Ворованное Рождество
Специалисты отдела защиты бренда и антипиратства Group-IB — о том, кому чаще всего портят праздник киберпреступники.
В избранное
В избранном
В канун рождественских и новогодних праздников число преступлений в интернете традиционно растёт. Для хакеров и мошенников это самая доходная пора: перед Новым годом все покупают подарки, ходят на распродажи, думают, где отдохнуть. Киберпреступники применяют самые успешные схемы, которые тестировались в течение года.
95–98% дел, которые мы расследовали, связаны с кражей денег либо информации, которую можно продать: данных банковских карт, персональной информации, документов организаций.
Каждый месяц мы фиксируем около 100 тысяч фишинговых страниц, из них около половины адресованы клиентам банков и других финансовых организаций. Не связаны с монетизацией два-пять процентов случаев. Например, атаки хакеров-активистов на ресурсы государственных учреждений, глобальных корпораций, СМИ.
Самые подделываемые бренды
Перед Новым годом возрастают объёмы продаж контрафакта и учащаются случаи интернет-мошенничества. При поиске подарков и товаров со скидками высок риск попасть на сайты с подделками, где предлагают продукцию люксовых марок с привлекательными новогодними скидками.
Мы прослеживаем прямую связь между производимым контрафактом и онлайн-продажами подделок. Поэтому список брендов с наибольшим количеством контрафакта в интернете состоит из тех же брендов, под марками которых ежегодно конфискуются огромные объёмы нелегальной продукции. По данным Всемирной таможенной организации, чаще всего подделывают следующие бренды.
- Игры и игрушки: Walt Disney.
- Косметика и парфюмерия: MAC Cosmetics.
- Медицинская техника и препараты: Viagra, Cialis.
- Одежда, аксессуары: Chanel, Michael Kors, Louis Vuitton, Gucci, RayBan.
- Обувь: Adidas, Nike.
- Электроника: Samsung, Apple.
На волне роста предновогоднего спроса на алкоголь активизируются онлайн-продавцы. Несмотря на официальный запрет продажи спиртного через интернет, создаются десятки сайтов с предложением розничных и оптовых поставок популярных элитных марок шампанского, вин и крепких напитков. Некоторые продавцы открыто заявляют, что реализуют дубликаты.
Популярные мошеннические схемы
Под Новый год активизируются мошенники, которые подделывают сайты для кражи денег и данных пользователей. Схемы могут быть разные.
Антикинотеатры
Недавно в даркнете мы обнаружили описание схемы заработка на несуществующих кинотеатрах. Мы полагаем, что случаи такого мошенничества участятся. Схема следующая. Создаётся одностраничный лендинг вроде «Кинотеатр для двоих» или «VIP кинотеатр» с популярными фильмами на афише. Помимо хорошего кино и камерной обстановки предлагается шампанское с фруктами и иногда даже ванная.
Билет стоит от четырёх тысяч рублей за человека. Для его получения необходимо внести полную предоплату переводом на банковскую карту или электронный кошелек. В реальности такого кинотеатра не существует.
Билеты
Мошенники следят за ажиотажным спросом вместе с перекупщиками. Они создают сайты с предложением купить билеты в цирк, на ёлку, в театр и на другие представления, которые в реальности уже давно распроданы. От поддельных билетов страдают и авиаперевозчики. В предновогодний сезон появляются страницы, на которых предлагают перелёты по привлекательным ценам. Иногда в пакет входит и бронирование отеля.
Благотворительность
Накануне Нового года благотворительные фонды традиционно организуют сборы для закупки подарков и проведения праздников. Преступники в свою очередь объявляют сбор от лица благотворительного фонда или копируют реальные объявления с измененными реквизитами.
Подарки клиентам банков
Около 50% фишинговых сайтов, которые мы обнаруживаем, ориентированы на клиентов финансово-кредитных учреждений. Распространённая схема — когда пользователя просят ввести данные банковской карты для получения денежного подарка.
Так в 2016 году в канун праздников мы заблокировали фишинговый ресурс, который маскировался под крупный российский банк. Пользователю обещали подарить бонусные баллы за номер телефона и другие данные. Лендинг был оформлен в новогодней тематике и имел значок популярного антивируса.
Продажа электроники
Осенью мы рассказывали про случаи мошенничества с iPhone X. Перед официальным стартом продаж мы выявили около 500 сайтов на разных языках, где якобы можно было сделать предзаказ либо купить iPhone со скидкой в 30% от официальной цены.
