции по проведению кибератак.
Сотрудники правоохранительных органов в ходе операции под кодовым названием «Operation Draba» конфисковали все средства преступника. Также в доме Уэста была обнаружена SD-карта с 78 млн уникальных имен пользователей и паролей, а также данными 63 тыс. банковских карт. Дальнейшее расследование выявило, что преступник организовывал атаки с ноутбука своей девушки. На устройстве был обнаружен файл с именем «fullz», содержащий финансовую информацию более 100 тыс. пользователей.
Изучив материалы дела, суд постановил продать всю конфискованную цифровую валюту Уэста (на сумму более £922 тыс.) и выплатить пострадавшим компенсацию.
Телеком-операторы в Европе блокировали в среднем 20 млн фишинговых атак ежемесячно
23 июля 2019 года компания Allot выпустила отчет из серии Telco Security Trends. Базирующийся на частных и отраслевых исследованиях, он рассматривает рост фишинговых атак, их финансовые последствия и то, как сервис-провайдеры могут помочь в борьбе с этой растущей угрозой.
Как сообщалось, основные выводы включают в себя:
- Фишинг – растущая проблема для пользователей, бизнеса и сервис-провайдеров по всему миру. Потребители являются основными мишенями этих атак, и они требуют повышения безопасности своих данных и финансовой информации. Согласно Telco Security Trends Report, в течение первого квартала 2019 года телеком-операторы в Европе каждый месяц блокировали в среднем 20 миллионов фишинговых атак на устройствах семи миллионов мобильных абонентов.
- Фишинг – глобальная миллиардная индустрия. Исследование показало, что за трехмесячный период мобильный фишинг составил 35% от числа всех активированных блокировок у клиентов, пользующихся услугой безопасности телеком-оператора. Adware заняло второе место с 34%, опередив число блокировок вредоносных программ, вымогателей и криптоджекинга.
Сервис-провайдеры имеют возможность снизить число фишинговых атак.
- Несмотря на то, что фишинг технически зависит от того, каким источникам пользователи доверяют, сервис-провайдеры могут проактивно защищать своих подписчиков от фишинга.
- Сервис-провайдеры должны взять на вооружение подход «Обучать, предупреждать и защищать» для защиты клиентов от киберпреступников.
- Защита от фишинга предоставляет сервис-провайдерам возможность дифференцировать себя и создать источники дохода, одновременно защищая интернет-пользователей.
На протяжении многих лет клиенты сервис-провайдеров становились прямыми или косвенными жертвами фишинга, и теперь настало время действовать. На июль 2019 года хакеры стремятся обмануть пользователей и убедить их разгласить личную и конфиденциальную информацию, искусно манипулируя такими человеческими эмоциями, как жадность, страх и надежда. Благодаря проактивному подходу оповещения клиентов о фишинговых кампаниях, обучению их основам интернет-безопасности и внедрению антифишинговых технологий для защиты на сетевом уровне, сервис-провайдеры могут не только завоевать доверие потребителей, но и создать дополнительные источники получения дохода для самих себя. рассказал Хагай Кац, вице-президент по стратегическим аккаунтам по кибербезопасности в Allot |
2018
Электронная почта -самый популярный способ доставки вредоносного ПО
По данным CERT-GIB, электронная почта окончательно утвердилась в статусе самого популярного способа доставки вредоносного программного обеспечения в 2018 году. Соотношение доставки ВПО по email и загрузки через веб-браузер на протяжении 2018 года оставалось на уровне 12 к 1. При этом во второй половине 2018 года доля загрузок вредоносного ПО посредством веб-браузера сократилась до исторического минимума и составила порядка 3%.
По данным CERT-GIB, одной из ключевых тенденцией 2018 года стало использование публичных почтовых сервисов для отправки писем, содержащих ВПО. Так, в топ-5 наиболее активно использовавшихся злоумышленниками почтовых доменов вошли популярные в России mail.ru, yandex.ru и gmail.com. Для сравнения в 2017 году лишь один публичный почтовый сервис (mail.ru) входил в эту пятерку, остальные четыре – домены, зарегистрированные специально под вредоносные рассылки или просто поддельные адреса. Тенденция объясняется просто: с одной стороны, авторы фишинговых рассылок стремятся использовать максимально доверенные адреса – те, с которых пользователи привыкли получать электронную почту. С другой, такой способ рассылки значительно дешевле – нет необходимости регистрировать почтовый домен, можно пользоваться готовой инфраструктурой, а в случае обнаружения одним почтовым сервисом подозрительной активности, без потерь «переехать» на другой.
Как и в 2017, в 2018 году в подавляющем большинстве случаев (82%) злоумышленники предпочитали доставлять ВПО во вложении к письму. Количество фактов использования URL-ссылок в письмах, ведущих на загрузку вредоносного ПО, в 2018 году увеличилось не значительно – на 10%.
Любимым форматом упаковки ВПО в 2018 году у злоумышленников стали архивы. На протяжении всего 2018 года в архивах доставлялось больше половины всех вредоносных объектов. Наибольшей популярностью пользовались ZIP-архивы, для распаковки которых, как правило, не требуется отдельное ПО. На них приходилось 20% всех вредоносных файлов, проанализированных в рамках работы CERT-GIB.
В 2018 году по-прежнему популярными среди злоумышленников были файлы с расширением .exe, несмотря на то, что данный исполняемый формат уже должен был выработать у пользователей интернета осторожность работы с ним. На долю доставляемого ВПО при помощи .exe файлов пришлось 12% всех проанализированных вредоносных объектов.
В целях обхода традиционных систем обнаружения вредоносных рассылок злоумышленники идут на различные ухищрения, одним из которых является рассылка ВПО в архивах, требующих пароля для расшифровки содержимого. CERT-GIB фиксирует десятикратный рост количества таких архивов: в 2017 году на архивы с паролем приходилось лишь 0,08% от общего количества вредоносных объектов, а в 2018 году их количество подросло до 0,9%. В простых схемах атак пароль, как правило, указывается в письме с вредоносным вложением. Многоэтапные атаки с использованием социальной инженерии, используют выдачу пароля на этапе входа в коммуникацию с пользователем, для создания доверительных отношений, цель которых – заставить жертву открыть архив с вредоносным ПО.
