2024/03/25 13:25:13

Фишинг в России


Содержание

Основная статья: Фишинг

2024

В России мошенники начали отправлять на смартфоны push-уведомления, чтобы заполучить данные к Госуслугам

В России мошенники начали отправлять на смартфоны push-уведомления, чтобы заполучить данные к Госуслугам. О новой схеме кибермошенничества стало известно 25 марта 2024 года.

В этот день газета «Коммерсантъ» со ссылкой на Telegram-канал True OSINT (Open Source Intelligence, разведки по открытым источникам) опубликовала статью, в которой говорится о появлении фишинговых сайтов, маскирующихся под крупных операторов связи, где абоненту предлагается якобы верифицировать номер. Преступники рассылают push-уведомления для подтверждения паспортных данных по ссылке, ведущей на сайт якобы оператора, а затем на портал Госуслуг, где жертву просят ввести логин и пароль к личному кабинету. В случае успешной реализации такой схемы аферисты получают данные доступа к Госуслугам, и информацию о пользователей.

Мошенники начали отправлять на смартфоны push-уведомления, чтобы заполучить данные к Госуслугам

Эксперты True Osint обращают внимание на то, что мошенники используют полученные данные для таргетированных атак через звонки (фрод). Руководитель сервиса мониторинга внешних цифровых угроз Solar Aura группы компаний «Солар» Александр Вураско подтвердил рост фишинговых атак «якобы от лица операторов». В компании по кибербезопасности Angara Security предупреждают, что подобные схемы несут угрозу не только для абонентов, но и для самих операторов связи: снижается доверие к коммуникации с компанией, соответственно, конверсия от рекламных сообщений бренда падает.TAdviser выпустил Карту российского рынка цифровизации строительства 25.6 т

Телекоммуникационные операторы по запросу издания прокомментировали появление в РФ новой схемы мошенничества. В «МегаФоне» и МТС отметили, что такие фишинговые ресурсы выявляют при помощи собственных антифишинговых платформ. В Tele2 заявили «Коммерсанту», что «значительного роста мошенничества с использованием фишинга не наблюдают».[1]

Кибергруппировка рассылает российским промышленным компаниям очень убедительные фишинговые письма якобы от госорганов

Компания BI.Zone, российская компания по управлению цифровыми рисками, 30 января 2024 года сообщила о сравнительно новой киберкампании, нацеленной на российские предприятия. Стоящая за ней группировка Scaly Wolf («Чешуйчатый волк») охотится за корпоративными данными. Большинство объектов атак — промышленные и логистические компании из России. Последняя такая атака отмечена в январе 2024 года. Подробнее здесь.

2023

Рост доли фишинговых сайтов в зоне .ru в 3,6 раза

По итогам 2023 года доля фишинговых ресурсов, расположенных в доменной зоне .ru, достигла 46,5%. Для сравнения, годом ранее показатель равнялся 12,9%. Таким образом, зафиксирован 3,6-кратный рост. Такие данные в конце февраля 2024 года приводятся в исследовании группы по защите от фишинга CERT-F.A.C.C.T. (бывшая Group-IB).

Речь идет о сайтах, нацеленных на русскоязычных пользователей и/или использующих российские бренды. Негативную тенденцию подтверждает группа компаний «Солар»: по данным мониторинга внешних цифровых угроз Solar Aura, примерно 50% заблокированных ресурсов в 2023-м было зарегистрировано в зоне .ru.

Доля фишинговых ресурсов, расположенных в доменной зоне .ru, достигла 46,5%

Как отмечает газета «Ведомости», рост количества вредоносных ресурсов в доменной зоне .ru отчасти связан с тем, что россияне стали более бдительными по отношению к зарубежным доменам. Кроме того, популярность зоны .ru среди мошенников объясняется возможностью покупки домена на территории страны без необходимости оформления карты иностранного банка. Это снижает финансовые затраты на организацию вредоносных кампаний.

Эксперты F.A.С.С.T. также определили основные тренды вредоносных почтовых рассылок в 2023 году. Оказалось, что больше всего фишинговых писем злоумышленники отправляют в начале недели: пик рассылок приходится на вторник — 19,7% от всех таких писем за неделю. После среды происходит спад, а меньше всего вредоносных сообщений отправляется в воскресенье — 7,1%. В 2023-м киберпреступники в массовых фишинговых рассылках использовали вложения как основной способ доставки вредоносного ПО: доля таких посланий в общем объеме фишинговых писем достигла 98%. Количество писем с вредоносными ссылками при этом сокращается: результат по итогам года — немногим более 1,5%. Злоумышленники в основном упаковывают вирусы в архивы форматов .rar (23,3%), .zip (21,1%) и .z (7,7%).[2]

Число заблокированных фишинговых ссылок в России выросло в 5 раз

По данным «Лаборатории Касперского», в 2023 году объёмы онлайн-мошенничества в России значительно выросли. Количество фишинговых и скам ссылок в доменной зоне .RU, которые заблокировала компания, увеличилось более чем в 5 раз по сравнению с 2022 годом. Об этом «Лаборатории Касперского» сообщила 22 января 2024 года[3].

Тренды в 2023 году. Одна из наиболее распространённых целей фишеров в России в течение года — аккаунты людей в мессенджерах. Злоумышленники часто использовали их в рамках многоступенчатых схем телефонного мошенничества и для реализации фишинговых атак на пользователей из списка контактов жертв.

«
Мы не видим предпосылок к тому, чтобы объёмы фишинга и скама в ближайшее время снизились. Наоборот, злоумышленники продолжают развивать свои тактики и разрабатывать многоступенчатые схемы выманивания данных, например ссылаться на сферу деятельности жертвы. Такие атаки значительно усложняются в случаях, когда начинаются с сообщения в мессенджере якобы от знакомого или сотрудника той же сферы или сопровождаются фальшивыми голосовыми сообщениями, — сказал Сергей Голованов, главный эксперт «Лаборатории Касперского».
»

Также в 2023 году в России увеличилось количество вредоносных ссылок — в 2,5 раза по сравнению с 2022 годом. К этой категории относятся страницы, содержащие ссылки на вредоносные программы, а также интернет-ресурсы, необходимые для работы вредоносов.

Телефонное мошенничество. Объёмы телефонного мошенничества остаются на стабильно высоком уровне. Так, в 2023 году 43% пользователей приложения Kaspersky Who Calls поступали звонки с неизвестных номеров с подозрением на мошенничество*. При этом пик пришёлся на ноябрь — в этом месяце 18,5% пользователей получали такие звонки. С различными спам-звонками в 2023 году сталкивались 94%.

«
Злоумышленники всё время совершенствуют свои инструменты и методы убеждения, поэтому решения для защиты от телефонного спама становятся всё более актуальными. Они подскажут, если входящий вызов — нежелательный. Например, наше приложение предупреждает, что на номер поступали жалобы на мошенничество не только в рамках "классических" звонков, но и в мессенджере. В целом важно помнить, что ни в коем случае не стоит называть посторонним коды из СМС и push-уведомлений, а если разговор кажется подозрительным, сразу завершайте звонок, — напомнил Владимир Григорьев, аналитик Kaspersky Who Calls.
»

В ответ на актуальные вызовы в 2023 году в решении Kaspersky Who Calls появился функционал определения номеров в WhatsApp (принадлежит компании Meta, её деятельность признана экстремистской и запрещена в России). С его помощью можно видеть, от какой организации поступает звонок (например, из службы доставки или магазина), а также выявлять и блокировать в мессенджере спам-номера и звонки с подозрением на мошенничество.

Число мошеннических сайтов в России за год выросло на 86% до 207,1 тыс. штук

Число мошеннических сайтов в России за 2023 год выросло на 86% в сравнении с аналогичным периодом 2022-го и достигло 207,1 тыс. штук. Об этом в компании Bi.Zone сообщили в конце декабря 2023 года.

По словам директора департамента анализа защищенности и борьбы с мошенничеством Bi.Zone Евгения Волошина, основные скачки регистраций мошеннических ресурсов пришлись на март, сентябрь и октябрь, когда было замечено значительное увеличение числа доменов, имитирующих площадки для розыгрыша призов.

Число мошеннических сайтов в РФ выросло на 86%

Одной из самых популярных схем стал фишинг. По данным Координационного центра доменов .RU/.РФ, 89% обращений от организаций были связаны именно с ним. Это в том числе вызвано переводом финансовых услуг в цифровой формат и увеличением популярности онлайн-сервисов, подчеркнул Волошин.

Еще одна популярная афера в интернете — «быстрый заработок». Под предлогом выгодных вложений они привлекали жертв на сайт, имитирующий страницу крупной российской или мировой компаний. Такие поддельные ресурсы исчислялись тысячами. Чтобы там зарегистрироваться, пользователь отвечал на вопросы конфиденциального и финансового характера, а также оставлял личные данные. Все эти сведения попадали в руки к мошенникам, говорится в исследовании Bi.Zone.

Как отметил «Известиям» руководитель группы по защите от фишинга компании F.A.C.C.T. Иван Лебедев, злоумышленники автоматизируют и ускоряют процессы в своих схемах — в этом заключается одна из причин появления большого числа фишинговых и мошеннических страниц.

«
Сегодня за несколько кликов преступники могут создать фишинговую страницу и массово распространять ссылку на нее через социальные сети или мессенджеры. Это не требует глубоких технических знаний, в результате снижается порог входа, поддерживается приток новых участников группировок, - добавил он.[4]
»

Выявлены новые партнерские программы мошенников с розыгрышами и криптоинвестициями

14 декабря 2023 года компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, сообщила о том, что выявила с начала 2023 года 10 активных мошеннических партнёрских программ для координации владельцев и распространителей ссылок на скамерские и фишинговые сайты, нацеленных на пользователей из России. Самыми популярными в 2023 году схемами у партнеров являются фейковые розыгрыши призов и криптоинвестиции. Ежемесячно одна такая программа может приносить участникам «партнерского сообщества» около 4 300 000 рублей.

Рис 1. Ресурс мошеннической партнерской программы

Как сообщалось, в исследовании аналитиков департамента Digital Risk Protection компании F.A.C.C.T. говорится о том, что партнерские программы позволяют мошенникам масштабировать незаконный бизнес, привлекать больше жертв и увеличивать прибыль за счет разделения задач по привлечению трафика, генерации фишинговых страниц, рассылки писем и сообщений. На специальных ресурсах — теневых маркетплейсах и в закрытых Telegram-каналах— мошенники приобретают как уже готовые фишинговые ресурсы, так и шаблоны страниц, блоки и формы для оплаты, а также трафик за долю от украденных у жертв денег.

По данным аналитиков Digital Risk Protection компании F.A.C.C.T., с начала 2023 года было выявлено 10 крупных активных партнёрских программ, нацеленных на потенциальных жертв из России. В целом на русскоговорящих пользователей направлено около 87% обнаруженных ресурсов, распространяемых подобным образом.

Рис 2. Партнерские программы мошенников в цифрах

Специалисты F.A.C.C.T. детально изучили инфраструктуру нескольких партнерских программ. По данным на лето 2023 года, в среднем на платформе партнерской программы было размещено 156 активных предложений, максимальное количество партнеров в одном предложении — 746.

За месяц участники партнерских программ похищают у жертв более 17 400 000 рублей за 23 500 платежей. «Средний чек» составляет 740 рублей.

В одной из партнёрских программ, запущенной во второй квартале 2023 года, за три летних месяца прибыль выросла в три раза: с 908 000 рублей в июне до 3 118 000 рублей в августе.

Автор предложения (оффера) регистрирует домен, создает мошеннические веб-страницы с тематическим дизайном, размещает их на хостинге. Затем выставляет оффер с созданным сайтом на платформе партнерской программы. В основном, мошеннические страницы посвящены лотереям с выбором коробочки с призом, инвестициям в криптовалюты, особенно "выгодным" акциям от маркетплейсов. Реже встречаются предложения жертвам купить "красивое" доменное имя для сайта.

Администрация партнерской программы проверяет размещенный сайт и предоставляет фишинговые формы или формы приема оплаты для добавления на сайт.

Партнёры выбирают оффер, получают реферальную ссылку для распространения и привлекают трафик на эту ссылку доступными способами — электронными письмами, сообщениями в социальных сетях, СМС и мессенджерах, рекламой.

Как правило, партнер получает в среднем 60-90% от суммы украденных денег, а автор оффера — 10-40%.

«
Несмотря на то, что партнерские программы существуют уже как минимум с 2018 года, подобные формы нелегального бизнеса в последнее время пользуются особой популярностью у злоумышленников и продолжают создавать угрозу для интернет-пользователей. Если одни «партнерки» закрываются, их место занимают другие проекты, которые очень быстро набирают популярность. Количество используемых брендов в схемах активно расширяется, нанося как материальный ущерб жертвам схемы, так и репутационный — эксплуатируемым брендам. Основываясь на динамике роста, мы прогнозируем дальнейшее расширение «партнерок» и призываем пользователей сохранять бдительность, чтоб не стать легкой наживой для злоумышленников.

поведал Евгений Егоров, ведущий аналитик департамента Digital Risk Protection компании F.A.C.C.T.
»

Эксперты F.A.C.C.T. напоминают о необходимости соблюдать базовые правила цифровой грамотности:

  • Проверять доменное имя сайта, на котором находится пользователь. Воспользоваться Whois-сервисами для определения даты создания домена. Если сайт выдает себя за популярный бренд, но был создан недавно, это должно насторожить.
  • Не оплачивать товары или услуги и не вводите свои персональные данные, если нет уверенности в том, что пользователь находится на легитимном сайте.
  • Скептически относится к рекламе в интернете. Даже на легитимных ресурсах может быть размещена реклама, ведущая на мошеннические ресурсы.

Для защиты брендов от репутационных рисков и прямого ущерба, связанного с их незаконным использованием на поддельных сайтах, компаниям следует использовать автоматизированные решения, сочетающие анализ данных киберразведки и возможности машинного обучения.

Большинство фишинговых атак помогает генерировать софт из даркнета

Более 80% фишинговых рассылок делаются с софта, который злоумышленники покупают в даркнете. Самые популярные программы стоят от 299 рублей, а некоторые и вовсе распространяются бесплатно. С их помощью можно украсть пароли и учетные данные. Есть и дорогие программы, которые дают доступ к Telegram пользователя и позволяют перехватывать нажатия клавиш - их стоимость доходит до $15 000. Об этом 21 ноября 2023 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина.

Как подчеркивают авторы исследования - BI.ZONE Threat Intelligence, на ноябрь 2023 года порог входа в киберпреступность сильно снижен - софт, приобретенный в дарктнете, позволяет использовать мошеннические инструменты хактивистам и киберпреступникам любого уровня. Кроме того, некоторые предложения предоставляют пользователям конструкторы для создания вредоносного программного обеспечения с возможностью доступа к управлению аккаунтами жертв.

«
Распространение фишинговых писем с коммерческим вредоносным ПО – один из самых простых способов получения первоначального доступа к инфраструктуре. Теневой рынок таких продуктов будет расти и развиваться, – отметил руководитель BI.ZONE Threat Intelligence Олег Скулкин.
»

По данным экспертов, в 2023 году хакеры применяли теневой софт для атак более чем на 100 тыс. компаний. Среди самых популярных вредоносных ПО - AgentTesla, FormBook, White Snake, RedLine, Snake Keylogger, DarkCrystal, DarkGate. Бесплатный софт AgentTesla используется, например, почти в половине фишинговых рассылок. На втором месте FormBook.

Многие киберпреступники активно используют бесплатные программы, чтобы снизить свои расходы на большое количество проводимых атак, отмечает член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.

«
Например, благодаря слаженной работе уполномоченных органов, мошенники теперь реже могут использовать российский хостинг для размещения мошеннических сайтов, нацеленных на пользователей из РФ. Из-за этого они переходят на хостинговые сервисы в Нидерландах и США, а значит затраты на обслуживание фишинговых ресурсов растут, так как хостинг за рубежом в обычно дороже. Всего за первые 9 месяцев 2023 года компания F.A.С.С.T. выявила 10,4 тыс. фишинговых сайтов, который были нацелены на пользователей из РФ. Это в сравнении год к году больше на 5%. Чаще всего, пользователи «попадаются» на фишинговые ресурсы под видом онлайн-сервисов, банков, служб доставки, соцсетей и почтовых сервисов, - отметил депутат.
»

Кроме того, снижать затраты на проведение кибератак мошенникам сегодня помогает и искусственный интеллект. По данным Positive Technologies, количество подобных атак будет расти.

«
В частности, ИИ помогает им поддерживать иллюзию осмысленного диалога с жертвами, а также генерировать фишинговые письма, создавать дипфейки голосов, изображений и видеороликов. Кроме того, на ноябрь 2023 года уже существуют генеративные нейросети, которые создаются специально для незаконной деятельности – например, WormGPT, которая предназначена для проведения фишинговых атак и компрометации корпоративной почты. Ее может использовать даже злоумышленник, который не обладает никакими специальными компетенциями и создавать при этом убедительные фальшивые письма, вести продолжительные атаки, - рассказал депутат.
»

Киберпреступники в 11 раз чаще стали использовать подмененные буквы во вредоносных письмах

Компания F.A.С.С.T. зафиксировала резкий рост попыток обхода антиспам-решений с помощью омоглифов — графически одинаковых или похожих друг на друга знаков во вредоносных рассылках. В третьем квартале 2023 года количество подобных писем в 11 раз превысило показатели аналогичного периода 2022 года. Самыми популярными подменными буквами у киберпреступников стали — Е, О, С, А. Об этом компания сообщила 31 октября 2023 года.

По данным специалистов Центра кибербезопасности F.A.C.C.T., резкий всплеск подмен в символах тем и текста в письмах с вредоносным вложением наблюдается с начала 2023 года. Так, подобную технику используют операторы стилера WhiteSnake, вредоносной программы для кражи учетных данных из браузеров, приложений и криптокошельков жертв. В августе стилер распространялся под видом письма от следователя. Тогда сотрудники компаний получали письма якобы с запросом дать показания по уголовному делу. На самом деле в рассылке был архив с вредоносом.

С одной стороны, расстановка омоглифов позволяет киберпреступникам и просто спамерам разослать больше писем, обходя встроенные фильтры почтовых сервисов на исходящие сообщения и снижая вероятность оперативной блокировки почтового адреса, откуда шла рассылка. С другой стороны — вредоносные письма таким образом обходят антиспам-системы во входящих письмах и могут дойти до адресатов.

Как правило, злоумышленники добавляют латинские символы-омоглифы в письма на русском языке. Самыми популярными литерами при заменах стали Е, О, С, А, при этом использование специальных символов или других алфавитов не обнаружено. В письмах из одной вредоносной рассылки могут встречаться различные варианты замен букв.

«
Судя по всему, старый трюк с омоглифами вполне работает. В 2023 году мы видим резкий всплеск использования во вредоносных письмах на русском языке подмены букв на латинские. — рассказал Ярослав Каргалев, руководитель Центра кибербезопасности F.A.С.С.T. — Такой простой прием может обмануть рядовую антиспам-систему, а получатель письма рискует скомпрометировать свою электронную почту, устройство или всю сетевую инфраструктуру компании, пройдя по фишинговой ссылке или открыв архив с вредоносом. А автоматизированную систему защиты электронной почты от фишинговых рассылок так легко не проведешь.
»

:

Выявлены приложения с вирусом-шпионом для кражи денег у влюбленных

27 октября 2023 года компания F.A.C.C.T. сообщила о еще одной версии мошеннической схемы Fake Date (с англ. — фейковое свидание). Теперь преступники пытаются украсть у жертвы деньги еще до покупки билетов в кино или театр под видом оплаты домашнего интернета или заказа такси, используя при этом фейковые мобильные приложения. Осенью 2023 года в России по схеме Fake Date работали 6 мошеннических групп, нелегальный заработок только одной из них за 10 дней превысил 6,5 млн рублей.