Пользователь заказывал устройство и отправлял стопроцентную оплату переводом на карту или электронный кошелёк, а после этого не мог связаться с продавцом. По нашим прогнозам, второй пик случаев мошенничества с электроникой и техникой придётся именно на зимние праздники: все ждут скидок.
Розыгрыши
Розыгрыши путёвок, билетов, техники, подарочных сертификатов от лица известных брендов. Чтобы войти в доверие к пользователям, мошенники используют социальную инженерию. Нужно ввести свои данные, подтвердить, что ты совершеннолетний и хочешь участвовать в акции.
Трафик нагоняется быстро благодаря условию поделиться ссылкой на розыгрыш в соцсетях. Целью мошенников могут быть кража данных и перенаправление трафика на сторонние ресурсы. При этом может также произойти заражение компьютера.
Пять крупнейших киберпреступлений по объёмам ущерба в 2017 году
Вирусы-шифровальщики
WannaCry ($1 млрд). Атака вируса-шифровальщика WannaCry в мае 2017 года. Всего за три дня вирус-шифровальщик WannaCry атаковал 200 тысяч компьютеров в 150 странах мира: прошёлся по сетям университетов в Китае, заводов Renault во Франции и Nissan в Японии, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. За атакой, возможно, стоит северокорейская группа Lazarus.
Атаки на ICO
Долгое время банки и их состоятельные клиенты были главной целью киберпреступников. Но теперь у них сильные конкуренты в лице ICO и блокчейн-стартапов. Всё, что связано с криптовалютами, привлекает внимание хакеров.
Платформа для управления инвестиционным портфолио CoinDash потеряла более $6 млн за первые три минуты с начала ICO из-за уязвимости в коде сайта. У Veritaseum взломщики смогли похитить токены VERI. Проект потерял около $8,4 млн.
Целевые атаки на банки
Проникнув в банковскую сеть, хакеры стараются получить доступ к системе межбанковских переводов (SWIFT или АРМ КБР), карточному процессингу или системам банкоматов.
В октябре 2017 года преступники ограбили банк Far Eastern International Bank Тайваня. Добравшись до системы международных межбанковских переводов (SWIFT), к которой был подключен банк, хакеры смогли вывести почти $60 млн на счета в Шри-Ланке, Камбодже и США. По одной из версий, за атакой стоит группа Lazarus.
Кражи денег с помощью Android-троянов
В апреле была задержан последний участник группировки Cron, похищавшей деньги с банковских счетов пользователей смартфонов Android. Ежедневно киберпреступники с помощью банковского трояна Cron заражали 3,5 тысячи телефонов и меньше чем за год установили его почти на 1 млн устройств. Общий ущерб от действий Cron оценивается как минимум в 50 млн рублей.
Кражи посредством интернет-банкинга
В России остались три преступных группы, которые похищают деньги у юридических лиц: Ranbyus, RTM, Buhtrap. В этом году им удалось похитить 622 млн рублей. Средний размер ущерба увеличился до 1,25 млн рублей — атакующие стали тщательнее подбирать жертв. Летом мы обнаружили масштабные заражения пользователей банковским трояном Buhtrap через популярные СМИ, сайты для бухгалтеров, юристов и директоров.
Хакерские «праздники»
Объектами хакерских атак в любое время года становятся в первую очередь сайты и инфраструктура банков. По данным Qrator Labs и «Валарм», в 2016 году самыми распространёнными видами преступлений были DDoS-атаки, фишинг и взлом веб-приложений.
В предпраздничную пору высок риск взлома иных ресурсов, связанных с деньгами и торговлей: онлайн-магазинов, торговых площадок, сайтов с играми и фильмами, а также другие крупные объекты, к примеру, коммунальная инфраструктура, СМИ. В одних случаях масштабная атака — это попытка сорвать куш. В других — заявить о себе или прорекламировать собственный продукт (к примеру, вредоносное программное обеспечение).
Самые известные новогодние хакерские атаки
2011 год. В канун католического Рождества (24 декабря) группировка Anonymous взломала серверы американской разведывательной компании Stratfor, которая работает в том числе с министерством обороны США. Хакерам удалось скачать 200 гигабайт информации: данные кредитных карт, email, телефоны, пароли клиентов компании.
В обращении к Stratfor взломщики попросили устроить «восхитительный обед» для американского военнослужащего Бредли Меннинга (ныне девушки по имени Челси Меннинг), который находился под арестом в связи с публикацией секретных данных министерства обороны США.