Другим известным методом обхода традиционных систем обнаружения является отправка вредоносных ссылок с отложенной активацией. На протяжении 2018 года CERT-GIB фиксировал незначительно отличающие сценарии таргетированных атак, когда письма доставлялись адресатам в нерабочее время, и на момент антивирусной проверки ссылка из письма была недоступна, благодаря чему вредоносное письмо успешно доставлялось. Злоумышленники активировали вредоносную ссылку исключительно в рабочее время жертвы, когда антивирусный сканер уже «разрешил» доставку письма.
«Все больше киберпреступников располагают инструментами, позволяющими убедиться, что рассылаемый экземпляр не детектируется популярными традиционными антивирусными средствами. Но класс защиты, основанный на поведенческом анализе, позволяет детектировать поведение, ранее неизвестных экземпляров вредоносного ПО и заблокировать подозрительную активность, которую может пропустить антивирус», отметил Ярослав Каргалев, заместитель руководителя CERT-GIB |
49% фишинговых сайтов используют SSL для создания иллюзии защищенности
По данным CERT-GIB, соотношение фишинговых ресурсов, использующих безопасное соединение (SSL/TLS) к общему количеству фишинговых сайтов показывает, что злоумышленники все чаще эксплуатируют ложное чувство защищенности у пользователей, делающих ставку на HTTPS. Статистика показывает, что в 4 квартале 2018 года почти половина всех фишинговых ресурсов использует именно «безопасное соединение».
«Пользователям не стоит полагаться на тип соединения используемый сайтом в качестве критерия его безопасности. Получить HTTPS сертификат для злоумышленников стало также просто, как и любой другой. В онлайне можно обнаружить большое количество сервисов, которые позволяют это сделать быстро и бесплатно», отметил Ярослав Каргалев, заместитель руководителя CERT-GIB |
"Лаборатория Касперского" заблокировала 137 миллионов попыток пользователей перейти на фишинговые страницы
6 ноября 2018 года «Лаборатория Касперского (Kaspersky)» сообщила, что ее решения заблокировали за третьй квартал 2018 года более 137 миллионов попыток пользователей перейти на фишинговые страницы – это на 28% больше, чем в предыдущем периоде. При этом свыше трети фишинговых атак (35%) пришлось на организации финансовой категории: банки, платёжные системы, интернет-магазины. Все эти многочисленные поддельные страницы были созданы с одной целью – получить конфиденциальные данные пользователей, которые открыли бы злоумышленникам, помимо всего прочего, доступ к частным кошелькам и банковским счетам жертв.
Впрочем, заработать на пользователях киберпреступники пытались и по-другому. В конце лета 2018 года «Лаборатория Касперского» зафиксировала в спам-трафике всплеск мошеннических рассылок, в которых от получателей требовали выкуп за неразглашение собранного на них «компромата». Эти письма даже содержали персональные данные пользователей – таким образом злоумышленники пытались убедить жертв, что они действительно обладают важной информацией. Выкуп требовался в биткойнах, а его сумма варьировалась от нескольких сотен до тысяч долларов, при этом в разных рассылках мошенники указывали разные биткойн-кошельки для перевода денег. Как выяснили аналитики «Лаборатории Касперского», только на один такой кошелёк за один месяц было сделано 17 трансакций на общую сумму около 18 тысяч долларов США.
В России мошенники, разумеется, попытались использовать в своих интересах одну из самых горячих тем последних месяцев – пенсионную реформу. К примеру, «Лаборатория Касперского» обнаружила несколько рассылок с предложениями проверить сумму пенсионных накоплений в негосударственных фондах и вывести деньги «с пенсии». Чтобы убедить получателей в легитимности писем, злоумышленники ссылались на несуществующие законы и структуры (например, на некий «Национальный отдел возврата пенсионных накоплений»). За вывод несуществующих накоплений и «доступ» к базе данных с пенсионными начислениями получателям писем предлагалось заплатить небольшую «пошлину», которая, естественно, шла в карман мошенников.
Объёмы фишинга продолжают расти на протяжении всего 2018 года, причём довольно быстрыми темпами. То количество атак, которое мы зафиксировали лишь в третьем квартале 2018 года, составило половину (и даже больше) той величины, которая была обнаружена нами в 2017 году. Этому способствует множество факторов. Мошенники постоянно изобретают схемы и уловки, заимствуют идеи у иностранных «коллег», задействуют различные каналы распространения спама и фишинговых ссылок, эксплуатируют популярные темы и события в качестве приманки. В общем, недостатка в поводах и инструментах у злоумышленников явно нет. Надежда Демидова, ведущий контент-аналитик «Лаборатории Касперского»
|
Чтобы не стать жертвой фишинга, «Лаборатория Касперского» рекомендует пользователям придерживаться довольно простых правил.
- Всегда проверяйте подлинность адреса отправителя письма и содержащейся в нём ссылки – если не уверены в их благонадёжности, не открывайте. Если вы всё же оказались на сайте, вызывающем у вас сомнения, не оставляйте там никаких персональных данных. Если же думаете, что случайным образом вы могли передать свой пароль злоумышленникам, срочно смените его.
- Используйте защищённое соединение, особенно когда заходите на важные сайты (например, в систему интернет-банкинга). По возможности избегайте небезопасных публичных Wi-Fi сетей. Всё это снизит риск незаметного попадания на фишинговую страницу. Для максимальной уверенности используйте специальные решения для защиты сетевых соединений – например, Kaspersky Secure Connection.
- Используйте подходящее защитное решение с антифишинговыми технологиями – например, Kaspersky Security Cloud. Программа предупредит вас, если вы попытаетесь перейти на мошенническуюстраницу, и заблокирует её.