Классическая схема Fake Date выглядит следующим образом: под видом привлекательной девушки мошенник знакомится с потенциальной жертвой в соцсетях или на сайте знакомств и предлагает провести романтический вечер в театре, на стендап-шоу, в антикино, кальянной или заказать доставку ужина. Жертва получает ссылку на фишинговый сайт, оплачивает "билеты", а деньги и данные карты похищаются злоумышленниками. Бывает, что деньги списываются дважды или трижды — при покупке билета для "подруги" или оформлении "возврата".

После того, как об этой схеме стало довольно подробно известно, мошенники решили изменить механику. Теперь они похищают деньги намного раньше похода на первое свидание, а вместо фишинговых ресурсов уже используют мобильные приложение с внедренной шпионской программой.

После того, как между молодыми людьми уже возник интерес и доверие, "девушка" может внезапно исчезнуть из переписки или ее откровенные фото и видео будут очень долго загружаться. Выясняется, что у красотки возникли проблемы с оплатой домашнего интернета и внести небольшую сумму придется именно новому кавалеру.

Девушка скидывает ссылку на фейковый сайт сервиса, с которого нужно загрузить мобильное приложение. Спрятанная в нем шпионская программа способна перехватывать вводимые данные банковской карты и входящие смс-коды для кражи денег со счетов клиентов российских банков. Аналогичным образом действует схема с заказом такси, о чем также барышня может попросить своего нового знакомого.

По данным на сентябрь 2023 года, в России по схеме Fake Date работали 6 активных мошеннических групп. Действуя по схеме с фейковыми свиданиями только одно преступное сообщество за 10 дней смогло получить более 6,5 миллионов рублей за 721 операцию. Средняя сумма похищенного у одной жертвы составила около 9 000 рублей, при том, что у одной жертвы могло быть несколько списаний подряд. Для сравнения в начале 2023 года 7 наиболее активных в России группировок заработали на желающих пойти на свидание 5 миллионов рублей (в период с 12 по 14 февраля, 21-23 февраля и 6-8 марта).

«
В России классическая мошенническая схема Fake Date появилась еще в 2018 году. А после пандемии, с появлением новых инструментов для генерации фишинговых сайтов и использования переводов card-to-card, она переживает "второе рождение", — отметил Евгений Егоров, ведущий аналитик Digital Risk Protection компании F.A.C.C.T. — некоторые группы мошенников зарабатывают на Fake Date в два раза больше, чем те, кто работает по классической схеме "Мамонт" с оплатой товара. Это может быть связано с тем, что в схеме со свиданиями используется уже больше брендов (интернет-операторы, такси, театры, кино) для сценариев атак, нежели чем через продажу несуществующих товаров на досках объявлений — там используются только бренды двух популярных сервисов.
»

Вся "техподдержка" Fake Date по-прежнему осуществляется через Telegram: здесь воркеры (участники сообщества, привлекающие жертв на скачивание вредоносного приложения) получают ссылку на скачивание мобильного приложения — APK-файла, ведут свою теневую online-бухгалтерию, покупают чат-ботов или «голосовушки» — заранее записанные аудио и видеосообщения от лица девушек.

От подобных продвинутых киберугроз бренды могут защитить себя и своих клиентов только используя автоматизированные решения, сочетающих анализ данных киберразведки и возможности машинного обучения. Платформа F.A.C.C.T. Digital Risk Protection позволяет выявлять угрозы на ранних этапах их возникновения и обнаруживать мошеннические ресурсы ещё до того, как злоумышленники приведут туда трафик.

Пользователям эксперты F.A.C.C.T. напоминают о необходимости соблюдать базовые правила цифровой грамотности:

  • Не переносить общение из чатов сервисов объявлений в мессенджеры.
  • Не переходить по ссылкам от незнакомых людей в мессенджерах или почте.
  • Загружать только официальные приложения, которые самостоятельно нашли в магазине мобильных приложений, либо на легитимном сайте сервиса.

Sticky Werewolf атакует государственные организации России и Белоруссии

Группировка Sticky Werewolf атакует государственные организации России и Белоруссии. Об этом 13 октября 2023 года сообщила компания BI.Zone.

Sticky Werewolf получает доступ к системам государственных организаций России и Белоруссии с помощью фишинговых писем со ссылками на вредоносные файлы. Для создания ссылок используется коммерческое вредоносное ПО. По данным киберразведки BI.ZONE, Sticky Werewolf активна как минимум с апреля 2023 года и к октябрю 2023 года осуществила не менее 30 атак.

Ссылки для фишинговых писем злоумышленники создают с помощью сервиса IP Logger. Он позволяет собирать информацию о кликнувших пользователях: время перехода, IP-адрес, страну и город, версию браузера и операционную систему. Это помогает Sticky Werewolf сразу провести базовое профилирование, отсеять системы, которые не представляют для них интереса, и сосредоточить атаки на наиболее приоритетные.

Кроме того, благодаря IP Logger группировка может использовать собственные доменные имена при создании ссылок. Это затрудняет распознавание фишинга, поскольку адрес не выглядит подозрительно.

Ссылки в письмах ведут на вредоносные файлы с расширением .exe или .scr, замаскированные под документы Word или PDF. Открыв файл, жертва видит ожидаемый контент, например: экстренное предупреждение МЧС, исковое заявление или предписание об устранении нарушений. В это время в фоновом режиме на устройство устанавливается коммерческое вредоносное ПО NetWire RAT. Оно позволяет атакующим собирать информацию о скомпрометированной системе, получать данные о нажатиях клавиш, видео с экрана и веб-камеры, записывать звук микрофона и осуществлять другие действия с целью шпионажа.

NetWire копируется на устройство во временную папку под видом легитимного приложения. Чтобы дополнительно затруднить его обнаружение, Sticky Werewolf использует протектор Themida, который обеспечивает обфускацию — противодействие анализу вредоносной активности.

«
Коммерческое вредоносное ПО предоставляет злоумышленникам возможности за умеренную цену. Именно поэтому оно пользуется большим спросом среди киберпреступников и иностранных проправительственных группировок. Примечательно, что такие программы активно используются даже после ареста их разработчиков,
сказал Олег Скулкин, руководитель управления киберразведки BI.ZONE.
»

Новый троян под видом приложения для доставки ворует деньги у россиян

Эксперты компании F.A.С.С.T. обнаружили новую схему мошенничества, которая предполагает установку троянской программы под видом приложения для заказа доставки популярной электроники, одежды или обуви. Об этом компания сообщила в октябре 2023 года. По данным исследователей, от действий мошенников в сентябре уже пострадали клиенты банков как в России, так и Белоруссии. За 10 дней в сентябре с помощью поддельных приложений злоумышленники смогли украсть по модифицированой схеме «Мамонт» почти 3 млн рублей, сделав 76 списаний. Средний чек от одной жертвы составлял 67 тыс. рублей.

Обнаружена новая схема мошенничества, предполагающая установку трояна под видом приложения для заказа доставки популярной электроники, одежды или обуви

Классическая мошенническая схема «Мамонт» предполагает оформление фейковой покупки и доставки товаров с популярных маркетплейсов, аренды недвижимости или совместной поездки. Обычно, когда жертва обращается к ним для уточнения деталей доставки или аренды, мошенники предлагают перейти в чат платформы или мессенджер, за счёт чего выходят из-под действия встроенных механизмов защиты маркетплейса. Там они предлагают совершить оплату доставки и самого товара по специально подготовленной ссылке якобы на сайт банка.

В модифицированной схеме «Мамонт» в этот момент они просят скачать и установить специальное Android-приложение, с помощью которого только и можно заказать соответствующий товар. Оплата покупки также проводиться через это приложение, и здесь-то и происходит перехват данных банковской карты и SMS-оповещения от банка, что и позволяет мошенникам украсть все деньги со счета жертвы.

По данным компании F.A.С.С.T., на конец лета 2023 года в России по классической схеме «Мамонт» работали 17 активных преступных групп. В сентябре же было обнаружено новое мошенническое сообщество «Мамонта», которое использует Android-трояны в своих атаках. Участники сообщества, привлекающие жертв на скачивание вредоносного приложения, создают поддельные объявления о продаже товара с помощью специального Telegram-бота и получают ссылку для скачивания мобильного приложения в виде APK-файла, которую и пересылают злоумышленники в мессенджере. При этом ссылка ведет на поддельный сайт магазина приложений, то есть вредонос жертве нужно поставить самостоятельно из недоверенного источника.

«
Старые трюки рано или поздно перестают приносить желаемый доход скамерам, и тогда они придумывают новые сценарии, приманки, меняют механику, – пояснил появление новых модификаций фишинга ведущий аналитик департамента Digital Risk Protection компании F.A.C.C.T. Евгений Егоров. – Мы видели, как мошенники использовали в схеме «Мамонт» сгенерированные Telegram-ботами фишинговые страницы, затем они стали заражать жертв стилерами, похищавшими логины-пароли. Сейчас одна из группировок начала использовать мобильные трояны. Часть пользователей может решить, что мобильные приложения, похожие на известные сервисы, будто бы из официального стора, вряд ли скрывают опасность — на это и делают ставку злоумышленники.
»

Чтобы не стать жертвой мошенников по новой схеме, рекомендуется при покупке дорогих товаров не переходить на общение во внешние мессенджеры. Проверять предлагаемые «продавцами» внешние ссылки перед переходом по ним, а лучше вообще не переходить по ссылкам, полученным от незнакомых собеседников. Также стоит загружать и устанавливать приложения только из официальных магазинов и не пользоваться для этого готовыми ссылками – лучше искать приложение в поиске платформы.

Шпионский троянец маскируется под письма Следственного комитета РФ и ворует пароли Outlook, Telegram и криптокошельков

Компания BI.Zone в октябре 2023 года обнаружила новую вредоносную рассылку шпионского троянца White Snake, которая теперь выдает себя за сообщение от Следственного комитета. Впервые этот же вредоносный код был обнаружен компанией в другой фишинговой рассылке, распространяемой от имени Роскомнадзора в августе этого года. Также были зафиксированы случаи распространения подобной вредоносной программы под видом коммерческого предложения.

Пример письма с троянцем White Snake

White Snake – это шпионский троянец (инфостилер), который собирает секретные данные на инфицированном компьютере через популярные браузеры, такие как Chrome и FireFox, а также имеет возможность собирать пароли и учетные данные таких клиентских программ как Outlook, Discord, Telegram и других. В частности, он ворует секретные адреса криптокошельков, которые можно использовать для воровства криптовалюты. Это коммерческий шпион, который за 140 долл. позволяет организовать атаку `под ключ` для любого мошенника.

В текущей версии фишинговой атаки жертва получала письмо якобы от Следственного комитета РФ. В теме письма было указание на якобы ведущееся расследование уголовного дела. Например, заголовок мог быть таким: «Запрос в связи с расследованием уголовного дела № 11091007706001194 следственный комитет РФ» или «Требование в рамках расследования уголовного дела № 11091007706011194 следственный комитет РФ». К письму прилагался PDF-файл с предписанием явиться в Следственный комитет и архив, защищенный паролем. Причем пароль для расшифровки находился в имени файла: «Трeбoвaниe 19098 СК РФ от 07.09.23 ПАРОЛЬ — 123123123.zip». Если жертва распаковывала архив и нажимала на файл с названием «Перечень юридических лиц и предприятий, уклонение от уплаты налогов, требования и дополнительные.exe», то запускалось основное тело троянца White Snake, который закреплялся в системе и занимался уже своей черной шпионской деятельностью.

Чтобы не попасть на удочку злоумышленников нужно внимательно смотреть на атрибуты переписки. В частности, обратный адрес отправителя был указан в домене mail.ru, хотя у Следственного комитета есть собственный домен sledcom.ru. Кроме того, нужно внимательно смотреть на расширения файлов, настроив свой почтовый клиент на их показ. Кликать по исполнимым файлам (с расширением .EXE) крайне не рекомендуется, хотя и в форматах PDF и DOCX могут быть вредоносные вложения. Лучше открывать такие файлы не полноценной программой чтения, а упрощенным ридером с ограниченными функциями по исполнению встроенных элементов. Кроме того, надо понимать, что закодированные архивы часто используются злоумышленниками для скрытия вредоноса от антивирусной программы. Поэтому требование распаковки архива может являться признаком вредоносной рассылки. Если же вы все-таки сделали указанные в рассылке действия и подозреваете, что ваш компьютер заражен, то стоит обратиться к корпоративной службе информационной безопасности и проверить свою систему антивирусной программой. После лечения от вредоноса не забудьте поменять пароли от сервисов, приложений и криптокошельков.

Злоумышленники стали лучше скрывать фишинговые ресурсы

Злоумышленники в 2023 году стали лучше скрывать фишинговые ресурсы. Об этом 28 сентября 2023 года сообщила компания Солар (ранее Ростелеком-Солар).

За прошедшие полгода заметно усложнились неперсонифицированные фишинговые атаки, составляющие более 98% всего фишинга. Злоумышленники стали чаще использовать и совершенствовать методы сокрытия вредоносного контента от инструментов для его поиска.

Такие выводы сделали эксперты центра мониторинга внешних цифровых угроз Solar AURA группы компаний «Солар» на основе анализа сотен тысяч вредоносных ресурсов.

На сентябрь 2023 года свыше 53% детектируемых специалистами Solar AURA фишинговых ресурсов используют те или иные средства защиты от их обнаружения. Для сравнения, в 2022 году этот показатель составлял 27%,а в 2021 году — 11%.

Одним из наиболее сложных способов по сокрытию фишинга стала схема «Хамелеон». Суть ее в том, что вредоносный сайт мог динамически изменять контент, а свое истинное «лицо» показывал лишь тем пользователям, которые соответствовали заданным злоумышленниками параметрам — например, территориальной принадлежности IP-адреса, разрешению экрана, версии операционной системы и браузера и т.д.

По мнению злоумышленников, этот подход должен был помешать антифишинговым сервисам распознавать вредоносный контент.

Также примечательна схема, которую эксперты назвали «Хамелеон 2.0». В ней злоумышленники использовали цепочки из десятков произвольно сгенерированных доменов, каждый из которых служил для перенаправления пользователя на вредоносный ресурс. Схема активно использовалась на рубеже 2022-2023 годов в масштабной фишинговой кампании, которая затронула более 300 крупных брендов.

«
Помимо таких технически сложных вариаций, как "Хамелеон" или "Хамелеон 2.0", активно применяются и другие приемы — например, использование доменов, не имеющих отношения к бренду, от имени которого совершается атака. Также применяются "сайты-прокладки", которые переадресуют пользователя на нужный URL и одновременно уведомляют его о том, что портал якобы проверен антивирусом и не представляет опасности, — пояснила эксперт центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Диана Селехина.

»

Злоумышленники воруют Telegram-аккаунты блогеров под видом представителей партнёрской программы

Злоумышленники воруют Telegram-аккаунты блогеров под видом представителей партнёрской программы. Об этом 28 сентября 2023 года сообщила «Лаборатория Касперского».

Атака начинается с того, что блогеру пишет якобы представитель крупной компании в области онлайн-ритейла и предлагает рекламное сотрудничество. В ходе общения злоумышленники придерживаются стандартной схемы делового общения для таких взаимодействий. Менеджер рассказывает, что блогер может выбрать любые позиции, представленные на площадке, устроить распаковку для подписчиков и разместить ссылки на товары у себя в аккаунте. Дальше в диалоге обговаривается стоимость рекламной интеграции. Если блогер соглашается на условия и подбирает товары, представитель бренда заявляет, что отправляет их на согласование с руководством. Переписка с фальшивым менеджером может длиться несколько дней.

На определённом этапе блогера просят зарегистрироваться на сайте партнёрской программы и присылают ссылку на ресурс — разумеется, поддельный. Он выглядит правдоподобным: на нём размещены логотип, описание партнёрской программы и бонусов, которые получают её участники. На фишинговой странице блогеру нужно указать ФИО, адрес почты, число подписчиков и охваты канала, а также номер телефона. Однако после этого человека автоматически перенаправляют на фальшивую форму авторизации в Telegram и просят ввести одноразовый код для входа в Telegram-аккаунт. В некоторых случаях необходимость в такой информации объясняют якобы обновленными требованиями закона о рекламе. Если человек введёт эти данные, они уйдут злоумышленникам, и с их помощью фишеры смогут получить доступ к учётной записи в мессенджере и ко всем Telegram-каналам, привязанным к ней.

«
Отдельные элементы этой кампании указывают на то, что она таргетированная и направлена именно на блогеров. Украденные аккаунты злоумышленники могут использовать для шантажа, размещения своего контента или дальнейших мошеннических схем. Блогерам приходят десятки рекламных предложений в день, поэтому они могут не заметить подвоха. Злоумышленники, в свою очередь, разрабатывают легенды так, чтобы усыпить бдительность потенциальных жертв, например ссылаются на нормативные акты и корпоративную политику. Однако просьба передать конфиденциальные данные, к которым относится в том числе пароль и одноразовый код из СМС или push-уведомления, должна сразу насторожить, — сказала Ольга Свистунова, старший контент-аналитик «Лаборатории Касперского».
»

Чтобы не попасться на удочку злоумышленников, специалисты «Лаборатории Касперского» рекомендуют:

  • критически относиться к любым сообщениям и предложениям в сети;
  • настроить в Telegram двухфакторную аутентификацию;
  • не переходить по ссылкам из сомнительных сообщений;
  • не передавайть никому конфиденциальные данные, в том числе пароли от аккаунтов;

Российские клиники подверглись массовой рассылке писем от мошенников

Российские медицинские учреждения столкнулись с рассылкой писем от мошенников, которые от имени Роскомнадзора требуют устранить «нарушения» в хранении персональных данных пациентов. Для этого они предлагают свои услуги, таким образом пытаясь получить полный доступ к чувствительной информации. Об этом 18 сентября 2023 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина. Подробнее здесь.

В России используют нестандартную схему для кражи учётных данных от электронной почты

7 сентября 2023 года стало известно о новой нестандартной схеме кражи учетных данных от электронной почты в России. О ней рассказали в «Лаборатории Касперского».

По словам экспертов, в фишинговой рассылке злоумышленники сообщают потенциальной жертве о необходимости верифицировать учётную запись электронной почты. Однако нужную им информацию (имя, фамилию, логин и пароль) просят прислать ответным сообщением, а не переходить для этого по ссылке на фишинговую страницу. В противном случае мошенники грозят деактивировать аккаунт.

Пример мошеннического письма

Как сообщили в «Лаборатории Касперского», письма приходят от некого «центра обмена сообщениями хостинга веб-почты». Авторы рассылки сообщают, что обновляют базу на 2023 год и удаляют все неиспользуемые учётные записи. Они настоятельно рекомендуют подтвердить электронную почту и обновить данные — так они якобы будут знать, что аккаунт активен и не будут его удалять. В тексте сообщения злоумышленники оставляют место для заполнения данных. Получателя пугают тем, что с момента получения уведомления у него есть 48 часов для верификации.

Чтобы вызывать меньше подозрений, злоумышленники оформляют некоторые письма как технические: в тему письма добавляют код уведомления, состоящий из набора цифр и букв, а в подпись добавляют «copyright» и фразу «все права защищены».