2013 год, 19 декабря. В самый разгар сезона покупок один из крупнейших американских ритейлеров Target сообщил о хищении данных банковских карт 40 млн покупателей, пользовавшихся сервисом с 27 ноября. Позже компания уточнила количество пострадавших: хакеры получили доступ к данным 70 млн клиентов, включая почтовые и электронные адреса.
В 2017 году ритейлер выплатил $18,5 млн 47 штатам США и округу Колумбия в связи с масштабной утечкой данных. Доступ к базе Target Corp преступники получили с помощью одного из поставщиков компании. В компании признали, что игнорировали признаки взлома.
2014 год. 25 декабря пользователи не смогли получить доступ к сайтам PlayStation Network и Xbox Live (владельцы — компании Sony и Microsoft), чтобы протестировать подаренные игровые приставки. Обе платформы были отключены вследствие DDoS-атаки, организованной группировкой Lizard Squard. Один из членов группировки заявил: «Рождество — это когда дети играют в приставку или празднуют вместе с семьями?». Сайт Xbox Live восстановился на следующий день, а PSN был недоступен трое суток.
2015 год. 25 декабря хакеры устроили DDoS-атаку на сервис Steam, принадлежащий разработчику компьютерных игр Valve. Пользователи, которые заходили на сайт Steam (в частности, в раздел «Магазин», чтобы купить игры), замечали ошибки при аутентификации (использование иных языковых настроек и отображение информации других пользователей).
Позже представители Valve объяснили, что во время атаки объём трафика, направленного на магазин Steam, был на 2000% выше среднего уровня трафика в дни распродаж.
2016 год. 23 декабря была обесточена часть западной Украины, а также Ивано-Франковская область. Компания «Прикарпатьеоблэнеро», которая обеспечивает электроснабжение объектов, сообщила о сбоях в работе оборудования, которые привели к массовому отключению электричества. В компании подтвердили, что сбой был связан с кибератакой. Эксперты, расследовавшие инцидент, пришли к выводу, что при атаке использовался вирус Black Energy, позволивший хакерам получить доступ к инфраструктуре.
В декабре 2016 года появилась новая версия известного (самого распространённого вымогателя, по данным на начало 2017 года) вируса-шифровальщика Cerber. Помимо технических особенностей (улучшенного поиска и шифрования файлов), вирус имел праздничную упаковку: на экране заражённого компьютера появлялась заставка в рождественских цветах.
Советы
Угроза стать жертвой преступления в интернете так же реальна, как уличный грабёж — с той лишь разницей, что физические лица несут материальные потери, а компании (бренды) ещё и имиджевые.
Примечательно, что средства с карты могут списать не сразу после кражи данных, но и через определённый период времени. К примеру, если данные вашей карты украли в начале декабря, средства могут снять в перед самым Новым годом, когда у многих приходит 13-я зарплата, или в апреле-мае, когда у компаний заканчивается отчётный период.
Cтопроцентной защиты от взлома нет. Но если следовать правилам, можно минимизировать риск.
Рядовым пользователям
- Перепроверьте, на каком ресурсе вводите данные карты. Соединение с сайтом должно быть безопасным, в адресной строке должен быть указан сертификат HTTPS (хотя и его возможно подделать).
- Никогда не переводите деньги с карты на карту. С вами должна работать компания, организация с реквизитами и прочими официальными данными.
- Ищите сайты, которыми планируете воспользоваться впервые. Если это магазин, поищите информацию о нём, используя бесплатные whois-сервисы. Узнайте, когда он был зарегистрирован. Если недавно, велика вероятность, что это мошенники.
- Постоянно обновляйте операционную систему, в том числе на смартфоне. Следите за новостями.
Компаниям
- Заранее зарегистрируйте созвучные вашему бренду доменные имена.
- Постоянно отслеживайте упоминания бренда в интернете: в поисковой выдаче, контекстной рекламе магазинах мобильных приложений, социальных сетях, досках объявлений. Учитывайте, что результаты поисковой выдачи могут подстраиваться под конкретного пользователя, его местоположения или устройства.
- Поработайте с сотрудниками. В нашем отчёте о деятельности группировки Cobalt, которая организовала логические атаки на банки, мы рассказывали, как, собственно, сотрудники невольно становились помощниками хакеров — когда открывали фишинговые письма.
- Обновите программное обеспечение и протестируйте инфраструктуру на уязвимости. Безопасность должна быть частью инфраструктуры компании: киберразведка, сканирование бот-трафика, выявление скомпрометированных контрагентов — это задача отдельной группы специалистов.
© vc.ru