Бум ICO стимулирует новую волну фишинговых атак
По данным исследования Qrator Labs, наиболее часто компании из финансового сектора сталкиваются с фишингом (30%) и DDoS-атаками (26%). Сохранение внимания к DDoS-атакам со стороны банковского сектора на достаточно высоком уровне обусловлено волной массированных DDoS-атак на ряд крупных российских банков: в 2016 году были атакованы веб-сайты многих известных финансовых организаций из топ-10, а 28 января 2018 года произошла самая большая за последние годы DDoS-атака на мировой финансовый сектор с помощью ботнета Mirai.
За последний год почти половина опрошенных испытывала по крайней мере одну DDoS-атаку. Среди основных причин, ведущих к попаданию финансовой организации в фокус организаторов DDoS-атак, можно назвать как размеры организации и её популярность на рынке, так и отсутствие внедрённых адекватных контрмер для борьбы с DDoS-атаками, вследствие чего организация может стать лёгкой добычей для кибервымогателей, - отмечает Артем Гавриченков, технический директор Qrator Labs. |
Согласно опросу Qrator Labs, если раньше финансовые организации стремились строить решения целиком in-house, то сегодня большинство опрошенных компаний (68%) уже считают самым эффективным средством противодействия DDoS гибридные решения (на стороне клиента с участием операторского решения, либо распределенной сети). Однако у этого метода также существует ряд нюансов, которые необходимо учитывать. Гибридные решения не компенсируют недостатки друг друга, а комбинируют преимущества и отрицательные свойства в тех или иных пропорциях, что может негативно сказаться на уровне защиты.
В индустрии еще не сложилось четкое понимание подобных рисков: многие до сих пор полагаются на гибридные решения. Однако с ростом угроз можно ожидать, что в дальнейшем рынок отнесется к этой ситуации более серьезно, осознав, что комбинированные системы не могут обеспечить защиту от целых классов атак, - говорит Артем Гавриченков. |
Угроза фишинга существенно возросла в том числе в связи с компаниями, выходящими на ICO. Неутихающий ажиотаж вокруг ICO привел к высокому риску мошенничества, и среднестатистические пользователи не имеют точного представления, как обеспечить собственную защиту, и склонны не замечать интернет-мошенничество.
В сфере ICO фишинг стал серьезной проблемой, и это позволяет судить о том, что и в смежных отраслях, например, в финансовом секторе, фокус злоумышленников также смещается в сторону такого метода получения доступа к конфиденциальным данным пользователей, - отмечает технический директор Qrator Labs. |
Среднее количество атак на веб-приложения в финансовой сфере, по данным Валарм, составляет 1500 в день. Основная часть из них – это автоматизированные инструменты и сканеры. Такая активность автоматизированных средств создает большой информационный фон и усложняет выявление реальных инцидентов. Несмотря на то, что число взломов в единицу времени в целом за последние годы сохраняется на одном уровне, финансовые организации уже не всегда могут своевременно обнаруживать и точно фиксировать подобные инциденты.
Кибермошенники рассылают фишинговые письма под видом турнирной таблицы ЧМ-2018
Компания Check Point Software Technologies, поставщик решений в области кибербезопасности, 19 июня 2018 года сообщила о выявлении фишинговой кампании, связанной с началом Чемпионата мира по футболу 2018. Кибермошенники рассылают зараженный файл под видом расписания игр и турнирной таблицы.
Во вложении фишинговых писем скрывается вредоносное ПО под названием «DownloaderGuide», который известен как загрузчик потенциально нежелательных программ. Чаще всего его используют в качестве установщика приложений, таких как панель инструментов, рекламное ПО или утилиты для оптимизации. Исследователи Check Point обнаружили, что фишинговая рассылка включает различные исполняемые файлы, все из которых были отправлены по электронной почте с использованием темы: «World_Cup_2018_Schedule_and_Scoresheet_V1. ## _ CB-DL-Manager».
Кампания была впервые обнаружена 30 мая 2018 года и достигла пика 5 июня, однако в десятых числах июня исследователи Check Point зафиксировали очередной всплеск, который связывают с началом турнира.
В компании ожидают новые всплески онлайн-мошенничеств и фишинг-атак во время Чемпионата мира по футболу 2018 и призывают интернет-пользователей сохранять бдительность, а организациям рекомендуют применять многоуровневую стратегию безопасности, которая защищает как от известного вредоносного ПО, так и угроз нулевого дня.
Фишинг — в числе самых серьезных угроз для пользователей Office 365
Корпорация Microsoft опубликовала в апреле 2018 года отчет об угрозах информационной безопасности Security Intelligence Report за период с февраля 2017 года. Он базируется на данных, полученных защитными программами и сервисами компании (Данные о количестве обнаруженных угроз, а не о случаях заражения). Информация была предоставлена корпоративными и частными пользователями, которые согласились делиться ей с привязкой к геолокации.
Широкое распространение ботнетов и вирусов-вымогателей привело к тому, что количество устройств в России, столкнувшихся с киберугрозами в период с февраля 2017 года по январь 2018 года, достигло 25-30% в среднем в месяц, тогда как аналогичный показатель в первом квартале 2017 года был почти в два раза меньше – 15%. Самые высокие показатели были зафиксированы в Пакистане, Непале, Бангладеше и Украине (33,2% или выше), самые низкие – в Финляндии, Дании, Ирландии и США (11,4% или ниже).
В 2017 году методы получения «легкой добычи», такие как фишинг, использовались для того, чтобы получить учетные данные и другую конфиденциальную информацию от пользователей. Согласно данным Microsoft Advanced Threat Protection (ATP) фишинг был в числе самых серьезных угроз в почтовых ящиках пользователей Office 365 во втором полугодии 2017 года (53%), 180-200 миллионов фишинговых писем обнаруживались ежемесячно. В России, в частности, было обнаружено 7,01 (в мире – 5,85) фишинговых сайтов на каждую 1000 хостов. Следующими по распространенности угрозами стали загрузчики вредоносного ПО (29%) и Java-бэкдоры (11%).