«
Подобные письма, без фишинговой ссылки, но с местом для заполнения данных, мы видим сейчас исключительно на русском языке. Вероятно, это обусловлено несколькими факторами. Во-первых, злоумышленникам становится всё сложнее создавать фишинговые сайты в доменной зоне .ru. Во-вторых, сделать письмо без ссылки на поддельный ресурс банально дешевле. У пользователей же такие сообщения в некоторых случаях могут вызывать даже меньше подозрений: многие знают, что не стоит кликать на сомнительные ссылки, а здесь этого не просят. К тому же подобные рассылки зачастую тяжелее обнаружить защитными решениями, — отметил эксперт по кибербезопасности «Лаборатории Касперского» Роман Деденок.
»

Мошенники пишут россиянам от имени правоохранителей

В августе 2023 года центр мониторинга внешних цифровых угроз Solar AURA компании «РТК-Солар» зафиксировал массовую фишинговую рассылку от имени правоохранительных органов РФ. Используя домены, максимально похожие на официальные доменные имена следственных органов, мошенники рассылают письма с требованием ознакомиться с материалами уголовного дела. Для правдоподобия злоумышленники используют реальные данные граждан, полученные из масштабных утечек, установили специалисты Solar AURA. Об этом «РТК-Солар» сообщил 30 августа 2023 года.

Рассылки осуществляются адресно: злоумышленники берут персональные данные потенциальных жертв из ранее утекших баз данных и обращаются к ним по имени отчеству. В ряде случаев злоумышленники также указывают в письмах паспортные данные и адреса регистрации. Фигурирующие в тексте номера уголовных дел являются настоящими и получены из открытых источников. Все это создает иллюзию взаимодействия с органом государственной власти и повышает шансы на то, что получатель письма запустит вредоносную программу.

Данные, содержащиеся в фишинговых письмах, относятся к масштабным утечкам. В частности, было установлено, что злоумышленники воспользовались одной из утечек 2022 года: тогда общее количество опубликованных записей достигло 30 млн, включая более 6 млн уникальных электронных почт, среди которых 78 тысяч принадлежат корпоративным доменам. Эти факты объясняют массовый характер распространения фишинговой рассылки.

Схема, использованная в этой атаке, не является новой и чрезвычайно распространена. Злоумышленники систематически используют фишинговые письма для доступа к конфиденциальным данным или внедрения вредоносного программного обеспечения. Но данная схема претерпела некоторые изменения. Ранее злоумышленники вкладывали вредоносные ZIP-файлы непосредственно в письма, однако в связи с ужесточением мер безопасности подобные сообщения теперь, скорее всего, будут автоматически фильтроваться как спам. Поэтому злоумышленники вместо привычных вложений вставляют ссылку на файлообменник, через которую, как предполагается, жертва загрузит вредоносное содержимое. В этой атаке оно замаскировано под программу для распознавания текста.

«
Гражданам важно помнить, что правоохранительные органы не оповещают о процессуальных действиях посредством электронной почты. Если вы нежданно получили письмо от органов государственной власти, в котором вам предлагается совершить какие-либо действия (скачать файл, перейти по ссылке, заполнить форму), обратитесь за разъяснениями в соответствующий орган, используя контактные данные с его официального сайта, – отметил Сергей Трухачев, заместитель директора центра мониторинга внешних цифровых угроз Solar AURA компании «РТК-Солар».
»

Мошенники массово рассылают компаниям в РФ письма с «уголовными делами» от имени СКР

Мошенники массово рассылают компаниям в РФ письма с «уголовными делами» от имени Следственного комитета России (СКР). О новой схеме в конце августа 2023 года рассказали в ИБ-компаниях «РТК-Солар» и «Лаборатории Касперского».

Как пишут «Ведомости», используя домены, максимально похожие на официальные доменные имена следственных органов, они рассылают письма с требованием ознакомиться с материалами уголовного дела. Такое письмо получил сотрудник издания, в нем злоумышленники пишут, что адресант проходит свидетелем по некоему уголовному делу, и просили сообщить о возможности присутствовать на заседании суда в очной форме. Отправителем письма был указан «старший следователь СКР по г. Москва Роман Анатольевич Дворников», а почтовый домен имитировал реальную почту сотрудников следственного комитета – @mail – server1 – sledcom.org вместо sledcom.ru. Также к письму была прикреплена вредоносная ссылка, которая якобы вела на карточку дела, но по факту активировала вредоносную программу.

Мошенники массово рассылают компаниям письма от лица СКР

Переход по ссылкам из таких писем приведет к скачиванию с файлообменного сервиса архива с вредоносным файлом-стилером, предупредили в «РТК-Солар», «Лаборатории Касперского» и F.A.C.C.T. (бывшая Group IB). Эта программа крадет пользовательские данные — из браузеров, приложений и криптокошельков жертвы — и отправляет их злоумышленникам, пояснили эксперты.

Рассылка проводится адресно, замечает замдиректора центра мониторинга внешних цифровых угроз Solar AURA компании «РТК-Солар» Сергей Трухачев. Мошенники берут персональные данные потенциальных жертв из ранее утекших баз данных, к адресату обращаются по имени и отчеству, иногда указывают его паспортные данные и адрес регистрации, используют настоящие номера уголовных дел, полученные из открытых источников. Так аферисты создают иллюзию, будто письмо пришло от реального органа государственной власти.[5]

В Рунете растет число фишинговых доменов, которые маскируются под российские онлайн-кинотеатры и музыкальные сервисы

В Рунете растет число фишинговых доменов, которые маскируются под российские онлайн-кинотеатры и музыкальные сервисы – виток активности киберпреступников в этой сфере обнаружили эксперты по кибербезопасности Angara Security. По данным компании, число поддельных сервисов с видео- и музыкальным контентом увеличилось на 10 и 15% соответственно в сравнении с аналогичным периодом 2022 года. Об этом Angara Security сообщила 23 августа 2023 года.

Чаще всего мошенники подделывают ресурсы kinopoisk.ru и ivi.ru – фальшивые домены формируются путем добавления одной или нескольких букв к названию реального сервиса. Если домен блокируют, владельцы тут же регистрируют новый: в 2023 году киберпреступники создали уже несколько десятков подобных сайтов. Аналитики Angara Security предупреждают: большинство подобных сайтов заманивают посетителей онлайн-показом пиратских фильмов и могут красть платежные и персональные данные.

«
Тренд на подделку сайтов онлайн-кинотеатров появился еще в период пандемии, но тогда мошенники стремились подделать сайты Netflix и только «осваивали» российский «Кинопоиск», – сказала Виктория Варламова, эксперт Angara Security по защите бренда. – Теперь, когда российский зритель отрезан от мировых новинок кино, его очень легко привлечь обещанием онлайн-показа нашумевших «Барби» или «Оппенгеймера». Причем современные фишинговые сайты, которые обнаруживают наши аналитики, мимикрируют не только под легальные стриминговые сервисы, но даже под известные пиратские видеоресурсы вроде Kinogo.
»

Самой популярной ловушкой среди фальшивых музыкальных сервисов оказалась поддельная «VK Музыка» – домены с этим названием лидируют в аналитике Angara Security по изучению фишинговых площадок. Эксперты напоминают о том, что все рекламные объявления реального сервиса маркируются галочкой официальной страницы VK, а оформление или оплата подписки должны вести покупателя только на официальный сайт сервиса с доменом vk.com.

В сегменте цифровых сервисов электронных и аудиокниг число фишинговых сайтов сократилось на 20% – эксперты объясняют это тем, что основным каналом для распространения книг стали Telegram-каналы. В них количество поддельных ресурсов как раз ощутимо выросло: в первом полугодии 2023 года зарегистрировано около 5000 фишинговых ТГ-каналов, это в пять раз больше, чем в 2022 году.

«
Мы отмечаем миграцию киберпреступлений в Telegram, – отметила Виктория Варламова. – Эта площадка предоставляет большие возможности для распространения видео- и аудиоконтента, при этом правообладателям отслеживать распространение пиратского контента очень сложно. У нас нет причин считать, что темпы киберпреступности снизятся в ближайшем будущем, поэтому мы призываем онлайн-сервисы к повышенной бдительности и улучшению мер по защите своих пользователей от фишинга и мошенничества.

»

Шаблоны документов, содержащие вирусы. ЦБ РФ сообщил о новой схеме мошенников

8 августа 2023 года в Центробанке РФ сообщили о новой схеме мошенничества, в которой используются шаблоны документов, содержащие вирусы. По данным регулятора, мошенники создают поддельные сайты государственных ведомств и известных справочно-правовых систем и публикуют зараженные документы, доступные для скачивания. Аферисты часто используют метод SEO-poisoning («отравление» поисковой выдачи), позволяющий этим сайтам занимать первые строки в поиске.

«
Пользователь скачивает документ, после чего на его компьютере запускается программа удаленного доступа. С помощью нее хакеры могут дистанционно менять банковские реквизиты в договорах компании – например, с подрядчиками или поставщиками. Вместо данных настоящего получателя средств они указывают свои, – сообщается в Telegram-канале ЦБ.
»

ЦБ сообщил о новой схеме мошенничества, в которой используются шаблоны документов

В Банке России отметили, что, как правило, сотрудники компании обнаруживают вирусное ПО не сразу. Иногда мошенники блокируют доступ к рабочим компьютерам, а за его восстановление вымогают деньги. Чтобы не стать жертвой таких мошенников регулятор рекомендует:

  • установить и регулярно обновлять антивирус;
  • настроить запрет на автоматическую установку и запуск разных программ;
  • обращать внимание на адрес сайта — поддельный может отличаться от официального всего одним символом. Вдобавок официальные сайты государственных органов обычно маркируются синим кружком с галочкой;
  • быть осторожным при работе с сайтами, если в их адресной строке нет значка безопасного соединения (замочек)
  • скачивая документ, обращать внимание на его формат. Безопасными считаются pdf, docx, xlsx, jpg, png.


В июле 2023 года российские банки выявили новую схему мошенничества, в которой используются фейковые фото банковских карт. Злоумышленники получают доступ к аккаунту человека в мессенджере и просят знакомых перевести деньги. Для большей убедительности мошенники присылают фото карты с именем нужного человека. Внешне карты похожи на карты крупных кредитных организаций, но на самом деле счет открыт в другом менее известном банке.[6]

Фишинговые атаки с применением Cobalt Strike снова обрушились на российские компании

Специалисты управления киберразведки BI.ZONE обнаружили масштабные атаки группировки Lone Wolf, нацеленные на российские логистические, производственные, финансовые организации и компании из сферы розничной торговли. Об этом компания BI.Zone сообщила 4 августа 2023 года.

Злоумышленники из Lone Wolf реализовали как минимум четыре массовые фишинговые рассылки с 21 по 28 июля. Письма отправлялись по базам корпоративных электронных адресов якобы от имени АО «ТАИФ-НК», ДЦ «Автосалон 152», «Русагро-Приморье» и УФАС России по Магаданской области.

В трех из четырех рассылок преступники уведомляют получателя о досудебной претензии и требуют в короткий срок погасить задолженность по договору, включая пени за просроченную оплату. В противном случае злоумышленники угрожают обратиться с исковым заявлением в арбитражный суд. Все документы, свидетельствующие о задолженности, прилагаются к письму. В четвертой рассылке — якобы от Магаданского УФАС России — содержится копия постановления без дополнительных разъяснений.

Чтобы разобраться в ситуации, жертва спешит посмотреть вложения: в выявленных рассылках файлы назывались Досудебное.doc, пп-ас32-4783.doc, акт.xls. При открытии любого из них на устройстве запускается цепочка команд, в результате чего злоумышленники загружают программное обеспечение Cobalt Strike Beacon.

Cobalt Strike Beacon — компонент решения Cobalt Strike. Это коммерческий инструмент, который специалисты по тестированию на проникновение используют, чтобы эмулировать действия атакующих, а злоумышленники — чтобы решать задачи на разных этапах киберинцидента. В зависимости от целей атакующих запуск Cobalt Strike может привести к краже чувствительных данных или их шифрованию, а в ряде случаев — к похищению денег со счетов организации.

«
Уже довольно давно у различных группировок популярны инструменты вроде Cobalt Strike. Они открывают широкие возможности для достижения цели атаки с использованием минимума дополнительных вредоносных инструментов или позволяют отказаться от них вовсе. Более того, часто Cobalt Strike применяется в компаниях в легитимных целях, что значительно снижает скорость обнаружения его подозрительной активности,
сказал Олег Скулкин, руководитель управления киберразведки BI.ZONE.
»

Мошенники взломали соцсети «Уралсиба» и разместили там фишинговые ссылки

3 августа 2023 года банк «Уралсиб» сообщил о массированной кибератаке, в результате которой были взломаны его социальные сети. Кроме того, пострадали сетевые ресурсы ряда других финансовых организаций. Подробнее здесь.

Фишинговые письма от имени Роскомнадзора содержат ПО для кражи учетных данных компаний

Эксперты управления киберразведки BI.ZONE обнаружили фишинговую кампанию, нацеленную на российские организации. Под видом уведомлений от Роскомнадзора злоумышленники распространяют стилер White Snake — вредоносное ПО для кражи паролей и других данных с зараженного устройства. Об этом компания BI.Zone сообщила 1 августа 2023 года.

Преступники рассылают по корпоративным email-адресам архив с несколькими файлами. В первом документе — якобы официальное уведомление от Роскомнадзора. В нем сообщается, что «в ходе выборочного мониторинга активности установлено посещение запрещенных интернет-ресурсов», то есть получатель письма нарушил закон № 255-ФЗ «О контроле за деятельностью лиц, находящихся под иностранным давлением».

В этом же уведомлении злоумышленники требуют «безотлагательно проверить приложенные материалы и дать пояснение в течение двух рабочих дней». В противном случае они угрожают «принять меры воздействия административного и уголовно-правового характера». Все это — чтобы жертва быстро открыла второй файл, то есть стилер White Snake.

Вредоносное ПО White Snake позволяет злоумышленникам достать сохраненные пароли, копировать файлы, записывать нажатия клавиш, звук с микрофона, видео с веб-камеры, а также получить удаленный доступ к скомпрометированному устройству и к корпоративным системам. Всю собранную информацию преступники часто перепродают через время, поэтому компании не сразу способны ощутить весь нанесенный ущерб.

Если перечисленных функций стилера злоумышленнику недостаточно, он может использовать White Snake для загрузки и запуска любых необходимых ему вредоносных инструментов. Подписка на стилер стоит всего 140 $ в месяц, а неограниченный доступ — 1950 $.

«
Теневой сегмент интернета предлагает все более качественные инструменты для реализации целевых атак. Они позволяют обойти традиционные средства защиты и предоставляют злоумышленникам все необходимые средства для достижения цели. Низкая цена и легкость в эксплуатации ведут к неизбежному увеличению числа целевых атак. Чтобы защититься от таких кампаний, необходимо развивать процессы предупреждения киберугроз, а также их выявления и реагирования на них,
сказал Олег Скулкин, руководитель управления киберразведки BI.ZONE.
»

Фишинговая рассылка — один из главных способов получить первоначальный доступ во время целевых атак. Чтобы защититься от нее, следует использовать специализированные решения, которые блокируют спам и вредоносные письма. Если компания уже пострадала от кибератаки, необходимо оперативно провести реагирование на инцидент и расследование.

Хакера задержали за хищение аккаунтов 130 россиян на портале Госуслуг

В Уфе петербургские полицейские задержали хакера из Петербурга, похитившего данные от аккаунтов на портале Госуслуг у 130 россиян. Об этом пресс-служба МВД России сообщила 13 июля 2023 года.

По данным правоохранительных органов, злоумышленник создал в интернете несколько фишинговых сайтов. Их внешний вид копировал официальные страницы различных государственных учреждений. При попытках воспользоваться сервисами граждане вводили данные своих учетных записей, зарегистрированных на Едином портале государственных и муниципальных услуг. Таким образом аферист получал доступ к чужим аккаунтам и, меняя пароли, использовал их для подачи заявок в микрокредитные организации. Перечисленные деньги выводил через анонимные электронные кошельки и обналичивал. После того как лимит на получение кредита исчерпывался, учетная запись уничтожалась вместе со всей информацией о ее использовании, говорится в сообщении МВД.

Полицейские задержали хакера, похитившего данные от аккаунтов на портале Госуслуг

Следователем Следственного управления МВД России по Красносельскому району города Санкт-Петербурга возбуждено уголовное дело по признакам преступления, предусмотренного статьей 272 УК РФ. Подозреваемый задержан полицейскими на территории города Уфы. В ходе обыска по месту его временного проживания изъяты 25 SIM-карт, средства связи, банковские карты.

«
В настоящее время фигурант доставлен в Санкт-Петербург, в отношении него избрана мера пресечения в виде запрета определенных действий. Проводятся оперативно-розыскные мероприятия, направленные на установление всех эпизодов противоправной деятельности, - сообщила официальный представитель МВД России Ирина Волк 13 июля 2023 года.[7]
»

Группа XDSpy атаковала российские организации от имени МЧС

12 июля 2023 года центр кибербезопасности F.A.C.C.T. обнаружил 11 июля 2023 года фишинговую рассылку вредоносных писем, проводимую кибершпионской группой XDSpy. Cистема для проактивного поиска и защиты от сложных и неизвестных киберугроз F.A.С.С.T. Managed XDR задетектила рассылку, нацеленную на российские организации, включая один из известных научно-исследовательских институтов.

В тексте письма получателей просят посмотреть список сотрудников компании, которые "могут симпатизировать группам, дестабилизирующим внутреннюю ситуацию в России". Отправители письма угрожают, что в случае отсутствия ответа, против сотрудников будут приняты юридические меры.

Под видом файла-приманки Spisok_rabotnikov.pdf со списком случайных людей загружается вредоносная программа, которая собирает чувствительные данные и документы с компьютера жертвы.

XDSpy пользовалась подобными техниками и раньше: в середине марта 2023 года кибершпионы атаковали структуры МИДа России, а в октябре 2022 года — российские организации с фейковыми повестками от имени Минобороны.

Впервые группу XDSpy, атакующую организации России и [8], обнаружил белорусский CERT в феврале 2020 года, хотя эксперты считают, что сама группа активна как минимум с 2011 года. Несмотря на долгую историю XDSpy, международные специалисты так и не определились, в интересах какой страны работает эта группировка. Большинство целей группы находятся в России — это правительственные, военные, финансовые учреждения, а также энергетические, исследовательские и добывающие компании.

Мошенники начали красть деньги со счетов россиян, рассылая сообщения с предложением заработать на оценке отелей

В России мошенники начали красть деньги со счетов россиян, рассылая сообщения с предложением заработать на оценке отелей. Об этом стало известно 20 июня 2023 года. Подробнее здесь.

Мошенники в России начали использовать ChatGPT в фишинговых атаках

Мошенники в России начали использовать ChatGPT в фишинговых атаках. Об этом в середине июня 2023 года рассказала управляющий директор «Лаборатории Касперского» на территории РФ и стран СНГ Анна Кулашова. Подробнее здесь.

Обнаружена массовая фишинговая рассылка под видом документов о мобилизации

Компания BI.ZONE 10 июня 2023 года сообщила о фиксации рассылки фишинговых писем. Злоумышленники использовали спуфинг, то есть подделывали адрес отправителя: для получателя письмо выглядело как сообщение из госорганов.

Жертвам приходили письма с темами: «Призыв по мобилизации», «Всеобщая мобилизация 2023», «Сверка документов Военкомат», «Призывники 2023 список» и пр. И тема, и текст сообщения убеждали пользователя открыть прикрепленный архив или скачать его по ссылке.

В архиве был вредоносный файл, который устанавливал на устройство троян DCRat. Такое ПО позволяет атакующим получить полный контроль над скомпрометированной системой.

С помощью DCRat злоумышленники делают скриншоты, записывают последовательность нажатия клавиш, получают содержимое буфера обмена и т. д. В итоге у преступников могут оказаться логины и пароли от корпоративных аккаунтов, финансовая информация, персональные данные, а также другие конфиденциальные сведения.