Другой мишенью для злоумышленников являются облачные приложения с низким уровнем безопасности. В ходе исследования выяснилось, что 79% SaaS-приложений для облачного хранения данных и 86% SaaS-приложений для совместной работы не обеспечивают шифрование ни хранящейся, ни передаваемой информации. Для защиты корпоративной инфраструктуры организации должны ограничивать использование пользователями облачных приложений, не использующих шифрование, и контролировать это с помощью брокера безопасности облачного доступа (Cloud Access Security Broker, CASB).
Еще одна тенденция второй половины 2017 года – киберпреступники используют легитимные встроенные средства системы, чтобы распространить зараженный документ (например, документ Microsoft Office), содержащийся в фишинговом письме, и загрузить программу-вымогатель. Лучшим способом избежать такого вида угрозы является своевременное обновление операционной системы и программного обеспечения.
2017
Google: Фишинговые атаки опаснее кейлоггеров и утечек данных
Специалисты Google совместно с учеными Калифорнийского университета в Беркли и Международного института компьютерных наук (International Computer Science Institute) опубликовали результаты исследования современных киберугроз. Согласно докладу, фишинговые атаки представляют для пользователей более серьезную опасность, чем кейлоггеры и повторное использование пароля[20][21].
К данному выводу исследователи пришли, проанализировав несколько черных рынков по продаже учетных записей и учетных данных. В исследовании рассматривались данные за период с марта 2016 года по март 2017 года.
Эксперты обнаружили более 788 тыс. учетных данных, похищенных с помощью кейлоггеров, 12,4 млн учетных данных, украденных посредством фишинга, и 1,9 млрд учетных данных, попавших в Сеть в ходе утечек. При этом 12% скомпрометированных в ходе утечек учетных записей были зарегистрированы через сервис Gmail. В 7% случаев пользователи повторно использовали свой пароль от Google для доступа к другому аккаунту, поставив таким образом обе учетные записи под угрозу взлома.
По словам представителей Google, от 12% до 25% обнаруженных паролей все еще применялись пользователями. Google заявила, что результаты исследования будут использованы в том числе для сброса паролей в скомпрометированных аккаунтах.
«Оценивая риски, мы обнаружили, что фишинг представляет наибольшую угрозу для пользователей. Далее следуют кейлоггеры и утечки данных. Вероятность того, что учетная запись жертвы фишинга будет взломана в 400 раз больше по сравнению со средним пользователем Google. Данный показатель в 10 раз меньше у жертв утечек данных и примерно в 40 раз меньше у жертв кейлоггеров», - отметили эксперты.
Помимо этого, исследователи также обратили внимание на растущую тенденцию включать в кейлоггеры и фишинговое ПО инструменты для регистрирации IP-адресов и других данных для обхода геолокационных фильтров. Более сложные варианты вредоносного ПО также регистрируют телефонные номера и данные user-agent.
Facebook выплатит $100 тыс. исследователям за разработку техники обнаружения целенаправленного фишинга
В августе 2017 года социальная сеть Facebook объявила победителя конкурса «2017 Internet Defense Prize». Команда исследователей из Калифорнийского университета в Беркли и Национальной лаборатории Лоуренса Беркли заработала награду в размере $100 тысяч за изобретение новой техники обнаружения целенаправленных фишинговых атак (spear-phishing) в корпоративной среде.
Метод, представленный в рамках USENIX Security Symposium, совмещает новую технику оценки аномалий для построения рейтинга уведомлений безопасности и функционал анализа целенаправленных фишинговых email-сообщений.
Для тестирования своего метода исследователи проанализировали более 370 млн email сообщений, полученных сотрудниками крупных компаний в период с марта 2013 до января 2017.
Первая часть обнаружения целенаправленного фишинга полагается на анализ двух основных составляющих: репутации домена и репутации отправителя. Репутация домена осуществляется путем проверки репутации ссылки в письме. Ссылка считается опасной, если она не посещалась многими сотрудниками компании, или если активность по ссылке началась совсем недавно.
Функционал проверки репутации отправителя пытается выяснить, не являются ли поля письма поддельными, например, имя отправителя и заголовок From.
После проведения анализа система должна принять решение на основе собранных данных и, в случае необходимости, создать уведомление об опасности. Система, предложенная учеными, называется непосредственной оценкой аномалий - `Directed Anomaly Scoring (DAS)`. Состоит она в определении подозрительности каждого события по отношению к другим событиям. После анализа всех событий, DAS выбирает события, получившие самую высокую оценку и сообщает о них службе безопасности.
По заявлению экспертов, новая технология способна обнаружить 17 из 19 фишинговых писем, а число ложных срабатываний составляет всего 0.005%[22].
Мошенники атакуют пользователей Apple-устройств под видом сотрудников iTunes
17 июля компания Eset предупредила пользователей продукции Apple о новой афере. Мошенники собирают данные банковских карт и другую личную информацию, рассылая письма о несуществующей покупке в iTunes Store.
Потенциальная жертва получает от лица онлайн-магазина письмо, в котором сообщается, что Apple ID использовался на неизвестном устройстве для покупки альбома Рианны. Пользователю предлагают игнорировать сообщение, подтвердив тем самым покупку, или отменить транзакцию, перейдя по ссылке.
Если пользователь не обратит внимание на грамматические ошибки в письме и тот факт, что адрес отправителя не имеет отношения к Apple, он попадает на фишинговый сайт, где предлагается ввести Apple ID и пароль, а затем заполнить анкету «для подтверждения личности».
По информации Eset, мошенники запрашивают исчерпывающие данные: имя, фамилию, почтовый адрес, телефон, дату рождения и данные банковских карт. «Принимаются» карты всех распространенных платежных систем, включая Visa, MasterCard, American Express и др.
После ввода данных на странице появится сообщение о том, что учетная запись успешно прошла проверку. Пользователь будет перенаправлен на главную страницу настоящего iTunes Store, а его персональные данные окажутся у злоумышленников.
В Eset рекомендуют игнорировать спам-рассылки и использовать комплексные антивирусные продукты с функциями антиспама и антифишинга.
"Лаборатория Касперского" выяснила, кто стоит за фишинговыми атаками на промышленные компании
Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT) сообщил в июне2017 года о всплеске числа фишинговых атак на промышленные компании со стороны нигерийских злоумышленников. Только за три месяца исследований эксперты центра обнаружили более 500 атакованных предприятий в более чем 50 странах мира: доля индустриальных компаний среди них превысила 80%.
Рассылаемые при атаках письма были составлены таким образом, чтобы получивший письмо сотрудник счел его легитимным и открыл вредоносное вложение. Сообщения рассылались в том числе от имени компаний — контрагентов потенциальных жертв: поставщиков, заказчиков, коммерческих организаций и служб доставки. В них получателям предлагалось срочно проверить информацию по счету, уточнить расценки на продукцию или получить груз по накладной. При этом во всех письмах содержались вредоносные вложения, предназначенные для кражи конфиденциальных данных, а также установки скрытых средств удаленного администрирования систем.
Также специалисты обнаружили, что большая часть доменов, используемых для командных серверов вредоносного ПО, была зарегистрирована на лиц, проживающих в Нигерии. Выбрав из готовящихся транзакций наиболее перспективную для себя, атакующие регистрировали домены, имена которых были очень похожи на имена компаний-продавцов. Затем они перехватывали сообщения со счетами от этих компаний и пересылали их покупателям, заменив реквизиты на свои собственные.
Описанные атаки относятся к хорошо известному типу Business Email Compromise (BEC). Нацелены такие угрозы обычно не только на промышленные предприятия, но на бизнес в целом. По оценкам ФБР, ущерб от подобных атак за последние несколько лет превысил 3 миллиарда долларов США, а количество пострадавших составило 22 143 компании в 79 странах мира.
Однако в случае с промышленными компаниями финансовые потери — не единственный риск от подобных атак. Поскольку часть вредоносного ПО, используемого в атаках, дает возможность удаленного доступа к зараженному компьютеру, злоумышленники могут использовать это для проникновения из офисной сети в промышленную. Последствия этого совершенно непредсказуемы: известны случаи, когда атакующие меняли какие-либо технологические параметры даже без очевидного злого умысла — просто из любопытства. Кроме того, в процессе атаки злоумышленники получают доступ к огромному количеству информации об индустриальных компаниях: данным о контрактах и проектах, сметам работ, чертежам, планам зданий, схемам электрических и информационных сетей. Как фишеры распоряжаются этой информацией, эксперты пока не выяснили, однако очевидно, что в плохих руках она представляет серьезную опасность.
Аферист из Литвы ограбил Google и Facebook на $100 млн
В марте 2017 года в СМИ прошла информация о том, что две ведущие американские интернет-компании пострадали от фишинговой атаки, организованной мошенником из Литвы. Названия компаний не раскрывались, но отмечалось, что злоумышленнику удалось обманом получить более $100 млн. Подробнее здесь.
2016
APWG: Количество фишинг-инцидентов выросло на 65%
2016 год поставил рекорд по количеству фишинговых атак, - сообщила в своем отчете Рабочая группа по борьбе с фишингом (The Anti-Phishing Working Group): 1 220 523 инцидента. Это на 65% больше, чем в 2015 г.
Наиболее атакуемым сектором стал ритейл (почти 42%); на втором месте оказался финансовый сектор, на третьем и четвертом местах, соответственно, оказались интернет-провайдеры и платежные сервисы.
Большая часть (более 6 тыс.) фишинговых доменов стабильно располагается в доменной зоне .com.
Стоит отметить, что в статистику APWG не вошли «спиэр-фишинговые», то есть узконаправленные мошеннические атаки: речь идет только о традиционном фишинге.
Согласно исследованию APWG, в IV квартале 2016 г. каждый месяц составляло 92 564 инцидентов. В 2004 г. за тот же период количество фишинговых инцидентов составляло всего лишь 1609. Таким образом, мошеннический бизнес показал рост более чем в 50 раз за 12 лет.
Цель каждой второй фишинговой атаки — деньги пользователей
Почти половина фишинговых атак в 2016 году была нацелена на прямую кражу денег у пользователей — к такому выводу пришли эксперты «Лаборатории Касперского», проанализировав финансовые угрозы 2016 года (учитывалось число срабатываний эвристической компоненты системы «Антифишинг» в защитных продуктах компании). По сравнению с показателем 2015 г., число финансовых фишинговых атак увеличилось на 13 процентных пунктов и составило 47%. За всю историю изучения компанией финансового фишинга этот показатель самый высокий.
Основной целью злоумышленников при таких атаках является сбор конфиденциальной информации, открывающей доступ к чужим деньгам. Фишеры охотятся за номерами банковских счетов или карт, номерами социального страхования, логинами и паролями от систем онлайн-банкинга или платежных систем.
Излюбленной мишенью фишеров традиционно оказались банки: в каждой четвертой атаке они использовали поддельную банковскую информацию. Таким образом, доля атак на эти финансовые организации по сравнению с 2015 г. увеличилась на 8 процентных пунктов. Кроме того, приблизительно каждая восьмая фишинговая атака была направлена на пользователей платежных систем, а каждая десятая — на покупателей интернет-магазинов.
«Фишинг, направленный на пользователей финансовых сервисов, является для киберпреступников одним из самых эффективных способов украсть деньги. Атаки с использованием методов социальной инженерии не требуют от преступника высокой технической квалификации и больших инвестиций. Пользуясь невнимательностью своих жертв и их технической неграмотностью, мошенники получают доступ к персональной финансовой информации пользователей и, в дальнейшем, к их деньгам, — рассказала Надежда Демидова, старший контент-аналитик «Лаборатории Касперского». — Разумеется, подавляющее большинство фишинговых атак легко распознать. Но статистика говорит о том, что очень много людей продолжают проявлять беспечность в интернете, даже когда дело касается денег».