«
Даже неподготовленные злоумышленники достигают целей, когда используют злободневные темы и человеческий фактор. К сожалению, избежать подобных угроз практически невозможно. Поэтому организации должны обеспечить адекватную защиту от фишинговых атак,
сказал Олег Скулкин, руководитель управления киберразведки BI.ZONE.
»

Защита от подобных рассылок — нетривиальная задача. Настройки безопасности сервера электронной почты будут неэффективны без программных дополнений, поведенческого и сигнатурного анализа писем. Поэтому важно применять специализированные защитные сервисы, которые умеют отсеивать спуфинг еще до того, как он попадет к получателю.

В России ликвидировали группу киберпреступников, которые 1,5 года похищали деньги у пользователей BlaBlaCar

Министерство внутренних дел России ликвидировало группу мошенников Jewelry Team, которые полтора года похищали деньги у россиян, решивших воспользоваться популярным сервисом поиска попутчиков BlaBlaCar. Об этом 5 июня 2023 года сообщили в компании F.A.C.C.T. (ранее Group-IB в России), которая помогла ведомству вычислить и задержать киберпреступников. Подробнее здесь.

Число фишинговых схем кражи данных через Telegram в России за год выросло в 67 раз

Число фишинговых схем кражи данных через Telegram в России за год выросло в 67 раз — с 7 в мае 2022 года до 470 штук год спустя. Об этом в конце мая 2023-го сообщили в компании «РТК-Солар». Подробнее здесь.

Кибермошенники в России начали рассылать фейковые письма от имени военкоматов

Кибермошенники в России начали рассылать фейковые письма от имени военкоматов. Об этом стало известно 10 мая 2023 года.

Как пишет Telegram-канал «Mash на Мойке», фальшивые мобилизационные предписания на электронную почту приходят в том числе жителям Петербурга. Получателей писем призывают явиться в военкомат 11 мая 2023 года для уточнения данных и постановки на учет. При этом отмечается, что в качестве отправителя мобилизационного предписания указано несуществующее ведомство — «Главное управление Военного Комиссариата МО РФ». Также там отсутствует обращение к адресату по имени и фамилии. По сообщению Telegram-канала, в этих письмах содержится вредоносное программное обеспечение — ZIP-архив с вирусом.

Кроме того, подобные письма начали получать жители Амурской области, передает «Комсомольская правда». При этом в действительности областной военный комиссариат не отправляет мобилизационные предписания по электронной почте.

Близкий к Минобороны Telegram-канал «Война с фейками» подтвердил, что ведомство не отправляет таких писем - «в России не предусмотрена рассылка мобилизационных предписаний или повесток по электронной почте».

К 10 мая 2023 года единственным законным способом является личное вручение предписания под подпись. В будущем для отправки повесток также планируется использовать портал «Госуслуги», но эта система оповещения заработает не раньше осени 2023 года.

По данным WHOIS, фишинговые письма рассылаются россиянам с адреса, размещенного на домене из Британии. К электронному письму, как пишет «Коммерсантъ», прикреплен файл с расширением «.exe». При сохранении его на компьютер и открытии устройство заражается вирусом. Предположительно, речь идет о так называемом трояне DarkWatchman RAT, предоставляющем отправителям удаленный доступ к компьютеру получателя.[9]

Победа РКН: Фишинговые ресурсы почти ушли из домена .ru

По итогам первого квартала 2023 года в России было удалено и заблокировано более 7,2 тыс. фишинговых ресурсов против около 2 тыс. за аналогичный период 2022-го. Такие данные в Роскомнадзоре привели 10 мая 2023 года. Согласно статистике ведомства, наибольшее количество доменов со ссылками по незаконной финансовой деятельности и поддельным документам приходилось на доменную зону .com (52%), на втором месте — .ru (13%), на третьем месте — .xyz и .site (8%). Оставшаяся доля распределялась между доменами .top, .io, .net, .pro, .ws. Блокировкой фишинговых сайтов занимается и Минцифры через систему «Антифишинг», которая работает с июня 2022 года.

Работающие в сфере информационной безопасности компании подтверждают эту тенденцию. По данным «Лаборатории Касперского», в январе-мае 2023 года наибольшее количество попыток перехода на фишинговые страницы российских пользователей пришлось на доменные зоны .com (48%), .ru (12%) и .ws (6%).

Было удалено и заблокировано более 7,2 тыс. фишинговых ресурсов

Уход мошенников в новые домены может быть связан с тем, что регистрация там дешевле или вообще бесплатна. Кроме того, как отметил руководитель направления анализа защищенности центра инноваций Future Crew МТС RED Алексей Кузнецов в разговоре с «Коммерсантом», Роскомнадзору проще заблокировать мошеннические ресурсы на домене .ru, что отчасти сдерживает рост объема фишинговых сайтов в рунете.

«
Есть домены верхнего уровня gTLD (generic Top-Level Domain), например .com, которые управляются централизованно, и домены, выделенные для конкретной страны — ccTLD (country code Top-Level Domain, в том числе .ru, а также других национальных зон), и в зонах ccTLD зачастую сложно добраться до регистратора и вынудить его забрать у владельца ресурса доменное имя, - объяснил эксперт.[10]
»

Обнаружены 80 тысяч фишинговых писем, отправленных с использованием IPFS

По данным «Лаборатории Касперского», в атаках через почту фишеры начали активно использовать технологию Web 3.0 ― IPFS. Об этом компания сообщила 30 марта 2023 года. Злоумышленники размещают фишинговые HTML-файлы в IPFS, чтобы сократить расходы на хостинг. Этот метод атакующие применяют и для массовых, и для целевых фишинговых атак. За первые три месяца 2023 года в компании обнаружили около 80 тысяч писем в России, отправленных подобным образом.

Как происходят атаки через IPFS. Злоумышленники размещают HTML-файлы с фишинговой формой в IPFS и используют шлюзы в качестве прокси-серверов, чтобы жертвы могли открыть файл вне зависимости от наличия на их устройствах IPFS-клиента. Ссылки на доступ к файлу через шлюз атакующие вставляют в фишинговые письма, которые рассылают потенциальным жертвам.

Использование распределённой файловой системы позволяет атакующим экономить на хостинге фишинговых страниц. Кроме того, из IPFS нельзя удалить файл, который размещен другим пользователем или несколькими пользователями. Если кто-то хочет, чтобы файл полностью исчез из системы, он может потребовать от его владельцев, чтобы они сами его удалили, но с мошенниками такой способ вряд ли сработает.

Особенности фишинговых писем и ссылок, отправленных через IPFS. Обычно фишинговые письма, содержащие IPFS-ссылку, не отличаются оригинальностью — это типичный фишинг, цель которого — получить логин и пароль от учётной записи жертвы.

Иначе дело обстоит с HTML-страницей, которая находится по ссылке. В параметре URL содержится электронный адрес получателя. Если его поменять, то изменится и содержимое страницы: логотип компании над фишинговой формой и электронный адрес, введённый в поле логина. Таким образом, одну ссылку можно использовать в нескольких фишинговых кампаниях, нацеленных на разных пользователей, а иногда и в нескольких десятках кампаний.

«
Злоумышленники использовали и будут продолжать использовать последние технологии в своих целях. В последнее время мы наблюдаем рост количества фишинговых атак через IPFS — как массовых, так и целевых. Распределённая файловая система позволяет мошенникам сэкономить на покупке домена. Плюс полностью удалить файл непросто, хотя попытки борьбы с мошенничеством на уровне шлюза IPFS есть. Хорошая новость заключается в том, что антиспам-решения обнаруживают и блокируют ссылки на фишинговые файлы в IPFS, как и любые другие фишинговые ссылки. В частности, решения «Лаборатории Касперского» используют ряд эвристик, нацеленных на выявление фишинга через IPFS, — комментирует Роман Деденок, эксперт «Лаборатории Касперского» по анализу спама.
»

Мошенники в России начали использовать ChatGPT для фишинга

Мошенники в России начали использовать ChatGPT для фишинга. Об этом в конце марта 2023 года рассказали специалисты по информационной безопасности компании T.Hunter. По словам экспертов, киберпреступники активно применяют возможности ИИ, для того чтобы повысить достоверность текстов, автоматизировать процесс и повысить вероятность обмана пользователей.

«
Мы фиксируем, что первые фишинговые письма, написанные с помощью данного софта, стали массово приходить пользователям в марте этого года, - сказал «Известиям» руководитель департамента информационно-аналитических исследований T.Hunter Игорь Бедеров.
»

Первые фишинговые письма, написанные с помощью ChatGPT, появились в марте 2023 года

Эксперт уверен, что из-за использования искусственного интеллекта количество жертв мошенничества вырастет. Дело в том, что большинство фишинговых писем приходили из-за рубежа, и плохой перевод помогал людям вычислить мошенников.

Однако ChatGPT пишет письма, которые максимально приближены к тем, что пишут люди. Мошенникам остается лишь добавить фишинговую ссылку, после чего разослать письмо миллионам пользователей.

В пресс-службе компании Group-IB сообщили газете, что «проблема» многих фишинговых писем, которые пишут на русском языке иностранцы, в том, что они составлены неграмотно, содержат массу стилистических, орфографических и грамматических ошибок. Технический онлайн-перевод также сильно заметен. Такое «несовершенство» уменьшает эффект, которого хотят добиться злоумышленники, поскольку люди не доверяют неграмотно написанным письмам и реже кликают по ссылкам.

По мнению директора Координационного центра доменов .RU/.РФ Андрея Воробьева, в будущем возможно использование ChatGPT в фишинговых чатах, которые получают все большее распространение. Там ИИ сможет имитировать живое общение, якобы с менеджером компании, вызывая доверие пользователя.[11]

Рост числа новых фишинговых сайтов в 3 раза до 5,2 тыс.

В январе-марте 2023 года в России выявлено 5,2 тыс. фишинговых сайтов, что почти втрое больше, чем годом ранее. Об этом в середине марта 2023-го сообщили в АНО «Координационный центр доменов».

Директор АНО Андрей Воробьев заявил, что одной из причин этого стала неразбериха с SSL-сертификатами, возникшая после отказа западных удостоверяющих центров от работы в РФ.

Число фишинговых сайтов в России выросло втро

До февраля 2022 года SSL-сертификаты выдавали зарубежные удостоверяющие центры, однако после 24 февраля того же года многие из них отказались работать с РФ. За последний год в России начали работать несколько местных удостоверяющих центров и проблема постепенно теряет остроту, сказал Воробьев в середине марта 2023-го.

Рост количества фишинговых сайтов отметили и в Роскомнадзоре (РКН). В пресс-службе ведомства рассказали изданию, что с января по февраль 2023 года РКН удалил и заблокировал 523 мошеннических ресурса. В их числе оказались сайты, касающиеся кредитно-финансовой сферы. За аналогичный период 2022 года было удалено 313 ресурса.

Специалисты Координационного центра доменов сообщили «Известиям», что чаще всего мошенники имитируют сайты крупнейших российских банков, подпавших под санкции, а также маркетплейсов и сервисов объявлений.

По мнению экспертов Координационного центра доменов, эффективной мерой противодействия мошенникам могло бы стать подтверждение паспортных данных физлица, регистрирующего доменное имя, через ЕСИА, пишет газета.

Одной из причин роста числа фишинговых сайтов является и развитие технологий. Например, всё более широкое распространение получают конструкторы сайтов, использовать которые может любой знакомый с компьютером человек, даже не обладающий навыками программирования, объяснил руководитель направления аналитики интернет-угроз компании «РТК-Солар» Сергей Трухачев.[12]

2022

Число заблокированных в России фишинговых сайтов выросло более чем в два раза

3 марта 2023 года компания Group-IB сообщила, что заблокировала в 2022 году более 59 000 фишинговых сайтов, из них более 7 000 — в российском сегменте интернета, что в два раза больше, чем годом ранее. Мошеннические ресурсы похищали у пользователей из России логины и пароли, данные банковских карт, аккаунты в мессенджерах. Так, в 2022 году прошла волна атак с помощью фишинговых ресурсов на пользователей Telegram.

По информации компании, если в 2021 году количество заблокированных ресурсов Центром реагирования на инциденты информационной безопасности Group-IB — СERT-GIB (24/7) в сети Интернет составило 31 455, то в 2022 году их число увеличилось до 59 282. Страницы киберпреступников в том числе копировали ресурсы популярных у российских пользователей брендов, сервисов, игр. В зонах .ru и .рф. количество заблокированных сайтов выросло более чем вдвое с 3 210 до 7 121.

В целом специалисты круглосуточного СERT-GIB выявили за 2022 год только в зонах .ru и .рф. 20 170 фишинговых доменов, а в 2021 году их число составляло 15 363 домена.

Фишинговый сайты, заблокированные Центром реагирования на инциденты информационной безопасности Group-IB.

Чаще всего мошенники маскировали фишинговые ресурсы под социальные сети, банки, почтовые сервисы. Злоумышленники пользовались услугами хостинг-провайдеров, расположенных в основном в США, России и Германии. Каждый третий сайт мошенников был размещен в доменной зоне .com — 33,8% от общего числа ресурсов.

Фишинговые страницы применялись в схеме по краже учетных записей пользователей в Telegram в декабре 2022 года. Жертвы получали сообщение с просьбой поддержать крестницу или племянницу отправителя в детском конкурсе рисунков, проголосовать за «автора» сообщения в какой-либо онлайн-викторине, получить подарок в виде премиум-подписки в мессенджере. Ссылка в сообщении вела на фишинговый ресурс. Послания рассылались по адресным книгам взломанных аккаунтов в мессенджере и чатам, где состояли их владельцы. С украденными аккаунтами схема повторялась: по их спискам контактов злоумышленники рассылали сообщения со ссылками на фишинговые ресурсы. В 2023 году злоумышленники для кражи аккаунтов в Telegram также используют сценарий с сообщением от службы поддержки мессенджера об ограничении учетной записи пользователя.

«
Фишинг остается наиболее распространенной угрозой в интернете, ее масштабы продолжают расти. Подобные сайты составляют 98-99% заблокированных ресурсов киберпреступников. В первую очередь это ресурсы, которые играют роль одного их основных элементов популярной схемы «Мамонт» (FakeCourier) и её версий, где у жертвы под предлогом фейковой покупки, доставки, аренды или свидания похищают деньги и данные банковских карт.

отметил Иван Лебедев, руководитель группы по защите от фишинга СERT-GIB
»

Распределение выявленных фишинговых ресурсов по отраслям и доменным зонам.

Специалисты Group-IB напоминают основные правила, которые важно соблюдать, чтобы не стать жертвой фишинга:

  • В связи с появлением большого количества фейков и фишинговых ресурсов, нацеленных на известные бренды, клиентам стоит быть особенно бдительными, даже загружая приложения из официальных магазинов.
  • Следует проверять доменные имена подозрительных сайтов. Чаще всего злоумышленники используют созвучные популярным брендам домены. Нужно использовать официальные приложения.
  • При онлайн-покупках необходимо всегда проверять все реквизиты переводов и платежей. Никому не сообщать коды из СМС и пуш-уведомлений, данные карты (ПИН и CVV-коды), персональные данные.
  • Никогда не переходить по подозрительным ссылкам от неизвестных отправителей, мошенники могут заразить компьютер или телефон и украсть данные.
  • Можно доверять ссылкам, которые указаны в верифицированных аккаунтах компаний в социальных сетях и мессенджерах.

Мошенники в России начали создавать фейковые сайты каршерингов для кражи данных

В конце 2022 года стало известно о том, что мошенники в России начали активно создавать фейковые сайты каршеринговых компаний для кражи данных, а также для угона автомобилей и снятия с них запчастей.

Как рассказали «РИА Новости» в НТИ «Автонет», мошенники создают поддельные сайты и завлекают на них жертв с помощью несуществующих акций. После того как пользователь вводит данные автомобиля, логин, пароль и данные водительского удостоверения, злоумышленники завладевают ими.

К концу 2022 года мошенники в России создали более 130 поддельных сайтов каршерингов

При регистрации на таких сайтах пользователь раскрывает свои персональные данные и дает мошенниками возможность воровать каршеринговые автомобили от своего имени. Триггером для регистрации служит низкая стоимость аренды авто. Отмечается, что многие из сайтов уже начали блокироваться.

По словам аналитиков, в 2022 году резко увеличилось количество схем, связанных с воровством автомобильных данных. Это может быть связано с недостатком автозапчастей и дефицитом машин, а также с уходом из РФ ряда популярных мошеннических схем, связанных с банковским сегментом, из-за блокировки системы SWIFT.

По данным НТИ «Автонет», к концу 2022 года в Рунете насчитывается не менее 130 поддельных сайтов каршеринговых компаний.

В сентябре 2022 года в «Лаборатории Касперского» рассказали, что хакеры стали предлагать купить доступ к аккаунту администратора одной из каршеринговых компаний в одном из объявлений в даркнете. В предложении сказано, что покупатель сможет удаленно управлять сразу несколькими машинами сервиса. Например, отслеживать местоположение автомобиля, открывать и закрывать его, включать и выключать двигатель. Мошенники могут использовать доступ к панели управления каршеринга, например, для вымогательства денег.[13]

Число мошеннических сайтов в Рунете выросло на 15%

Компания Group-IB, один из мировых экспертов в сфере кибербезопасности, сообщила 11 ноября 2022 года об обнаружении в 2022 году в российском сегменте интернета около 18 000 фишинговых сайтов, что на 15% больше, чем в 2021 году. Такой рост эксперты связывают с масштабированием мошеннической схемы «Мамонт». Чаще всего в качестве приманки мошенники используют фишинговые ресурсы под видом банков, онлайн-сервисов и платежных систем.

За 9 месяцев 2022 года CERT-GIB выявил 17 742 фишинговых сайтов в доменных зонах .ru и .рф. Для сравнения за аналогичный период 2021 года было зафиксировано 15 363 домена. Стабильно рост числа мошеннических ресурсов наблюдался на протяжении всего года: если в январе было обнаружено 1295 доменов, в мае уже 1936, а в октябре — 2402.

По мнению аналитиков, рост числа фишинговых сайтов связан с растущим распространением схемы «Мамонт» (FakeCourier), где у жертвы под предлогом фейковой покупки, доставки или аренды похищают деньги и данные банковских карт. Основные всплески появления страниц мошенников наблюдались в мае, августе и октябре 2022 г., что в том числе связано с «сезонными» сценариями схем киберпреступников.

Ранее Group-IB выявила не менее 300 скам-групп, работающих по схеме «Мамонт». Мошенники зарабатывали на темах курьерской доставки, аренды недвижимости, продажи автомашин, совместных поездок и даже походов на свидания. После выхода схемы в Европу, суммарный ежегодный заработок всех преступных групп, использующих данную схему мошенничества, по самым скромным подсчетам, оценивался более чем $6,2 млн.


В целом, по данным Координационного центра доменов.RU/.РФ (КЦ), число запросов на блокировку вредоносных сайтов в 2022 году выросло на 25%. Наибольшее количество направил СERT-GIB — 5 343 запроса. В первую очередь, блокировке подлежали ресурсы, на которые пожаловались пострадавшие пользователи и компании. Всего за 10 месяцев компетентные организации — партнеры КЦ — направили 11 936 обращений, в то время как в 2021 году за аналогичный период было отправлено 9556 обращений. В итоге хостинг-провайдерами и регистраторами было заблокировано 11 514 вредоносных ресурсов. Среднее время реагирования составило 23,2 часа.