Украина: Число мошеннических сайтов, собирающих банковские реквизиты, увеличилось в 4,5 раза в 2016 году
За 2016 год в Украине в 4,5 раза выросло количество фишинговых сайтов. Если в 2015 году веб-ресурсов, которые заставляли пользователей оставлять данные платежных карточек под предлогом оказания несуществующих услуг, было обнаружено 38, то уже в 2016 году специалисты Украинской межбанковской ассоциации членов платежных систем (EMA) выявили 174 таких сервиса в интернете[23].
Число фишинговых сайтов в Украине за год увеличилось в 4,5 раза. В 2016 году специалистами Украинской межбанковской ассоциации членов платежных систем (EMA) было обнаружено 174 мошеннических ресурса, хотя год назад было зафиксировано 38 ресурсов такого рода.
Цель этих лжесервисов одна – пользователь должен оставить данные своей карточки на сайте. Достигают ее мошенники различными способами. Как отмечают в ЕМА, 90 из 174 мошеннических ресурсов предлагали «пополнить» счет мобильного телефона, 54 якобы осуществляли «перевод» денег с карты на карту, а 28 фишинговых сайтов позволяли выполнить и ту, и другую операцию одновременно. Были замечены и такие сервисы, на которых в платежной форме происходил подмен номера карты получателя на номер карты мошенников, платеж при этом осуществлялся, но деньги переводились на карту преступника.
Рассылка фишингового спама от имени украинских банков
14 июля 2016 года украинский ОПТ Банк сообщил о вирусной рассылке писем, маскированных под уведомления о задолженности по кредитам. Открывая вложенный файл, пользователи рискуют утечкой своих данных. Подробнее здесь.
2015: Intel Security: 97% людей во всем мире не способны распознать фишинг
Intel Security опубликовала летом 2015 года результаты своего теста проверки знаний пользователей и их умения распознавать электронные письма, отправленные мошенниками с целью получения доступа к логинам, паролям и другим конфиденциальным данным.
В исследовании приняли участие около 19 000 человек из 144 стран. Им было предложено изучить 10 сообщений, специально подготовленных Intel Security. Некоторые образцы содержали угрозы кражи информации, т.е. фишинговые атаки. Только 3% из всех опрошенных смогли точно определить, можно ли доверять тому или иному посланию, тогда как 80% респондентов посчитали безопасным как минимум одно из писем с угрозой.
Киберпреступники рассылают фишинговые электронные письма для того, чтобы получатели перешли по содержащимся в письмах ссылкам на сайты, созданные с целью похищения персональных данных пользователей. Мошенники обманом заставляют людей указывать свои имена и фамилии, адреса, пароли и/или информацию о кредитных картах на фальшивых ресурсах, которые выглядят так, как будто принадлежат реальным компаниям. В отдельных случаях даже переход по ссылке в письме приводит к автоматической загрузке вредоносных программ на устройство пользователя. Так злоумышленники могут легко похитить информацию без ведома жертвы
В рамках исследования Intel Security лучше всех с заданием справилась группа респондентов в возрасте от 35-ти до 44-х лет. В среднем они ответили правильно на 68% вопросов. Самые большие трудности с выявлением фишинговых писем в почте испытывают женщины младше 18 и старше 55 лет, они смогли определить лишь 6 из 10 писем. Мужчины лучше женщин защищают себя от хакеров (67% точности в определении вредоносных сообщений против 63%).
Из 144 стран, принявших участие в опросе, лучше всего киберугрозы в электронной почте увидели жители Франции, Швеции, Венгрии, Нидерландов и Испании (они дали более 70% правильных ответов). Российские пользователи смогли точно определить наличие или отсутствие фишинга в 62,5% случаев.
Оказалось, что участники тестирования чаще всего неправильно определяли безопасные письма. И именно те, в которых была просьба «забрать свои призы». Люди часто ассоциируют бесплатные призы со спамом, это, видимо, и стало причиной того, что респонденты неправильно определили статус писем. «В реальности же электронные послания, содержащие угрозу кражи информации, часто выглядят так, как будто они действительно отправлены с настоящих сайтов, – рассказывает Гари Дэвис, главный специалист по вопросам безопасности Intel Security. – Необходимо крайне внимательно изучать такие письма и обращать внимание на грамматические ошибки, а также на плохое качество изображений».
2014: Треть фишинговых атак направлены на кражу денег
Согласно проведенному «Лабораторией Касперского» исследованию, злоумышленники стали чаще стали создавать онлайн-ресурсы, копирующие внешний вид сайтов финансовых компаний, для получения конфиденциальной информации и кражи денег со счетов интернет-пользователей. Статистика показывает, что доля фишинговых атак с использованием имен популярных банков, платежных систем или интернет-магазинов в 2013 году составила 31,45%, что на 8,5 процентных пунктов больше, чем годом ранее.
В 2013 году продукты «Лаборатории Касперского» защитили от фишинга 39,6 миллиона человек. По данным облачной инфраструктуры Kaspersky Security Network, самые быстрые темпы роста показали атаки, эксплуатирующие названия банков: на их долю пришлось 70,6% всего финансового фишинга против 52% в 2012 году. При этом в общей массе всех подобных атак банковских брендов стало в два раза больше — 22,2%.
Согласно полученным данным, злоумышленники чаще всего прикрываются именами крупных компаний: примерно 60% фишинговых атак использовали названия 25 брендов. Среди сферы платежных систем статистика более однозначна: в случае 88,3% атак из этой группы преступники имитировали сайты всего четырех организаций: PayPal, American Express, Master Card и Visa. Что касается интернет-магазинов, имя Amazon уже несколько лет остается самым эксплуатируемым: за исследуемый период название компании использовалось в 61% фишинговых атак, связанных с онлайн-торговлей. С большим отставанием от Amazon в тройке лидеров — сетевые магазины Apple и интернет-аукцион eBay. Наряду с веб-ресурсами финансовых организаций злоумышленники часто подделывают сайты социальных сетей. В 2013 году доля атак с использованием страниц, имитирующих Facebook и подобные ему ресурсы, выросла на 6,8 пунктов до 35,4%.