«
Фишинг остаётся наиболее массовой угрозой для пользователей в Интернете, и его масштабы неуклонно растут. Именно фишинговые сайты составляют 98—99% заблокированных ресурсов киберпреступников. Оставшаяся доля от общего числа заблокированных страниц приходится на сайты с вредоносным ПО,
подчеркнул Иван Лебедев, руководитель группы по защите от фишинга СERT-GIB.
»

Центр реагирования на инциденты информационной безопасности СERT-GIB является одной из 12 компетентных организаций, которые предоставляют Координационному центру и аккредитованным регистраторам доменных имен информацию о ресурсах с противоправным контентом, о случаях фишинга, несанкционированного доступа к информационным системам и распространения вредоносных программ с доменных имен, находящихся в зонах .ru и .рф. Регистраторы вправе прекратить делегирование доменных имен для подобных ресурсов.

Мошенники использовали бренды «Красное и белое» и «Додо пицца» для хищения денег у граждан

За июль-август 2022 года команда «РТК-Солар» обнаружила более 2000 вредоносных доменов, которые использовались злоумышленниками для массированного фишинга от имени брендов «Красное и Белое» и «Додо пицца». Под предлогом получения пиццы или бутылки вина всего за 1 рубль карта жертвы привязывалась к несуществующему платному сервису с регулярным списанием средств. На сентябрь 2022 года атака заблокирована, однако в ближайшие месяцы возможна реинкарнация данной схемы в новой форме. Об этом компания сообщила 12 сентября 2022 года.

Выявленные фишинговые атаки стали продолжением вредоносной кампании, всплески которой наблюдаются каждые в 4-6 месяцев, отмечают специалисты команды специальных сервисов Solar JSOC компании «РТК-Солар». Благодаря взаимодействию с регистраторами доменов и регуляторами удалось вовремя пресечь фишинговую активность, а оперативная коммуникация с банком, подключившим интернет-эквайринг, помогла в несколько раз сократить ущерб для пользователей.

Текущая атака продемонстрировала способность мошеннических схем к развитию. Как и прежде, злоумышленники использовали человеческий фактор: для получения «приза» жертве предлагалось самостоятельно переслать ссылку на вредоносный сайт 10-20 своим друзьям в мессенджере. Такой подход значительно повысил эффективность работы мошенников: ссылка от друга вызывает куда большее доверие, чем обезличенная почтовая рассылка.

Остальные же элементы атаки были тщательно переработаны. Так, для распространения информации об «акции» использовались не только мессенджеры, но и специально созданные группы в социальных сетях. Именно они запустили самораспространяемую цепочку рассылок о несуществующих призах.

С учетом опыта предыдущих атак злоумышленники предприняли все необходимые меры, чтобы фейковые ресурсы работали как можно дольше, а их обнаружение и блокировка были затруднены. Если раньше рассылаемые сообщения как правило содержали ссылку на статический сайт, то теперь она вела на один из тысяч доменов, который переадресовывал жертву на вредоносный ресурс через постоянно меняющуюся цепочку промежуточных сайтов.

«
Вредоносные домены не имели привязки к бренду – это набор из сгенерированной последовательности символов в экзотических доменных зонах .ml, .tk, .cf, .ga и .gq. Регистрация там бесплатна и может быть осуществлена через API, то есть автоматически. В свободном доступе легко найти скрипты, позволяющие пачками регистрировать такие доменные имена, – отметил Александр Вураско, эксперт направления специальных сервисов Solar JSOC компании «РТК-Солар». – Но самое интересное в новом витке схемы – это непосредственно процесс хищения денег. Вводя данные карты, жертва оформляла подписку, в рамках которой каждые 5 дней с нее списывали 889 рублей. Деньги поступали на счет реально существующего юрлица в банке из ТОП-20. Такие платежи антифрод-системы банка в большинстве случаев не замечают, а малая сумма с лихвой компенсировалась большим количеством «подписчиков».
»

Для вывода денег злоумышленники в один день зарегистрировали более двух десятков доменов, на которых разместили однотипные сайты, посвященные онлайн-тренировкам для «сжигания жира». Именно на этот курс незаметно для себя подписывались жертвы атаки, оставлявшие данные своих банковских карт. При этом фейковые фитнес-сайты были максимально нефункциональными: большинство опций не работало, подробные сведения об оформляемой подписке отсутствовали, а публичная оферта, хоть и имела сведения о юрлице, по факту являлась юридически ничтожной. Все это лишний раз доказывает, что данные сайты использовались исключительно как часть мошеннической схемы с напитками и пиццей.

На сентябрь 2022 года пик атаки прошел. Вредоносные сайты заблокированы, массовые рассылки в мессенджерах и социальных сетях не фиксируются.

Мошенники многократно увеличили активность с использованием названий известных компаний

30 августа 2022 года компания Group-IB сообщила о том, что в первом полугодии 2022 года взрывной рост случаев онлайн-мошенничества с использованием известных брендов — на 579% по сравнению с аналогичным периодом 2021 года. По данным аналитиков Group-IB Digital Risk Protection, специализирующихся на борьбе с нелегальным использованием брендов, более половины всех обнаруженных сайтов были связаны с использованием схемы таргетированного мошенничества — фейковыми опросами с розыгрышами ценных призов от имени известных компаний.

По оценкам Group-IB, для привлечения внимания жертв злоумышленники используют уже более 2100 мировых брендов и торговых марок компаний из сферы онлайн-ритейла, телекоммуникаций, сферы услуг, банковского сектора и тд. Для сравнения: в конце 2021 их было всего 120. Чаще всего за прохождение опроса мошенники обещают пользователям крупное вознаграждение или ценный приз, но в итоге жертва сама лишается денег и данных банковских карт. Ежемесячные потери пользователей от таргетированного мошенничества в мире Group-IB оценивает в $80 млн (5,9 млрд руб.) по минимальным подсчетам.

В рамках такого типа мошенничества "под цель" генерируется индивидуальная, так называемая, таргетированная ссылка, использующая параметры потенциальной жертвы (страна, часовой пояс, язык, IP, тип браузера и др.) Ссылки бывают как многоразовые, так и одноразовые — именно поэтому мошеннические ресурсы сложно обнаружить и заблокировать.

«
Причины столь стремительного роста онлайн-мошенничества под известные бренды в H1 2022 году кроются, как в росте киберкриминала в целом на фоне нестабильной геополитической обстановки, так и уходе популярных торговых марок и появлении на рынке новых — может быть и не таких известных, но востребованных брендов, — отметил Евгений Егоров, ведущий аналитик Group-IB департамента Digital Risk Protection.— Еще одна техническая особенность масштабирования схемы — для получения «приза» необходимо поделиться ссылкой с несколькими друзьями через мессенджеры, что вызывает больше доверия у получателя и, соответственно, увеличивает эффективность схемы.
»

Кроме схемы с фейковыми опросами, в первом полугодии 2022 года мошенники использовали несколько десятков различных сценариев онлайн-афер, активно разыгрывая тему санкций и прекращения работы в России известных международных брендов:

  • мошеннические схемы, связанные с продажей фейковых виртуальных карт оплаты в App Store и PlayStation Store или покупкой доступов к ушедшим с российского рынка сервисам — Spotify Premium, Pornhub и тд.
  • распродажа товаров от мировых брендов, которые прекратили свою работу в России — например, мошенническая схема "Мамонт" пополнилась дополнительным сценарием покупки ставших вдруг «дефицитными» товарами от IKEA.
  • рост активности мошенников, действующих в сфере лотерей — в первом полугодии 2022 года Group-IB совместно со «Столото» обнаружили и заблокировали 18 709 ресурсов, которые действовали под видом популярных государственных лотерей.
  • «Сезонные мошенничества» — липовые сайты для бронирования номеров в гостиницах и оплаты проезда на автомагистралях. Большинство ресурсов появились к началу отпускного сезона. Летом зафиксировано более 30 фишинговых ресурсов, копирующих популярные сочинские отели.
  • Начиная с весны, на фоне нестабильности на финансовом рынке, заметен рост числа мошеннических ресурсов и онлайн-трансляций, посвященных «выгодным вложениям» в криптовалюты, инвестиций в ценные бумаги или выводу средств из российских банков на «безопасные счета» за границу.

Group-IB напомнили основные правила, которые следует соблюдать пользователям, чтобы не стать жертвой мошенников:

  • В связи с появлением большого количества фейков и фишинговых ресурсов, нацеленных на известные бренды, клиентам стоит быть особенно бдительными, даже загружая программы из официальных сторов — App Store и Google Play.
  • Следует проверять доменные имена подозрительных сайтов. Чаще всего злоумышленники используют созвучные популярным брендам домены. Надо использовать официальные приложения.
  • При онлайн-покупках всегда надо проверять все реквизиты переводов и платежей. Никому нельзя сообщать коды из СМС и пуш-уведомлений, данные карты (PIN и CVV-коды), персональные данные;
  • Не переходить по подозрительным ссылкам от неизвестных отправителей, мошенники могут заразить компьютер или телефон и украсть данные.

Опасность в том, что подобные типы онлайн-мошенничества несут риски не только для пользователей, но и для бизнеса и торговых марок, которые нелегально эксплуатируют мошенники. Однажды потеряв деньги из-за фейкового бренда, пользователь вряд ли к нему вернется.

Компаниям, чьи бренды являются весомым активом, в целях борьбы с таргетированным мошенничеством эксперты рекомендуют использовать высокотехнологичные продукты класса Digital Risk Protection. Применение запатентованных разработок Group-IB поиска и слежения за злоумышленниками, автоматизированный графовый анализ и слежение в режиме реального времени за инфраструктурой злоумышленников позволяют обнаруживать сразу всю сеть мошенников, блокируя ее, а не отдельные ссылки на фишинговые и скам-ресурсы. Таким образом 85% нарушений, связанных с любым типом мошенничества, устраняется в досудебном порядке, экономя ресурсы защищаемых организаций. В компании отмечают, что уровень защиты Digital Risk Protection проверен крупными брендами, а если пользователь инициирует судебные разбирательства с компанией, чей бренд был использован мошеннической схеме, Group-IB готова взять на себя все расходы.

Минцифры создает систему досудебной блокировки мошеннических сайтов

11 августа 2022 года стало известно о решении Министерство цифрового развития, связи и массовых коммуникаций РФ блокировать мошеннические ресурсы, замаскированные под официальные сайты, без вынесения соответствующего решения судом. Для этого ведомство расширит взаимодействие с Генпрокуратурой в рамках информационной системы «Антифишинг». Подробнее здесь

За год количество фишинговых атак в России удвоилось

За год количество фишинговых атак в России удвоилось. Об этом 22 июня 2022 года сообщила компания Trust Technologies (Траст Технолоджиз).

Ежегодно компании на 15% увеличивают инвестиции в информационную безопасность. Количество киберпреступлений растет в геометрической прогрессии, и только за последний год (с мая 2021 года по май 2022 года) их количество в России увеличилось почти в два раза.

Дорогое оборудование, современные системы часто оказываются бессильными, поскольку самым слабым звеном в системе защиты оказываются сотрудники компании.

Атаки с использованием фишинговых сайтов показывают свою эффективность из года в год. Открытие фишинговой рассылки влечет за собой существенные финансовые убытки для компании. Пользователи давно привыкли к многочисленным рассылкам: магазины, сервисы, проверенные источники информации. По статистике вредоносные письма открывают до 85 процентов сотрудников, чаще всего это специалисты, напрямую не связанные с ИТ: бэкофис, менеджеры, помощники, стажёры. Однако у них может не быть интересующих злоумышленников прав доступа, поэтому ущерб компании от похищения таких учетных записей редко бывает существенным. Другое дело ИТ-специалисты, финансисты и, что удивительно, специалисты по информационной безопасности. Как правило, они обладают повышенными привилегиями, но при этом не всегда обладают необходимыми для распознавания и противодействия кибератакам.

Например, бухгалтер крупной компании получает письмо от любимого магазина о скидках на товары для дачи, проходит по ссылке что-то посмотреть или пытается совершить покупку. В это время вредоносная программа уже начала работу. Данные с компьютера бухгалтера становятся известны злоумышленникам: можно проводить операции с финансовыми средствами или получить конфиденциальную информацию.

Отличить фишинговую рассылку от настоящей неподготовленному пользователю сложно. Лучший совет, который дают специалисты – вообще не открывать подозрительные письма, приходящие на корпоративный email. особенно с внешних почтовых доменов. В тоже время злоумышленники могут воспользоваться и персональными данными сотрудникам. Как же все-таки понять, что пришло фишинговое письмо? На что обращать внимание?

  • Не пропущена ли какая-либо буква в домене?
  • Нет ли во вложении файлов неизвестного формата?
  • Известно ли от кого это письмо?

Достаточно часто сотрудники забывают о достаточно простых правилах безопасности. Отдельной «находкой» злоумышленников становится рассылка, стилизованная под корпоративное письмо, где основная ставка сделана на любопытство сотрудников. Случай из практики, когда секретарь не смогла открыть письмо с якобы зарплатной ведомостью, переслала коллеге, другая переслала системному администратору, который также пытался открыть вложение. Результат – взлом корпоративного сервера, утечка персональных данных клиентов компании.

Наиболее популярные темы фишинговых рассылок:

  • Информация о скидках и акциях от известных торговых сетей;
  • Сезонные распродажи в дачный сезон и к праздникам;
  • Информация о подарках;
  • Конфиденциальная информация о сотрудниках или руководстве компании.

Для повышения грамотности сотрудников в вопросах информационной безопасности компании все чаще проводят практическое обучение с использованием специализированных платформ, позволяющих провести учебную атаку, собрать статистику по компании, а также направить «попавшихся» пользователей на обучающий портал для прохождения курса по информационной безопасности.

Пример обучающей фишиноговой атаки:

В сезон отпусков берем реальную релевантную рассылку. Меняем некоторые данные: тему письма, корректируем контент, вставляем необходимую ссылку и отправляем сотрудникам компании свой вариант.

В данном случае учебная атака проводилась в ИТ компании с высоким уровнем подготовки в вопросах ИБ. По ссылке в письме перешло не более 15% сотрудников, которые были направлены на обучающий курс. Чем чаще проводятся превентивные меры, тем ниже риск неправильных действий при реальной кибератаке.

По оценкам специалистов, злоумышленники будут только наращивать свою активность. Наибольшей угрозе подвержены незащищенные организации с низким уровнем знаний о кибербезопасности.

Минцифры запустило систему мониторинга фишинговых сайтов

Минцифры 6 июня 2022 года объявило о запуске системы мониторинга фишинговых сайтов. Подробнее здесь.

Мошенники используют фишинг под сервисы Apple

17 мая 2022 года компания Group-IB сообщила о появлении мошеннических схем для кражи денег, данных банковских карт и учетных записей Apple под предлогом оплаты и использования сервисов Apple Store, Apple Pay и iTunes. Всего за последние два года эксперты Group-IB обнаружили в зоне RU более 5 000 доменов, созданных для фишинговых атак на россиян только для получения доступа к iPhone и сервисам Apple. Подробнее здесь.

Российские хакеры развернули масштабную целевую фишинговую кампанию

3 мая 2022 года стало известно о том, что российские хакеры развернули масштабную целевую фишинговую кампанию.

Группа APT29 атакует дипломатов и правительственные организации. Подробнее здесь.

Мошенники рассылают фишинговые письма от имени Минцифры и Роскомнадзора

Мошенники рассылают фишинговые письма от имени Минцифры и Роскомнадзора. Об этом стало известно 31 марта 2022 года.

О данной схеме обмана рассказала компания Malwarebytes, специализирующаяся на кибербезопасности.

C 23 марта на электронную почту российских пользователей регулярно приходят сообщения, якобы от лица представителей Минцифры и Роскомнадзора. В письмах содержится предупреждение о незаконности использования запрещенных в России веб-сайтов, социальных сетей, мессенджеров и VPN-сервисов для обхода их блокировок. К посланию прилагается файл в формате RTF со списком запрещенных ресурсов.

Эксперты выяснили, что при открытии документа на смартфоне, ПК или любом другом устройстве пользователя скачивается HTML-файл, который активирует скрипт, позволяющий мошенникам получить удаленный доступ к данным устройства.

Рассылка фишинговых писем настроена в первую очередь на адреса электронных почтовых ящиков с доменами mail.ru, yandex.ru, mvd.ru, cap.ru и minobr-altai.ru[14].

2021

Зафиксировано значительное увеличение доли фишинга в общем объеме мошеннических атак

22 февраля 2022 года «Лаборатория Касперского» и «Райффайзен Банк» поделились трендами онлайн-мошенничества в 2021 году.

Иллюстрация: zen.yandex.ru

В 2021 году среди направлений, которые мошенники применяли в своих схемах, исследователи «Лаборатории Касперского» выделяют использование темы коронавируса, предложения лёгкого заработка, в том числе скама с розыгрышами и призами якобы от известных брендов, а также создание большого количества фейковых страниц платёжных систем. Эксперты «Райффайзен Банка» также отмечают значительное увеличение доли фишинга в общем объеме мошеннических атак.

«
«Мы замечаем значительный рост фишинга по сравнению с телефонным мошенничеством за последние полгода. В 2021 году фишинговые атаки составили 35% от всех случаев мошенничества, с которыми сталкивались наши клиенты, - в 2020 году эта доля составляла всего лишь 5%. Мошенники полностью автоматизируют свои действия: запуск фишинговых ресурсов и их распространение в сети занимает минуты. Мы отслеживаем появление таких сайтов и блокируем их, однако клиентам также важно сохранять бдительность», -

прокомментировал Илья Зуев, руководитель управления информационной безопасности «Райффайзен Банка».
»

Одной из актуальных в 2021 году стала тема инвестиций: банки и другие организации целенаправленно продвигали инвестиционные и брокерские счета. По данным «Лаборатории Касперского», злоумышленники не остались в стороне от этого тренда и постарались сделать так, чтобы их «инвестиционные проекты» выглядели особенно заманчиво. Чтобы привлечь внимание и заполучить доверие потенциальных вкладчиков, мошенники распространяли в рунете объявления от имени известных бизнесменов и крупных компаний. В них предлагалось внести небольшую сумму, чтобы через некоторое время получить взамен значительную прибыль. В некоторых случаях злоумышленники подчеркивали стабильность и отсутствие рисков для инвестора, а также статус организации. Чтобы придать солидности процедуре, жертвам предлагалось пройти тест или оставить заявку, а иногда и получить консультацию специалиста. Итог же был один: отдав деньги мошенникам, инвестор не получал ничего.

В целом в схемах с фишингом в качестве приманки часто используются названия крупных известных компаний. По данным отчёта Kaspersky Fraud Prevention, в 2021 году чаще всего от неправомерного использования бренда страдали глобальные интернет-порталы и онлайн-магазины. На долю каждой из этих двух категорий приходился почти 21% подобных случаев. В 12% случаев использовались названия банков, в 8% - платёжных систем.

Согласно тому же отчёту, чаще всего в 2021 году злоумышленники пытались совершить несанкционированные денежные переводы, используя скомпрометированные учётные записи. Доля таких инцидентов составила 73%. В 21% случаев в ход шли боты и средства автоматизации.