«Популярность фишинговых атак среди злоумышленников обусловлена относительной простотой их проведения вкупе с достаточной эффективностью. Мошеннические сайты, тщательно копирующие вид официальных, бывает непросто отличить от легитимных даже опытным интернет-пользователям, что лишний раз подчеркивает важность использования специализированных защитных продуктов. В решениях „Лаборатории Касперского` для домашних пользователей и малого бизнеса стандартные механизмы блокировки фишинга дополнены технологией „Безопасные платежи`, которая надежно защищает персональные данные при работе с онлайн-банкингом и платежными системами», — прокомментировал Сергей Ложкин, антивирусный эксперт «Лаборатории Касперского».
Для более крупных компаний, стремящихся оградить своих клиентов от кибермошенников и защитить свою репутацию, «Лаборатория Касперского (Kaspersky)» предлагает комплексную платформу Kaspersky Fraud Prevention. Платформа создана для многоуровневой защиты электронных операций и включает программные средства для конечных пользователей, серверное решение для проверки транзакций и набор компонентов для разработки защищенных мобильных приложений.
2013: 72 тыс фишинговых атак в 1-м полугодии
Антифишинговая рабочая группа провела осенью 2013 года исследования на предмет того, как развивается ситуация с фишингом в мире. В первом полугодии 2013 года количество атак составило более 72 тыс. Это меньше, чем во втором полугодии 2012 года (124 тыс.), что обусловлено использованием одних и тех же доменов для разных атак[24].
На более чем 53 тыс. доменов были зарегистрированы фишинговые атаки. Из них около 12 тыс. были намеренно зарегистрированы злоумышленниками, остальные 40 тыс. были взломаны или использованы незаконно из-за ненадежности веб-хостинга.
Случаи фишинга наблюдались в 195 доменах верхнего уровня, однако 82% атак были совершены на специально зарегистрированных доменах .COM, .TK и .INFO. Самым слабозащищенным от атак оказалась зона .PW, которая была перезапущена 25 марта 2013 года.
В 2013 году антифишинговая рабочая группа насчитала 720 институтов, которые стали целями фишеров, в то время, как в 2012 году их насчитывалось около 611.Самым востребованным у злоумышленников остался сектор платежных услуг — Система электронных платежей PayPal стала целью более 13 тыс. атак.
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор - система контроля блокировки сайтов в России
Анонимность
- Даркнет (теневой интернет, DarkNet)
- VPN и приватность (анонимность, анонимайзеры)
- VPN - Виртуальные частные сети
- СОРМ (Система оперативно-розыскных мероприятий)
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Ястреб-М Статистика телефонных разговоров
Критическая инфраструктура
- Цифровая экономика России
- Электронное правительство России
- Информационная безопасность цифровой экономики России
- Защита критической информационной инфраструктуры России
- Закон О безопасности критической информационной инфраструктуры Российской Федерации
- Основы государственной политики РФ в области международной информационной безопасности
- Доктрина информационной безопасности России
- Стратегия национальной безопасности России
- Соглашение стран СНГ в борьбе с преступлениями в сфере информационных технологий
- Автономный интернет в России
- Киберполигон России для обучения информационной безопасности
- Национальная биометрическая платформа (НБП)
- Единая биометрическая система (ЕБС) данных клиентов банков
- Биометрическая идентификация (рынок России)
- Каталог решений и проектов биометрии
- Единая сеть передачи данных (ЕСПД) для госорганов (Russian State Network, RSNet)
- Статья:Единая система программной документации (ЕСПД).
- Сеть передачи данных органов государственной власти (СПДОВ)
- Единая сеть электросвязи РФ
- Единый портал государственных услуг (ФГИС ЕПГУ)
- Гособлако - Государственная единая облачная платформа (ГЕОП)
- Госвеб Единая платформа интернет-порталов органов государственной власти
Импортозамещение
- Импортозамещение в сфере информационной безопасности
- Обзор: Импортозамещение информационных технологий в России
- Главные проблемы и препятствия импортозамещения ИТ в России
- Преимущества замещения иностранных ИТ-решений отечественными
- Основные риски импортозамещения ИТ
- Импортозамещение информационных технологий: 5 "За" и 5 "Против"
- Как импортозамещение ИТ сказалось на бизнесе иностранных вендоров? Взгляд из России
- Как запуск реестра отечественного ПО повлиял на бизнес российских вендоров
- Какие изменения происходят на российском ИТ-рынке под влиянием импортозамещения
- Оценки перспектив импортозамещения в госсекторе участниками рынка
Информационная безопасность и киберпреступность
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
- Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
- Информационная безопасность в США
- Как США шпионили за производством микросхем в СССР
- Киберпреступность и киберконфликты : Европа, ENISA, ANSSI, Joint Cyber Unit, National Cyber Force
- Стратегия кибербезопасности ЕС
- Регулирование интернета в странах Евросоюза
- Информационная безопасность в Германии
- Информационная безопасность во Франции
- Информационная безопасность в Греции
- Информационная безопасность в Австралии
- Tactical Edge Networking (военный интернет)
- Киберпреступность и киберконфликты : Израиль
- Киберпреступность и киберконфликты : Иран
- Киберпреступность и киберконфликты : Китай
- Информационная безопасность в Китае
- Импортозамещение информационных технологий в Китае
- Киберпреступность и киберконфликты : КНДР
- Информационная безопасность в Молдавии
- Информационная безопасность в Японии
- Безопасность в интернете
- Безопасность интернет-сайтов
- Безопасность программного обеспечения (ПО)
- Безопасность веб-приложений
- Безопасность мессенджерах
- Угрозы безопасности общения в мобильной сети
- Безопасность в социальных сетях
- Киберзапугивание (кибербуллинг, киберсталкинг)
- Информационная безопасность в банках
- Информационная безопасность в судах
- CERT-GIB Computer Emergency Response Team - Group-IB
- Мошенничество с банковскими картами
- Взлом банкоматов
- Обзор: ИТ в банках 2016
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Потери организаций от киберпреступности
- Потери банков от киберпреступности
- Тренды развития ИТ в страховании (киберстрахование)
- Кибератаки
- Threat intelligence TI киберразведка
- Число кибератак в России и в мире
- Кибератаки на автомобили
- Обзор: Безопасность информационных систем
- Информационная безопасность
- Информационная безопасность в компании
- Информационная безопасность в медицине
- Информационная безопасность в электронной коммерции
- Информационная безопасность в ритейле
- Информационная безопасность (мировой рынок)
- Информационная безопасность (рынок России)
- Информационная безопасность на Украине
- Информационная безопасность в Белоруссии
- Главные тенденции в защите информации
- ПО для защиты информации (мировой рынок)
- ПО для защиты информации (рынок России)
- Pentesting (пентестинг)
- ИБ - Средства шифрования
- Криптография
- Управление инцидентами безопасности: проблемы и их решения
- Системы аутентификации
- Закон о персональных данных №152-ФЗ
- Защита персональных данных в Евросоюзе и США
- Расценки пользовательских данных на рынке киберпреступников
- Буткит (Bootkit)
- Уязвимости в ПО и оборудовании
- Джекпоттинг_(Jackpotting)
- Вирус-вымогатель (шифровальщик), Ramsomware, WannaCry, Petya/ExPetr/GoldenEye, CovidLock, Ragnar Locker, Ryuk, EvilQuest Вредонос-вымогатель для MacOS, Ransomware of Things (RoT), RegretLocker, Pay2Key, DoppelPaymer, Conti, DemonWare (вирус-вымогатель), Maui (вирус-вымогатель), LockBit (вирус-вымогатель)
- Защита от программ-вымогателей: существует ли она?