«
«Злоумышленников привлекают горячие темы, особенно связанные с новыми видами заработка. Мошенникам удаётся эффективно использовать приёмы социальной инженерии и вытягивать чужие деньги. К тому же с развитием защитных технологий и ростом уровня цифровой грамотности пользователей мошенники усложняют разработку контента - скрывают следы и «зашумляют» тексты, искажают страницы, чтобы их сомнительное содержимое было трудно отследить. Мы призываем сохранять бдительность, не доверять подозрительным сообщениям в почте, мессенджерах или на просторах сети. Критическое отношение к сомнительным предложениям и использование проверенного защитного решения помогут сберечь деньги, данные и нервы», -

говорит Татьяна Щербакова, старший контент-аналитик «Лаборатории Касперского».
»

Чтобы не стать жертвой скама или фишинговых схем, эксперты «Лаборатории Касперского» и «Райффайзен Банка» советуют:

  • не переходить по сомнительным ссылкам из почты, сообщений в мессенджерах и SMS;
  • если отправитель вызывает доверие, а содержание сообщения - нет, лучше удостовериться, что сообщение отправил именно тот, о ком вы думаете, например, спросить у человека напрямую голосом, если есть такая возможность;
  • проверять написание адресов сайтов, прежде чем вводить на них данные;
  • использовать защитное решение, которое предотвратит попытку перейти на фишинговый или скам-сайт.

45% россиян столкнулись с фишингом в 2021 году

3 декабря 2021 года Компания Avast опубликовала результаты опроса, посвященного фишингу. Эксперты хотели выяснить, как часто люди сталкивались с фишинговыми атаками за последние два года. Согласно полученным данным, в 2021 году люди чаще становились жертвами таких атак: об этом рассказали 45% опрошенных россиян. Этот показатель вырос на 4% по сравнению с результатами 2020 года.

«
Перед праздниками все ищут подарки близким, закупаются на распродажах. Из-за перебоев в поставках, связанных с пандемией, люди с большей вероятностью могут поверить сообщениям, в которых мошенники заявляют, что доставят популярные товары, сказал Луис Корронс, ИБ-евангелист компании Avast. — Если мы сравним результаты опросов в 2020 и в 2021 году, то увидим, что количество россиян, столкнувшихся с фишинговыми атаками, увеличилось на 7%. Мы надеемся, что повышая осведомленность о мошенничествах, мы делаем жизнь пользователей более безопасной.
»

В 2021 году с ними столкнулись 72% респондентов из России, при этом в 2020 году в аналогичном опросе о нем рассказали только 56% опрошенных. На втором и третьем месте соответственно — вредоносные электронные письма (60%) и смишинг (SMS-фишинг) (52%). Немного уменьшилось количество атак с социальной инженерией в реальной жизни: с 16% в 2020 году до 15% в этом.

В 2021 году на 4% выросло число пострадавших от фишинговых атак. При этом больше опрошенных рассказали о спаме: 48% сообщили о мошенничестве в полицию, службе безопасности на работе и антивирусному вендору. Чаще всего люди обращались в полицию (49%), в компанию, которую имитировали злоумышленники (38%) и к кому-то из своих коллег (17%).

«
Согласно предыдущему опросу, который мы провели с YouGov, онлайн-покупки во время пандемии ожидаемо были крайне востребованными в России. 24% россиян стали покупать в сети больше, чем до локдауна. 15% респондентов в это время впервые попробовали онлайн-шопинг. Последняя категория может быть особенно уязвима для фишинговых атак, связанных с покупками в сети, так как у них еще не так много опыта и они могут не заметить и не распознать угрозу вовремя», — отметил Луис Корронс.
»

Из россиян, ставших жертвами фишинга, чуть больше трети (38%) заявили, что им пришлось сменить пароли от аккаунтов, 29% заявили, что у них украли деньги, и у 15% украли личные данные. 29% жертв пришлось аннулировать кредитные или дебетовые карты — год назад об этом рассказали только 17% респондентов.

Опрос о фишинге 2021 был проведен среди 1372 пользователей Avast в России в Июле-Октябре 2021 года.

«Рубитех» - создатель системы мониторинга фишинговых сайтов

В ноябре 2021 года Минцифры заключило с компанией «Рубитех» контракт на создание системы мониторинга фишинговых сайтов. Победитель конкурса предложил реализовать проект за 128,3 млн рублей при начальной (максимальной) цене контракта в 132,2 млн рублей. Выполнить работу подрядчику нужно будет до 1 июня 2022 года. Подробнее здесь.

Массовое появление поддельных сайтов госуслуг

С 18 по 21 октября 2021 года в зоне .ru зарегистрировано было 48 доменных имен, имитирующих портал госуслуг (gosusliga.ru, gosusluni.ru и др.). Об этом сообщили эксперты Infosecurity a Softline Company. Подробнее здесь.

Россияне столкнулись с массовой вредоносной рассылкой якобы от ФНС

В конце сентября 2021 года Федеральная налоговая служба (ФНС) предупредила о вредоносной рассылке, которую начали злоумышленники, используя имя ведомства.

«
С 29 сентября в ФНС России поступают жалобы о получении подозрительных писем. Неизвестные от имени ФНС России рассылают сообщения на адреса корпоративной почты о том, что необходимо предоставить документы. Текст электронного письма составлен так, чтобы получатель открыл вложенный файл, — говорится в сообщении службы.
»

В ФНС напомнили, что ведомство не рассылает подобные сообщения и не имеет отношения к этим письмам. Уведомления о начисленных налогах налогоплательщики получают или в личных кабинетах, или по почте. Дополнительно на электронные адреса налогоплательщиков налоговые органы ничего не присылают.

Россияне столкнулись с массовой вредоносной рассылкой якобы от ФНС

30 сентября 2021 года «Лаборатория Касперского» сообщила, что эксперты компании зафиксировали вредоносную рассылку от имени ФНС – выявлено более 11 тыс. попыток запуска вредоносного вложения. При этом отмечалось, что реальное ведомство не имеет никакого отношения к данной рассылке.

По данным «Лаборатории Касперского», в письме есть вредоносный архив с паролем весом около 20 мегабайт, вложение относится к типу RMS – ПО для получения удаленного доступа. Приложение использует IP-адреса и домен в зоне .ru, при подключении к командным серверам задействованы порты 5651, 4443, 8080.

Открывшим вложение советуют скачать антивирус на зараженное устройство, отключить его от сети и в безопасном режиме перезагрузить, удалить временные файлы, запустить сканер, удалить вирус или переместить его в карантин, после чего перезагрузить компьютер, поменять пароли.

Продукты «Лаборатории Касперского» блокируют это вирусное ПО с вердиктом Backdoor.Win32.RABased.[15][16]

Мошенничество с использованием домена госорганов gov.ru

В июле 2021 года стало известно о новом виде мошенничества с доменом государственных органов gov.ru — его используют для рассылки фишинговых писем. Об этом сообщили в администрации сети RSNet (Russian State Network, сегмент интернета для российских органов власти). Подробнее здесь.

В России выявлено 1500 лжебанков

6 апреля 2021 года стало известно о выявлении в России 1529 лжебанков по итогам первого квартала. Это на 20% больше по сравнению с первыми тремя месяцами 2020-го. Об этом свидетельствуют данные компании BI.ZONE, специализирующейся на технологиях обеспечения информационной безопасности.

Мошенники маскируются под настоящие кредитные организации и обманом заставляют своих жертв вводить логины и пароли от своих реальных банковских аккаунтов или вносить предварительную комиссию для получения услуги по заниженной цене. Чтобы обезопасить себя, злоумышленники зачастую копируют фирменный стиль банка, и меняют одну-две буквы в юридическом названии.

«
Как с китайскими подделками известных брендов, — сравнил вице-президент банка «Ренессанс Кредит» Сергей Афанасьев в разговоре с «Известиями».
»

В России выявлено 1500 лжебанков по итогам первого квартала

Рост числа фишинговых сайтов лжебанков объясняется тем, что такой вид мошенничества является самым дешёвым и массовым, отметил директор блока экспертных сервисов организации Евгений Волошин. По его словам, злоумышленники активизировались в 2020 году на фоне массового перехода на удалёнку и не снижают темпов. В среднем на блокировку фишинговых сайтов уходит от 10 до 70 часов, но в отдельных случаях на ограничение доступа к ресурсу нужно несколько недель.

В кредитных организациях изданию подтвердили рост числа фейковых страниц, через которые у граждан выманивают данные банковских карт или сведения для входа в аккаунт кредитной организации. Помимо этого, злоумышленники зарабатывают на комиссиях или страховках, которые якобы необходимы человеку для получения услуг на выгодных условиях.

В банке «Тинькофф» сообщили, что в первом квартале 2021 года число подделок под их сайт выросло на 70% по сравнению с четвертым кварталом 2020-го. Глава службы информационной безопасности ГК «Элекснет» (входит в группу МКБ) Иван Шубин считает, что рост количества сайтов-подделок связан в том числе с широким распространением онлайн-кредитов в 2021 году.[17]

2020

Обнаружена фишинговая кампания, нацеленная на российские предприятия ТЭК

24 сентября 2020 года стало известно, что разработчик средств информационной защиты компания «Доктор Веб» опубликовала исследование фишинговой кампании, которая была нацелена на российские предприятия топливно-энергетического комплекса. Первая волна была датирована апрелем 2020 года, последние проявления активности случились в сентябре 2020 года. Подробнее здесь

В РФ зафиксирован резкий рост числа фишинговых доменных имен российских банков

В июле поставлен рекорд по фишингу среди клиентов российских банков: появилось 312 доменных имен, что больше, чем за все предыдущие месяцы 2020 года, вместе взятые, сообщил в августе "Коммерсант". С начала 2020 года общее количество таких доменов составило 618.

Две трети доменных имен оформлены через российских регистраторов, многие — в экзотических доменных зонах .cf или .icu.

Новые фишинговые сайты устроены по одной схеме. К официальному домену банка мошенники добавляют один или несколько символов или приставки "online", "cabinet", "vhod" и "login".

Такие сайты имитируют страницы входа в личный кабинет банковского обслуживания, причем атаки нацелены на корпоративный сектор. После ввода логина и пароля пользователю предлагается скачать плагин для браузера, под видом которого доставляется троян.

Роскачество предупредило о волне мошенничества с фишинговыми сайтами перед выборами

19 июня 2020 года Роскачество предупредило о волне мошенничества с фишинговыми сайтами перед выборами. Близится дата начала голосования по принятию поправок в Конституцию РФ. В Рунете начали появляться сайты-клоны портала по изменениям в основной закон страны — 2020og.ru. На доменах со схожими названиями и дизайном содержится только информация про голосование, однако ситуация, несомненно, изменится через 7 дней, когда начнется голосование. Как результат – нахлынет волна мошенничеств, связанных с фишинговыми сайтами.

«
«На 17 июня 2020 года экспертами обнаружено более 10 похожих доменов: 20200g.ru, 2020og-ru.ru и другие. Среди доменных имен, например, lk-gosuslug1.ru или rf-gosuslugi.ru, но пока однозначно связать их с темой голосования нельзя. С другой стороны, появляются подозрительные сайты, которые не пытаются копировать домены официальных порталов, но в названии обыгрывают тему голосования. Например, сайты golosovanie2020.ru или konstituciya-rf.ru»,
»

Пользуясь невнимательностью пользователей, мошенники начинают собирать персональные данные, с помощью которых в дальнейшем будут похищать денежные средства. Как не дать себя обмануть? Центр цифровой экспертизы Роскачества подготовил рекомендации по защите от мошеннических фишинговых сайтов.

Несколько базовых антифишинговых правил при обращении с электронными письмами:

  1. Обязательно нужно проверить адрес, с которого пришло письмо. Зачастую мошенники стараются делать адреса своих мошеннических сайтов очень похожими на оригинальные и при беглом просмотре письма может показаться, что все в порядке, но лучше все же проверить адрес, особенно если письмо чем-то выбивается из обычного стиля общения с этим адресатом (и точно всегда стоит проверять письма, пришедшие от кого-то впервые).
  2. Нужно проверить, является ли письмо обезличенным. Стоит обращать внимание на то, есть ли в письме имя, и к кому идет обращение. Иногда мошенники в письмах просто говорят «Привет» и не вписывают имени адресата, в других случаях адрес электронной почты адресата будет использоваться после «Привет». Такой безличный подход к контакту является еще одним признаком того, что за электронной почтой, скорее всего, стоит мошенник. Неправильное использование падежей (в случае, если преступники интернациональны) или механическая конструкция предложений также являются верным признаком того, что это фишинг.
  3. Нужно проверить даты. Иногда мошенники могут забыть указать верные даты. Например, в письме приглашают на мероприятие, но время данного мероприятия уже истекло.
  4. Проверить ссылки. Почти всегда мошенники в фишинговых письмах пытаются выдать себя за крупные компании и организации. В письме может находиться ссылка, ведущая на сайт, дизайн которого, как правило, копирует эту организацию. Лучше не переходить по таким ссылкам (сам акт перехода уже может запустить вредоносный процесс), но, если так получилось, что пользователь нажал на веб-сайт, считая его подлинным, обязательно нужно проверить, что это достоверный сайт компании. Для этого можно открыть новую вкладку и выполнить поиск организации. Нажать на их веб-сайт, а затем сравнить URL-адреса. Нужно взять за правило не переходить по ссылкам из писем, а вместо этого вручную вводить адрес сайта в поисковой строке. Если у пользователя есть учетная запись на сайте, на котором у него новое сообщение, нужно залогиниться вручную в браузере и проверить, действительно ли сообщение там есть. Если это не так, то полученное электронное письмо скорее всего было направлено мошенником.
  5. Нужно проверить запрашиваются ли банковские данные. Большинство легальных организаций не будет запрашивать банковские или иные персональные данные в письме. Личная информация включает в себя такие вещи, как номер кредитной карты, пин-код или код безопасности кредитной карты, девичья фамилия матери или любые другие ответы на вопросы безопасности, которые мог ввести пользователь. Если в электронном письме просят обновить или повторно ввести личные или банковские данные, это практически всегда мошенничество.
  6. Давление, упор на спешку. Мошенники попытаются оказать давление, побуждая пользователя действовать прямо сейчас или упустить предложение. Нельзя торопиться, нужно сделать все возможные проверки подлинности сообщения.
«
«Еще раз необходимо подчеркнуть, что именно от действий пользователя (попадется ли он «наживку» фишера) зависит в девяти из десяти случаев, будет ли скомпрометирован его телефон или компьютер (что практически одно и то же в современной домашней цифровой экосистеме, когда устройства работают в рамках одной сети). Совет — нужно быть внимательным и проверять все, что приходит, не открывать все подряд на автомате»,
»

Согласно исследованию Positive Technologies, для эксплуатации 87% уязвимостей в мобильных приложениях злоумышленнику предварительно «требуются какие-либо действия со стороны пользователя». Как правило речь идет про фишинговые рассылки и последующее посещение подозрительных сайтов по ссылкам из писем, мессенджеров или SMS. Безопасность ослабляют также такие факторы, как повышение привилегий в мобильной ОС до административных и установка приложений не из официальных магазинов App Store и Google Play.

Роскачество дало рекомендации по борьбе с фишингом:

  1. Обязательно игнорировать все ссылки и вложения, которые размещены в письмах с незнакомых адресов. Как правило, в подобных файлах, скрывающихся под отчеты или непонятные графические изображения, могут быть серьезные вирусные программы.
  2. Нужно убедиться, что антивирусное программное обеспечение всегда включено и обновлено до последней версии, поскольку это обеспечит дополнительный уровень защиты, если пользователь все же случайно загрузил компьютерный вирус после нажатия на ссылку или загрузки вложения.
  3. Регулярно создавать резервную копию всех важных файлов. Если все рубежи антивирусной защиты будут преодолены, и пользователь потеряет важные файлы, то хотя бы их копия будет в сохранности. Хранить копию физически на отдельном диске или в облаке (в этом случае обязательно защитить файлы паролем).[18]

Райффайзенбанк предупреждает о новой схеме фишинга в e-commerce

Райффайзенбанк проанализировал активность мошенников в сегменте e-commerce. Согласно данным банка, с января 2020 года они более активно используют поддельные веб-страницы, вовлекая доверчивых граждан в схемы, связанные с `дешевой покупкой` и `возвратом` денег за товары на крупнейших ecommerce-площадках. Эти данные частично подтверждает статистика `Лаборатории Касперского` – с начала года антифишинговые базы компании были пополнены более чем 4 тысячами русскоязычных фишинговых ресурсов, притворяющихся известными онлайн-магазинами.

Мошенники используют фишинговые страницы, которые имитируют `платежные сервисы` известных e-commerce площадок, заманивая покупателей возможностью выгодно купить, продать или вернуть товар. Для этого `продавец` в личном сообщении предлагает перейти на страницу, имитирующую страницу e-commerce ресурса, и предлагает ввести данные карты. После получения данных карт мошенники используют их для оплаты онлайн-покупок, пытаются вывести средства с помощью card-to-card перевода или продают в Darknet.

Для того, чтобы усыпить бдительность, мошенники используют такие формулировки, как `передали товар в службу доставки`, объясняя этим отказ от безопасной сделки на сайте площадки и предлагая провести `безопасный платеж`/ `безопасную сделку` через ссылку, присланную в сообщении.

Чтобы защититься от уловок мошенников во время онлайн-покупок, не забывайте, что:

  • Настоящие онлайн-магазины или ecommerce-площадки всегда используют принцип безопасной сделки;
  • Внимательно оценивайте предложение: если товар стоит значительно меньше, чем в других магазинах, вероятно, это мошенники;
  • Перед покупкой сделайте хотя бы минимальную проверку интернет-магазина — изучите сайт, почитайте отзывы клиентов, информацию по ИНН организации. Проверьте, как осуществляется доставка из интернет-магазина, ее сроки, есть ли пункт самовывоза товаров. Для неизвестных сайтов лучше поискать отзывы в интернет;
  • Отдельное подозрение должно вызывать использование небезопасного протокола http вместо https;
  • Лучше использовать уникальный сложный пароль для каждого из своих аккаунтов, даже если речь идёт про онлайн-магазины, а также, где это возможно, настроить двухфакторную авторизацию для входа. Не используйте пароли от социальных сетей и банковских программ для онлайн-магазинов;
  • Перед вводом данных карты проверьте название ресурса, на котором их вводите. Переходите на ссылки для оплаты только с проверенных ресурсов. Заведите отдельную карту для онлайн-покупок и пополняйте её нужной суммой непосредственно перед оплатой;
  • Подключите оповещения или регулярно просматривайте транзакции по карте в интернет-приложении банка. Это снизит риск того, что сумма будет списана незаметно, так как зачастую мошенники проверяют правильность карточных данных, совершая транзакции на небольшие суммы. Это также поможет предотвратить дальнейшие списания при своевременной блокировке карты.

Фишинговая схема с курьерской доставкой онлайн-заказов

19 мая 2020 года стало известно о новой фишинговой схеме, которую мошенники начали активно применять в период самоизоляции россиян в условиях пандемии коронавируса COVID-19. Речь идёт об аферах с курьерской доставкой онлайн-заказов.

Как сообщает Group-IB, на сервисах бесплатных объявлений злоумышленники создают приманки — публикации о продаже товаров по заниженным ценам. Чтобы обойти защиту доски объявлений, злоумышленники через сервис только связываются с жертвой, после чего предлагают перейти в мессенджер, чтобы «обсудить покупку». После этого они узнают у покупателя ФИО, адрес и номер телефона якобы для оформления доставки и просят заполнить форму на странице, похожей на сайты известных курьерских служб. На самом деле это фальшивка, а данные банковской карты уходят мошенникам. Средний чек одной такой «покупки» составляет примерно 15–30 тыс. рублей.

Мошенники в России зарабатывают сотни тысяч в день на фейковой курьерской доставке интернет-заказов

Отмечается, что у всех участников преступного сообщества — свои роли. Одни создают фишинговые ресурсы, нанимают «сотрудников» и распределяют сворованное. Другие выкладыват «приманки» на ресурсах бесплатных объявлений и общаются с «клиентами», называя их «мамонтами». Третьи обзванивают жертв и «разводят» их на «возврат» денег.