- Big Brother (вредоносная программа)
- MrbMiner (вирус-майнер)
- Защита от вирусов-вымогателей (шифровальщиков)
- Вредоносная программа (зловред)
- APT - Таргетированные или целевые атаки
- Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками
- DDoS и DeOS
- Атаки на DNS-сервера
- DoS-атаки на сети доставки контента, CDN Content Delivery Network
- Как защититься от DDoS-атаки. TADетали
- Визуальная защита информации - Визуальное хакерство - Подглядывание
- Ханипоты (ловушки для хакеров)
- Руткит (Rootkit)
- Fraud Detection System (fraud, фрод, система обнаружения мошенничества)
- Каталог Антифрод-решений и проектов
- Как выбрать антифрод-систему для банка? TADетали
- Security Information and Event Management (SIEM)
- Threat intelligence (TI) - Киберразведка
- Каталог SIEM-решений и проектов
- Чем полезна SIEM-система и как её внедрить?
- Для чего нужна система SIEM и как её внедрить TADетали
- Системы обнаружения и предотвращения вторжений
- Отражения локальных угроз (HIPS)
- Защита конфиденциальной информации от внутренних угроз (IPC)
- Спуфинг (spoofing) - кибератака
- Фишинг, Фишинг в России, DMARC, SMTP
- Сталкерское ПО (программы-шпионы)
- Троян, Trojan Source (кибератака)
- Ботнет Боты, TeamTNT (ботнет), Meris (ботнет)
- Backdoor
- Черви Stuxnet Regin Conficker
- EternalBlue
- Рынок безопасности АСУ ТП
- Флуд (Flood)
- Предотвращения утечек информации (DLP)
- Скимминг (шимминг)
- Спам, Мошенничество с электронной почтой
- Социальная инженерия
- Телефонное мошенничество
- Звуковые атаки
- Warshipping (кибератака Военный корабль)
- Антиспам программные решения
- Классические файловые вирусы
- Антивирусы
- ИБ : средства защиты
- Система резервного копирования
- Система резервного копирования (технологии)
- Система резервного копирования (безопасность)
- Межсетевые экраны
Примечания
- ↑ Против пользователей Gmail развернута хитроумная фишинговая кампания
- ↑ SMS-мошенничество и вредоносные программы для смартфонов
- ↑ 10 советов для предотвращения фишинговых атак
- ↑ Из доклада "Снижение рисков, связанных с человеческим фактором" Алябьев Андрей, Отдел информационной безопасности, Глобэксбанк, 2016
- ↑ Тренды фишинговых атак на организации в 2022–2023 годах
- ↑ Похитители конфиденциальных данных нацелились на итальянцев
- ↑ Группировка Luna Moth занимается вымогательством без вымогательского ПО
- ↑ Вредоносное ПО для онлайн банкинга перехватывает звонки в службу поддержки
- ↑ Найден способ кражи логинов и паролей, от которого нет спасения
- ↑ Group-IB оценила потери от мошенничества с предложениями «только для вас»
- ↑ Правоохоронці заблокували один з найбільших у світі фішингових сервісів, від атак якого постраждали фінустанови 11 країн світу (ФОТО)
- ↑ Полиция Украины нейтрализовала один из крупнейших в мире фишинговых сервисов
- ↑ Суд разрешил Microsoft захватить контроль над 6 фишинговыми доменами
- ↑ Хакеры со спецподготовкой атакуют госорганы по всему миру
- ↑ The quiet evolution of phishing
- ↑ Microsoft рассказала о самых сложных фишинговых атаках 2019 года
- ↑ Наблюдается рост фишинговых писем с сексуальным вымогательством (sextortion)
- ↑ More than £900,000 confiscated from from cyber hacker
- ↑ Организатор фишинговых атак выплатит своим жертвам более $1,1 млн
- ↑ Google: Фишинговые атаки опаснее кейлоггеров и утечек данных
- ↑ Data Breaches, Phishing, or Malware? Understanding the Risks of Stolen Credentials
- ↑ Facebook выплатит $100 тыс. исследователям за разработку техники обнаружения целенаправленного фишинга
- ↑ Украина: Число мошеннических сайтов, собирающих банковские реквизиты, увеличилось в 4,5 раза в 2016 году
- ↑ Проведено исследование фишинга