Group-IB направила почти 250 фишинговых ресурсов, работающих по схеме с фейковой курьерской доставкой товаров, заказанных через интернет. Эксперты раскрыли преступную группировку Dreamer Money Gang (DMG), которая организовала фишинговую схему через Telegram-бот. Ежедневный оборот DMG превысил 200 тыс. рублей.

Выручка другой преступной группы (название не указано) стремительно росла в последние месяцы. Так, в январе мошенники заработали 784, 6 тыс. рублей, в феврале — 3,5 млн рублей, в марте — 6,2 млн рублей, а в апреле — 8,9 млн рублей.[19]

Число мошеннических сайтов в России за год удвоилось

К концу марта 2020 года количество мошеннических сайтов в России удвоилось по сравнению с аналогичным периодом 2019-го, а число переходов на такие ресурсы увеличились 10-кратно — до 15 млн. Такие данные 6 мая 2020 года привели в «Лаборатории Касперского».

Специалисты компании выявили около 10 тыс. фишинговых сайтов, на которых у россиян пытаются выманить деньги. Схемы встречаются разные. В них, как правило, пользователям обещают крупное денежное вознаграждение за прохождение опроса или участие в голосовании. Чтобы получить деньги, человеку необходимо оплатить «комиссию» или «закрепительный платеж». Обычно это небольшая сумма порядка 200 рублей. Но никаких выплат пользователь не увидит, а «комиссия» достается злоумышленникам. В дополнение человек рискует сохранностью своей платежной информации, если вводил данные карты.

К концу марта 2020 года количество мошеннических сайтов в России удвоилось по сравнению с аналогичным периодом 2019-го

Если бы каждая заблокированная попытка перехода на мошенническую страницу повлекла за собой обман хотя бы одного пользователя, то потенциальная сумма ущерба только в первом квартале 2020 года могла превысить 3 млрд рублей, оценивают в «Лаборатории Касперском».

По данным компании, самыми привлекательными категориями для мошенников являются банки, пенсионные фонды, знаменитости и государственные лотереи, последние из которых стали активно использовать злоумышленники именно в начале этого года.

Кроме того, в поле зрения злоумышленников попали государственные лотереи. «Лаборатория Касперского» обнаружила 219 псевдолотерейных мошеннических ресурсов, на которых аферисты просят перевести деньги за оформление выигрыша. Злоумышленники создают фишинговые сайты для сбора личных данных, рассылают по электронной почте и SMS-ссылки на них и просят пользователей ввести личные данные — пароли и реквизиты карты, а затем крадут деньги со счетов.[20]

МВД и Group-IB задержали администраторов мошеннического онлайн-сервиса, торговавшего поддельными пропусками

Сотрудники московского уголовного розыска при содействии экспертов Group-IB, международной компании, специализирующейся на предотвращении кибератак, задержали администраторов мошеннического сервиса, продававшего фейковые цифровые пропуска на период карантина для жителей Москвы и регионов России. Об этом Group-IB сообщила 27 апреля 2020 года. Всего эксперты обнаружили 126 мошеннических интернет-ресурсов — сайтов, каналов и групп в соцсетях, где незаконно продают поддельные справки и пропуска. Больше половины сервисов уже заблокировано.

Первые мошеннические схемы по продаже электронных пропусков, по данным Group-IB, появились в конце марта -начале апреля 2020 года, когда столичные власти ужесточили требования к самоизоляции и ограничили передвижения по городу. Указом мэра Москвы были установлены три официальных способа бесплатного получения цифровых пропусков: онлайн на портале mos.ru, по телефону +7 (495) 777-77-77 и по SMS на номер 7377. Однако, начиная с 13 апреля, Group-IB фиксировала взрывной рост регистрации мошеннических сервисов: сайтов, Telegram-каналов, VK, ОК и Instagram-аккаунтов, предлагающих купить справки-пропуска на период карантина по цене в среднем от 3000 до 5500 рублей.

Эксперты отдела расследований Group-IB вычислили администраторов одной из преступных групп, предлагавших через популярный мессенджер покупку пропусков для свободного передвижения по Москве, Санкт-Петербургу и Краснодару. Мошенники представлялись сотрудниками правоохранительных органов и в личной переписке обещали помочь клиентам с оформлением пропусков, как они утверждали, по «серой схеме через портал Госуслуг» . Для получения поддельного пропуска интернет-аферисты просили прислать им паспортные данные, и, если требовался пропуск на автомобиль — его госномер. Однако после получения денег на банковскую карту, мошенники удаляли чат с жертвой, включив ее телефон в «черный список». За две недели работы сервиса мошенники смогли совершить несколько сделок — цена их услуг варьировалась от 2500-3500 рублей. Как правило, жертвой мошенничества стали те, кто особенно сильно волновался из-за ограничения передвижения и не дождался начала официального оформления пропусков.

В ходе расследования сотрудниками угрозыска и экспертами Group-IB были получения доказательства, подтверждавшие причастность двух жителей Москвы и Подмосковья, 19 и 23 лет, к администрированию сервиса. Оба подозреваемых были задержаны 21 апреля, дали признательные показания. Возбуждено уголовное дело по признакам преступления, предусмотренного статьей 159 УК РФ (Мошенничество). Во время обыска были изъяты мобильные телефоны и ноутбуки.

«
В последнее время мошенники очень активно используют темы коронавируса, самоизоляции и введения пропускного режима для схем: фейковых рассылок, обзвонов от имени соцзащиты, предложений покупки цифровых пропусков. Опасность в том, что жертвы, оплачивая пропуск, могут не только потерять деньги, данные банковских карт, но и персональную информацию. Получив данные паспорта, мошенники могут взять на имя жертвы кредит в микрофинансовых организациях или оформить потребительский кредит,
предупреждает руководитель отдела расследований Group-IB Сергей Лупанин
»

По данным на 26 апреля 2020 года, Департамент инновационной защиты бренда и интеллектуальной собственности Group-IB обнаружил 126 мошеннических ресурсов, торгующих цифровыми пропусками: 25 сайтов, 35 групп и аккаунтов в соцсетях и 66 телеграм-каналов. Group-IB уже заблокировала 78 ресурсов, остальные - в процессе блокировки. Работа по мониторингу продолжается.

Group-IB выявила мошенническую схему под видом премии «Лайк года 2020»

20 февраля 2020 года компания Group-IB сообщила, что совместно с Rambler Group выявила многоступенчатую мошенническую схему под видом фиктивной Ежесезонной премии «Лайк года 2020». В рамках масштабной фишинговой атаки пользователям предлагалось выиграть крупный денежный приз за случайно выбранный лайк, поставленный ими в соцсетях. В общей сложности было обнаружено более 1000 связанных доменов, использовавшихся в атаке.

Премия «Лайк года 2020» награждает фишингом

По информации компании, для привлечения желающих получить премию мошенники взломали почтовые серверы одного из операторов фискальных данных (ОФД) и массово рассылали пользователям Рунета сообщения от имени «команды Rambler». После обращений пользователей в Rambler Group, компания провела свое расследование и привлекла Group-IB к реагированию на инцидент.

Центр реагирования на киберинциденты CERT-GIB Computer Emergency Response Team - Group-IB выявил, что мошенники использовали несколько векторов атаки для заманивания пользователей к участию в премии «Лайк года 2020». Помимо рассылки почтовых сообщений они также доставляли фишинговые сообщения через другие каналы, в частности, направляли оповещения о денежном вознаграждении в Google-календарь. Используя распространенные методы социальной инженерии, основанные на желании выигрыша, мошенники в течение длительного времени выманивали данные банковских карт пользователей. Тема посланий так или иначе была связана с денежными выплатами. Получателей поздравляли с победой в конкурсе и с денежным призом, который составлял от 100$ до 2 000$.

В результате проведенных мероприятий рассылка под видом Rambler Group была остановлена. Со своей стороны, Rambler Group связалась с публичными почтовыми сервисами, предупредила их об атаке и попросила превентивно перемещать мошеннические письма в «Спам». В рамках дальнейшей работы специалистам Group-IB удалось заблокировать большинство связанных с атакой сайтов, на которые осуществлялись переходы из полученных писем и приглашений. В общей сложности схема насчитывает более 1000 доменов. На февраль 2020 года работа по блокировкам продолжается.

«
Мы обращаем особое внимание пользователей на подобные фишинговые атаки. Чаще всего мошенники прикрываются известными брендами и компаниями, чтобы втереться в доверие получателей, собрать их личные данные и использовать их в корыстных целях. Получив подозрительное письмо, стоит к нему отнестись с осторожностью – не переходить по указанным ссылкам. Поэтому мы советуем в таком случае связаться с представителями бренда и уточнить, действительно ли была такая рассылка.

рассказал Илья Зуев, директор по кибербезопасности Rambler Group
»

«
Мы тестировали схему «Лайк года» на десктопе и мобильных платформах – она везде качественно сверстана и на всех этапах реализации призвана вызвать доверие у пользователя. Этим объясняется ее длительный период активности. Помимо «лайка», графовый анализ выявляет порядка 6 различных сценариев мошеннических кампаний с одинаковой логикой, включая, например, выплаты от несуществующего «Фонда видеоблогеров», Центры финансовой защиты и другие. С каждым сценарием связано от 100 до 350 доменов. Это достаточно разветвленная инфраструктура. В некоторых сценариях почтовые адреса, использующиеся в качестве поддержки и консультации, были зарегистрированы на украинские номера.

рассказал Ярослав Каргалев, замруководителя CERT-GIB
»

Атаку «Лайк года» отличает ряд особенностей. Использование календаря в сервисе Gmail на февраль 2020 года является относительно свежим трендом в социальной инженерии. При настройках календаря по умолчанию данные приглашения автоматически добавляются в него вместе с напоминанием. Таким образом любой пользователь Google-календаря может отправить приглашение на мероприятия другим пользователям Gmail, даже если их нет в его адресной книге. В итоге жертва получит уведомление о создании события на почту. Ключевые слова в содержании будут следующими: "банк, одобрена, выплата денежных средств, программа, возмещение, получение, согласовано, федеральная, служебная, реквизиты" и т. д.

Премия «Лайк года 2020» награждает фишингом

В обоих случаях при клике на ссылку в письме или приглашении, пользователь попадает на сайт-приманку. На экран выводится сумма выигрыша, например, 1735$, а для создания доверия к конкурсу здесь же, на сайте, размещаются восторженные отзывы якобы уже выигравших свой приз пользователей.

Премия «Лайк года 2020» награждает фишингом

Далее на связь выходит «оператор», который консультирует пользователя о дальнейших шагах. В данном случае вместо стандартного окна чата с аватаркой для большей реалистичности мошенники используют видео, в окне рядом демонстрируются инструкции.

Премия «Лайк года 2020» награждает фишингом

Затем редирект – на этот раз пользователя просят ввести номер банковской карты для перевода ему выигрыша. Следующий этап схемы – твист (термин, обозначающий неожиданный поворот в кино): банк внезапно отклоняет карту пользователя. Для решения проблемы предлагается конвертировать валюту, так как выплата может быть произведена только в рублях. Пользователю необходимо заплатить небольшую комиссию – порядка 270 рублей.

Премия «Лайк года 2020» награждает фишингом

Пользователь соглашается оплатить комиссию. Кульминация схемы – редирект на сайт с «безопасным» вводом банковских реквизитов: номера карты, срока действия и CVV, чтоб оплатить комиссию на якобы верифицированном всеми возможными платежными системами сервисами.

Премия «Лайк года 2020» награждает фишингом

Именно здесь происходит кража данных банковской карты пользователя. В схеме с «Лайком года» на последнем этапе ввода данных используется реальный платежный шлюз. То есть «комиссию» мошенники действительно списывают, но их основная цель – данные карты. Как правило, в дальнейшем коллекции текстовых данных карт продаются в кардшопах или же на них приобретаются товары с целью дальнейшей перепродажи и обнала.

Для того чтобы не стать жертвой мошенников, необходимо знать основы цифровой гигиены и постоянно обновлять свои знания. Ниже несколько советов от Rambler Group о том, как самостоятельно определить признаки фишинга и защитить свой аккаунт:

  • Пользователю необходимо отнестись с опаской к сообщениям и формам, в которых просят указать личные данные.
  • Пользователю необходимо отключить возможность автоматического добавления приглашений и мероприятий в Google-календарь (Настройки>> Мероприятия>> Автоматическое добавление мероприятий (отключить)).
  • Не стоит переходить по ссылкам, присланным в подозрительных или непонятных сообщениях электронной почты или через социальные сети.
  • Пользователю не стоит загружать и запускать вложенные файлы из сообщений электронной почты, которые пользователь не ожидал.
  • Пользователю необходимо внимательно анализировать адреса сайтов, на которые ведут ссылки из писем.
  • На всех аккаунтах, где это возможно, рекомендуется подключить двухфакторную аутентификацию. Это поможет, если основной пароль попал к взломщикам.
  • Необходимо своевременно обновлять системное и прикладное ПО и устанавливать обновления безопасности.

2019

"Лаборатория Касперского" рассказала о схеме корпоративного фишинга, имитирующей процесс аттестации сотрудников

По словам старшего контент-аналитика «Лаборатории Касперского» Татьяны Щербаковой, малоизвестная схема корпоративного фишинга имитирует процесс аттестации сотрудников компании. Об этом стало известно 6 ноября 2019 года.

По ее словам, о данном способе фишинга Лаборатория Касперского узнала от своих клиентов. Мошенники отправляют на адреса сотрудников различных компаний, в том числе банковской сферы, письма с поддельными ссылками, в которых содержится предложение пройти оценку знаний и навыков на якобы HR-портале, авторизовавшись с логином и паролем от рабочей почты.

В результате мошенники могут получить доступ к корпоративной переписке, в том числе к логинам и паролям от баз данных с персональной информацией клиентов или к самим базам, если они пересылаются в открытом виде.

Алексей Голенищев, директор по мониторингу электронного бизнеса Альфа-Банка, согласился назвать описанный метод «новой схемой» корпоративного фишинга, но рамках «рассылок мошеннических электронных писем».

«
Раньше это были письма с раскрываемыми «зараженными» вирусами файлами, ссылками на фейковые ресурсы и пр. Очевидно, знания и опыт пользователей корпоративных компьютерных систем растет, в т.ч. в части безопасности, и мошенникам приходится придумывать все новые схемы
поделился Алексей Голенищев
»

Однако эксперт считает, что с помощью описанной схемы фишинга можно выудить логины и пароли от корпоративной почты конкретных сотрудников, если в компании не уделяется должное внимание внешней и внутренней ИТ-безопасности[21].

Кибератака группы Silence на российские банки под видом приглашения на форум

18 января 2019 года Group-IB сообщила о масштабной волне вредоносных рассылок группы Silence в России. С начала года это самая крупная атака, насчитывающая более 80 000 получателей — сотрудников российских кредитно-финансовых организаций, среди которых основную долю занимают банки и крупные платежные системы.

Массовая атака началась с фишинговых рассылок Silence 16 января. Вредоносное вложение было замаскировано под приглашение на iFin-2019. Подробнее здесь.

2018

Хакеры под видом ЦБ атаковали российские банки через фишинг

15 ноября 2018 года хакерская группа Silence атаковала российские банки, сообщил «Коммерсантъ»[22]. Под видом ЦБ РФ злоумышленники разослали письма с вредоносным программным обеспечением. Для этого атакующие стилизовали письма и документы под те, которые рассылает Банк России. По мнению экспертов, образцы этих документов хакеры получили, взломав почтовые ящики сотрудников банков.

Хакерская группа Silence атаковала российские банки

О том, что российские банки получили вредоносную рассылку якобы с почтового ящика ЦБ РФ, рассказали в Group-IB и подтвердили в «Лаборатории Касперского». Хакеры подделали адрес отправителя, но по какой-то причине не стали использовать SSL-сертификаты для прохождения проверки на подлинность. В общей сложности получателями ноябрьской рассылки, по данным Group-IB, оказались как минимум 52 банка в России и 5 банков за рубежом. Письма, озаглавленные как «Информация центрального банка Российской Федерации», предлагали банкирам ознакомиться с постановлением «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Для этого получатель должен был распаковать архив.

Распаковка архива приводила к загрузке вредоносной программы Silence.Downloader. Этот инструменты используют хакеры из Silence.

«
Стиль и оформление письма практически идентичны официальным рассылкам регулятора, — рассказали в Group-IB. Скорее всего, хакеры имели доступ к образцам подлинных сообщений.
»

В компании полагают, что для этого злоумышленники или взломали почтовые ящики сотрудников банка, либо занимались или занимающиеся легальной работой — пентестами (тестированием безопасности компьютерных систем с помощью моделирования хакерской атаки) и реверс-инжинирингом (попытками воспроизвести код каких-либо программ). Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем, полагают в Group-IB.

До этого аналогичная атака была зафиксирована 23 октября. Тогда якобы с адреса ФинЦЕРТ (структуры ЦБ, занимающейся кибербезопасностью) банки получили письмо с вложениями, стилизованными под документы регулятора, которые содержали в себе вредоносную программу — загрузчик Meterpreter Stager. Для управления этой атакой использовались самоподписанные SSL-сертификаты.

Серверная инфраструктура, используемая атакующими, ранее использовалась в атаках, за которыми предположительно стояли хакеры из группировки MoneyTaker.

«
Silence и MoneyTaker являются двумя из четырех наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций, — считает эксперт по киберразведке Рустам Миркасымов. — Хакеры из MoneyTaker используют все возможные векторы атак на банки, а Silence в свою очередь менее изобретательны и пользуются только безотказным и проверенным способом атаки — фишинговыми письмами. Но, в отличие от своих коллег, уделяют больше внимания содержанию и оформлению текста писем.
»

«
Атакующие используют известный и по-прежнему очень эффективный метод — получают доступ к внутренней банковской сети и закрепляются в ней, — пояснил «Коммерсанту» ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. — В течение долгого времени киберпреступники изучают внутреннюю инфраструктуру сети и производят запись с экранов машин сотрудников банка.
»

После анализа того, как используется внутрибанковское программное обеспечение, хакеры осуществляют перевод денежных средств из банка.

Silence — малочисленная российская хакерская группа, зафиксированная в 2016 году. Эксперты полагают, что за ними числятся атаки на системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР. Хакеры атакуют цели в основном в России, Украине, Белоруссии, Азербайджане, Польше и Казахстане.

Ежедневное количество успешных фишинговых атак в России выросло до 1274

9 октября 2018 года Group-IB представила парадигму информационной безопасности.

Атаки на клиентов банков

Веб-фишинг – метод хищений, который показал рост и в России, и на международном рынке в 2018 году. Количество групп, которые создают фишинговые сайты под российские бренды выросло с 15 до 26. В России общее количество ежедневных успешных фишинговых атак выросло до 1274 (ранее – 950). С помощью web-фишинга в России было похищено 251 млн. рублей, что на 6% больше, чем в 2017 году.

На международном рынке, в отличии от прошлого периода, первую позицию заняли фишеры, нацеленные на облачные хранилища, а не на финансовый сектор. По объему фишинговых сайтов в мире США занимает 1 место (80%), 2 место – Франция, 3-е – Германия. Согласно отчету Group-IB, 73% всех фишинговых ресурсов попадают в следующие три категории:

  • облачные хранилища (28%),
  • финансовые (26%),
  • онлайн-сервисы (19%).

Мошенничество с банковскими картами остается в числе наиболее опасных угроз для физических лиц: недостаточное распространение систем поведенческого анализа при проведении транзакций приводит не только к прямому ущербу, но и к росту бизнеса кард-шопов. Ежемесячно в мире для продажи в кард-шопах загружаются около 686 тысяч текстовых данных скомпрометированных банковских карт и 1.1 млн дампов. Общий объем рынка кардинга за анализируемый период составил – $663 млн.

Снижение угроз со стороны банковских троянов для ПК в России продолжается с 2012 года. Атаки на физических лиц ушли в прошлое, а ущерб для юридических лиц по итогам отчетного периода сократился еще на 12% и составил 547 800 000 ₽ (8,3 млн).

Рынок Android-троянов после нескольких лет роста остановился в России, но продолжает развиваться на мировой арене. Количество проводимых ежедневных хищений с помощью Android-троянов в России снизилось почти в три раза. Также стоит отметить и сокращение среднего размера хищений. Если в 2017 году он был 11 тысяч рублей, то в этом году уже 7 тысяч.

На международном рынке ситуация радикально отличается: за анализируемый период было выявлено 6 дополнительных троянов для ПК, а также выложены либо проданы исходные коды еще 5 троянов.

Саботаж и шпионаж – главные цели проправительственых хакеров

Фокус перспективной разработки и инноваций в создании сложных вирусов, а также проведении многоступенчатых целевых атак сместился от финансово-мотивированных киберпреступников к проправительственных хакерам. Их действия направлены на обеспечение долговременного присутствия в сетях объектов критической инфраструктуры с целью саботажа и шпионажа за компаниями энергетического, ядерного, коммерческого, водного, авиационного и других секторов.

В топ-3 стран происхождения самых активных проправительственных хакерских групп входит Китай, Северная Корея и Иран. Шпионаж также остается ключевым направлением деятельности групп, спонсируемых государствами разных стран. Азиатско-Тихоокеанский регион (APAC) по итогам H2 2017 – H1 2018 стал самым активно атакуемым хакерами разных стран. За год здесь была зафиксирована активность 21 различных групп, что больше чем в США и Европе вместе взятых. Еще одним вектором шпионажа в Group-IB называют взлом домашних и персональных устройств должностных лиц государств.

В отчете Group-IB представлены порядка 40 активных групп, но их гораздо больше. Они спонсируются различным государствами, среди которых: Северная Корея, Пакистан, Китай, США, Россия, Иран и Украина. Страновую принадлежность части групп пока установить не удалось. Как правило, обнаруженные группы или правительственные кампании уже существовали несколько лет, но по разным причинам не были замечены. В разделе отчета Group-IB, посвященном атакам на критическую инфраструктуру делается неутешительный вывод: ландшафт APT-угроз, характерный для каждого региона постоянно меняется, хакеры стараются пользоваться широко распространенными инструментами, в том числе для тестов на проникновение, что затрудняет работу исследователей. Отсутствие данных об обнаруженных атаках в отдельной стране или секторе экономике, скорее всего, означает, что о них пока не известно, а не о том, что они отсутствуют.

Финансовый сектор вновь под угрозой

Традиционно один из самых обширных блоков отчета посвящен тактике атакующих и ущербу, нанесенному киберпреступниками финансовым организациям. В 2018 году была раскрыта хакерская группа – Silence. Помимо нее самыми опасными для банков во всем мире являются MoneyTaker, Lazarus и Cobalt. Они способны взломать банк, добраться до изолированных финансовых систем и вывести деньги. Три группы из четырех – русскоговорящие.

В среднем, каждый месяц в России успешно атакуют 1-2 банка: средний ущерб от атаки – 132 млн. руб ($2 млн). Эксперты Group-IB констатируют, что количество целенаправленных атак на банки с целью хищения через SWIFT за отчетный период увеличилось в три раза. Среднее время для обналичивания денег из банкомата дропами или мулами составляет всего около 8 минут.

Среди других наиболее вероятных регионов возникновения киберпреступных организаций – Латинская Америка, а также Азиатские страны. Скорее всего их первыми целями будут банки. Эксперты Group-IB предупреждают, что коллаборация хакерских групп, применение ими легальных инструментов и умышленное копирование тактики друг друга приведут к многочисленным ошибкам в атрибуции.


Крипто-индустрия

Около 56% всех средств, украденных с ICO, были похищены с помощью фишинговых атак. В 2017 и 2018 годах внимание хакеров возросло к атакам с целью взлома криптобирж. Всего было ограблено 14 криптовалютных бирж. Общий ущерб – более $882 млн.

Криптоджекинг (скрытый майнинг), как направление мошенничества, получило наибольшее развитие в 2017-2018 гг. После выхода ПО для скрытого майнинга Coinhive, появилось еще 7 программ подобного типа. Эксперты Group-IB прогнозируют, что крупнейшие майнеры в мире могут стать целью не только киберпреступников, но и прогосударственных атакующих. При определенной подготовке это может позволить им взять под контроль 51% мощностей для майнинга и захватить управление криптовалютой. Сразу 5 успешных «атак 51%» было зафиксировано в первой половине 2018: сумма прямого финансового ущерба составила от 0,55 млн до 18 млн долларов.

Технологии взлома

Если в 2017 году основное внимание специалистов по безопасности было связано с эпидемиями WannaCry, NotPetya, BadRabbit, то начало 2018 года показало, что очередной источник глобальной угрозы информационной безопасности – это side-channel атаки и уязвимости микропроцессоров разных вендоров. В отчете Group-IB анализируется множество примеров, показывающих реальную опасность «брешей» аппаратного обеспечения и их ключевую проблему: все эти уязвимости невозможно быстро и эффективно закрыть при помощи программных обновлений. Именно поэтому исследовательская активность, посвященная поиску уязвимостей в BIOS/UEFI усиливается с каждым годом пропорционально возросшему количеству угроз, которые используются в реальных целенаправленных атаках. При этом о них становится известно благодаря утечкам, а не исследованию атак: на рынке нет решений, которые могли бы эффективно выявить такие угрозы.

В Group-IB констатируют, что исследования, посвященные поиску уязвимостей в BIOS/UEFI, а также разработка реальных эксплойтов – достаточно трудоемкие и дорогие процессы: не так много хакеров способны выполнять такие атаки, но эта ситуация может измениться, что в корне изменит подход к кибербезопасности в ближайшие годы.

Снижение доли Рунета в общем числе сайтов с фишингом или вредоносным ПО

5 июля 2019 года компания Group-IB сообщила о том, что российская доменная зона, по итогам 2018 года достигла рекордных показателей по снижению объема токсичных сайтов. Об этом сообщил Центр реагирования на инциденты кибербезопасности CERT-GIB Computer Emergency Response Team - Group-IB. При росте на 30% в 2018 году числа потенциально опасных ресурсов, содержащих фишинг или вредоносное программное обеспечение (ВПО), на долю Рунета пришлось менее 20% таких сайтов, тогда как в 2017 доля токсичных ресурсов в зоне РУ составляла почти 50% среди всех заблокированных специалистами CERT-GIB. Кроме того, специалисты отмечают, что фишинг становится более дешевым и изощренным, но злоумышленники постепенно уходят из РУ. Пользователи по-прежнему открывают вредоносные exe-файлы, а HTTPS больше не синоним безопасности.

В Group-IB отметили, что несмотря на 30-процентное увеличение количества опасных веб-сайтов, содержащих фишинг или вредоносное ПО, обнаруженных и заблокированных CERT-GIB (c 4264 веб-сайтов в 2017 до 6217 в 2018 году), использование доменов в зоне РУ стало менее привлекательным для злоумышленников: количество опасных доменов, заблокированных CERT-GIB в Рунете, уменьшилось на 40% по сравнению с 2017 годом. Злоумышленники все чаще отдают предпочтение зоне .com: количество токсичных ресурсов там увеличилось почти в 3 раза в 2018 году. Также злоумышленники стали чаще выбирать домены верхнего уровня «New gTLD» (.online; .website; .space и т.д.).

Group-IB сообщила, что российская доменная зона достигла рекордных показателей по снижению объема токсичных сайтов

Такой тренд объясняется в том числе активной работой команд по мониторингу и реагированию на компьютерные инциденты и усилиями Координационного центра доменов .RU/.РФ по созданию благоприятных условий для работы компетентных организаций. Благодаря расширению международной партнерской сети и автоматизации процессов обнаружения вредоносного контента, среднее время от момента реагирования CERT-GIB до нейтрализации вредоносного контента сократилось на 20% в 2018 году по сравнению с прошлым годом.

Общее количество фишинговых ресурсов, располагающихся в различных доменных зонах, включая РУ, выявленных и заблокированных CERT-GIB в 2018 году, увеличилось на 44% по сравнению с 2017 годом. Каждый квартал, в среднем, рост составлял 15%. Так, 2018 году в рамках работы CERT-GIB была приостановлена деятельность 4494 сайтов, использующихся в целях фишинга.

Group-IB сообщила, что российская доменная зона достигла рекордных показателей по снижению объема токсичных сайтов

Однако, только 10% из этого количества пришлось на домены в российской зоне – 458, в то время как в 2017 году на их долю приходилось 27%. Количество ресурсов, распространяющих или управляющих вредоносным ПО в российской зоне в 2018 году также сократилось на 44% по сравнению с 2017 годом. Общее же количество таких ресурсов, выявленных и заблокированных CERT-GIB, осталось на уровне 2017 года – 1736 веб-ресурсов в 2017 и 1723 сайта в 2018 году соответственно.

2017

По инициативе Сбербанка за год в России выявлено свыше 600 фишинговых доменов и 1300 сайтов с вирусами

По инициативе Службы кибербезопасности Сбербанка с начала года в российском интернет-пространстве было выявлено и закрыто свыше 600 доменных имён, использовавшихся для фишинговых атак, около 200 мошеннических площадок и более 1300 сайтов, распространявших вредоносное программное обеспечение. Об этом 15 сентября 2017 года заявили в Сбербанке.

«
Мы уделяем самое пристальное внимание вопросам борьбы с фишингом, — заявил заместитель председателя Правления Станислав Кузнецов. — Однако выявить и провести необходимые действия по сайтам преступников — полдела. На «удочку» мошенников попадаются люди доверчивые, не обладающие должными навыками защиты от киберфрода. Именно поэтому приоритеты Сбербанка сдвигаются в сторону профилактических мер по повышению финансовой грамотности населения.
»

По информации Сбербанка, одна из самых распространённых схем фишеров следующая: жертве приходит сообщение заманчивого или, наоборот, пугающего содержания с предложением либо направить персональные данные (логины, пароли банковских карт), либо перейти по ссылке на некий сайт, на котором опять же нужно ввести свои данные. Более 48% интернет-пользователей, получающих фишинговые письма, откликаются на них и становятся жертвами преступников.

Поскольку целью номер один для фишеров являются финансовые сервисы, большинство из которых составили онлайн-банки, Сбербанк разработал для представителей сферы специальную программу повышения уровня киберграмотности, включающую интерактивные курсы и последующее определение признаков фишинговых атак на практике.

Центробанк за 8 месяцев выявил 481 мошеннический сайт

В отчете Центра мониторинга и реагирования на компьютерные атаки в финансовой сфере (ФинЦЕРТ) отмечается, что «с 1 января по 1 сентября 2017 года Центр отправил информацию о 481 домене различной мошеннической тематики, подлежащем разделегированию».

По итогам рассмотрения 367 доменов были заблокированы регистраторами. Среди них такие ресурсы, как 84 сайта с Р2Р переводами, собирающие данные платежных карт пользователей (имя владельца, номер, срок действия, код подлинности карты) в противоправных целях, 44 ресурса лжебанков, 45 «страховых компаний» и 39 финансовых пирамид.

Также блокируется от 20 до 30 сайтов «авиакомпаний», интернет-магазинов, «микрофинансовых организаций», ресурсы с вредоносным ПО и площадки, посвященные мошенничеству в финансовой сфере и продажам дампов (копий) банковских карт.

КЦ: Среди типов вредоносной активности лидирует фишинг

В мае 2017 года компетентными организациями, сотрудничающими с Координационным центром доменов .RU/.РФ, в адрес регистраторов было направлено 329 обращений о снятии с делегирования доменных имен.

Анализ доменов-нарушителей по типу выявленной вредоносной активности в отчетном периоде показал, что лидирующее место по-прежнему принадлежит доменным именам, связанным с фишингом (257 обращений). Далее следует распространение вредоносного ПО (65 обращений) и контроллеры бот-сетей (7). Стоит отметить, что фишинг остается лидером по количеству обращений уже на протяжении 10 месяцев – за исключением марта, когда на долю фишинга пришлось «лишь» 49% всех обращений.

За отчетный период по обращениям компетентных организаций с делегирования были сняты 313 доменных имен. Для 15 доменных имен снятия делегирования не потребовалось, так как причины блокировки были оперативно устранены (или ресурс был заблокирован хостинг-провайдером).

«АльфаСтрахование» предотвратила работу двух поддельных сайтов по продаже Е-ОСАГО

В 2016-2017 гг. «АльфаСтрахование» дважды сталкивалась с попытками создать фишинговые сайты, которые выдавали свой калькулятор по ОСАГО за калькулятор компании с целью сбора информации о платежных картах клиентов и дальнейшего мошенничества с ними. Компания полностью поддерживает решение ФинЦЕРТ Центрального Банка России и Российского союза автостраховщиков (РСА) отслеживать сайты, предлагающие фальшивые полисы Е-ОСАГО. Подробнее здесь.

2016

ЦБ получил право блокировки сайтов с вредоносным контентом

Интернет-сайты с вредоносным контентом, относящимся к сфере финансовых рынков и национальной платежной системе, будут блокироваться на основе данных, полученных от Центробанка. Об этом сообщило ТАСС Информационное агентство России[23].

Такие действия предусмотрены в соглашении между Банком России и Координационным центром национального домена интернета – администратором национальных доменов верхнего уровня «.рф» и «.ru».

ЦБ получил статус компетентной организации, наделенной правом выявлять сайты-нарушители, которые распространяют вредоносные программы, ресурсы с противоправным содержанием, фишинговые сайты, и предоставлять эти сведения координационному центру и аккредитованным регистраторам доменных имен для блокировки таких ресурсов.

Кроме того, Банк России призвал граждан информировать регулятора о недобросовестных сайтах, находящихся в отечественном доменном пространстве.

Российские киберпреступники отказываются от фишинга в пользу скимминга

В связи с принимаемыми мерами по усилению безопасности мобильных и online-сервисов растет популярность кардинга. Как сообщает издание «Известия» со ссылкой на экспертов компании Zecurion, злоумышленники все чаще похищают данные банковских карт с помощью не фишинга, а установленных в банкоматах скиммеров.

За период с января по июнь 2016 года на долю кардинга пришлось 87% от всех похищенных средств россиян. Остальные 13% киберпреступники «заработали» с помощью фишинга. Как сообщают эксперты, количество преступлений, осуществляемых в интернете, по сравнению с прошлым годом сократилось на 3%. Ровно на столько же возросла доля offline-преступлений.

В январе–июне 2016 года скимминг принес злоумышленникам доход в размере 900 млн руб., в то время как фишинг — 140 млн руб.

Банк России хочет получить право отключать домены фишинговых сайтов

Центробанк РФ и Координационный центр национального домена сети интернет (КЦ) ведут переговоры о предоставлении организации FinCert право отключать в национальных зонах .ru и .рф домены, через сайты которых осуществляется хищение средств. Соответствующий договор стороны планируют подписать до конца нынешнего лета, сообщают СМИ.

Речь идет об отключении фишинговых сайтов, позволяющих злоумышленникам получить доступ к номерам кредитных карт клиентов банков и другой конфиденциальной информации. После подписания соглашения FinCert получит полномочия разделигировать домены, используемые для фишинга, хищения данных кредитных карт или подделки страниц финансово-кредитных организаций. По информации издания, в настоящее время Центробанк проводит работы по снятию с делегирования доменов, через сайты которых осуществляются фишинговые атаки.

По мнению интернет-омбудсмена Дмитрия Мариничева, предоставление ЦБ права отключать фишинговые сайты является правильной инициативой, поскольку регулятор владеет актуальной информацией о хищении средств через интернет. Назначение Центробанка компетентной организацией снизит риск, что кто-то «попадет на деньги», считает Мариничев.

2014: APWG: Количество фишинг-инцидентов в РФ снижается

По данным отчета Anti-Phishing Working Group за 1й квартал 2014 года, на территории РФ отмечается снижение инцидентов, связанных с фишингом. Доля ip адресов, располагающихся на территории РФ, с которых осуществлялись мошеннические действия, существенно снизилась и составила в среднем 1,6 % в первом квартале 2014 против 15,3% в аналогичном квартале 2013.

Очевидно, что киберпреступления, связанные с фишингом, поменяли свою географическую принадлежность, встретив на территории РФ сильный отпор. В настоящий момент всплеск инцидентов по географической принадлежности приходится на США, Турцию и КНР. Однако, в компании Group-IB считают, что это временное явление и киберпреступники готовятся вскоре нанести новый удар.

О том, что компания Group-IB отправила киберпреступников в нокдаун, напрямую говорит аналитика работы CERT-GIB за первое полугодие 2013 и 2014 годов. Так, в первом полугодии 2014 специалистами CERT-GIB было обработано на 52% меньше заявок: 1537 в 2013 году против 800 заявок за аналогичный период 2014 года. Фишинг удалось снизить на 70%. 762 инцидента за первое полугодие 2013 года к 235 инцидентам за тот же период 2014 года. Таким образом, связь с количества входящих заявок с долей инцидентов фишинга более чем очевидна. В Group-IB подчеркивают, что это временное явление. Финансовый сектор в России по прежнему является объектом повышенного интереса со стороны киберпреступников.

Объем финансовых средств в платежных системах стабильно растет. Банки, в свою очередь, постоянно совершенствуют онлайн-сервисы, тем самым привлекая все большее число пользователей, а это все новые и новые персональные данные, которые нужны злоумышленникам как воздух. В компании предостерегают не снижать бдительности в вопросах информационной безопасности. То, что киберпреступники готовят нанести новый удар очевидно и вполне предсказуемо. Стоит отметить, что победа в выигранном раунде в борьбе с киберпреступностью многим обязана компетенциям Group-IB, наделенным Координационным центром национального домена сети Интернет, в которые входят противодействие фишингу, вредоносному ПО и ботнет-контроллерам.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания

  1. Мошенники пробираются на «Госуслуги»
  2. Фишинговые ресурсы в 2023 году массово переезжали в зону .ru
  3. В 2023 году число заблокированных фишинговых ссылок в России выросло в 5 раз
  4. Число мошеннических сайтов в 2023 году выросло на 86%
  5. Мошенники замаскировались под Следственный комитет
  6. Очередная схема мошенников — шаблоны документов, содержащие вирусы
  7. Полицейские Санкт-Петербурга задержали подозреваемого в неправомерном доступе к компьютерной информации
  8. Белоруссии
  9. Telegram-канал «Mash на Мойке»
  10. Хакеры нащупали точку роста
  11. Бот всемогущий: мошенники начали использовать ChatGPT для фишинга
  12. Тревожный клик: число фишинговых сайтов за год выросло в три раза
  13. Мошенники создают в России фейковые сайты каршерингов для кражи данных
  14. Мошенники рассылают фишинговые письма от имени Минцифры и Роскомнадзора
  15. ФНС России предупреждает о мошеннических рассылках в интернете
  16. Россияне столкнулись с массовой вредоносной рассылкой якобы от ФНС
  17. Предъявите реквизиты: в 2021 году в РФ появилось 1,5 тыс. лжебанков
  18. Роскачество предупредило о волне мошенничества с фишинговыми сайтами перед выборами
  19. Кибермошенники занялись доставкой товаров
  20. Знак доверия: россияне стали в 10 раз чаще кликать на сайты мошенников
  21. Лаборатория Касперского рассказала о новой схеме фишинга
  22. Хакеры под видом ЦБ атаковали российские банки
  23. ЦБ поможет блокировать сайты с вредоносным контентом