Игра на устрашение: как не стать жертвой хакеров во время пандемии COVID-19

Новый всплеск интернет-мошенничества, связанный с началом массовой вакцинации от COVID-19, зафиксировали в начале 2021 года специалисты по информационной безопасности (ИБ). Еще в прошлом году хакеры «оседлали» тему пандемии, активно используя охватившую мир панику.

По данным Positive Technologies, тема коронавируса затрагивалась в 13% всех мошеннических рассылок. Причем скорость реакции на новую повестку впечатляет: например, уже в феврале 2020 года кибермошенники заработали $1 млн на фейковой кампании по продаже медицинских масок и антисептиков в Великобритании. «Профиль» выяснил у экспертов, как меняются обманные схемы и как защититься от новых киберугроз.

Работа под прикрытием

Еще весной 2020 года, в первую волну пандемии, сетевые жулики разработали целый арсенал новых уловок: продавали фальшивые цифровые пропуска, выписывали лжештрафы за нарушение карантина, предлагали провести тестирование на дому, гарантировали денежные компенсации за лечение. Играя на страхе и информационном голоде граждан, они умело использовали горячие темы: продажу медицинских товаров и услуг, обход режимов самоизоляции и так далее.

Собеседники «Профиля» рассказали, что в 2021 году вектор останется прежним. Новым прикрытием для мошенников станет тема вакцинации, слухам и домыслам о которой нет конца. Руководитель отдела ИБ-аналитики Positive Technologies Екатерина Килюшева призывает опасаться информационных рассылок о сроках и местах вакцинации, а также форм записи на получение или покупку препарата. По мнению Алексея Федорова, главы представительства Avast в России и СНГ, очень вероятно паразитирование на «паспортах здоровья».

Другой потенциальный сценарий – приглашение от имени госучреждения участвовать в тестировании вакцины за вознаграждение, говорит Екатерина Рудая, эксперт лаборатории практического анализа защищенности «Инфосистемы Джет». Возможен и обратный вариант: предложение привиться зарубежной вакциной за предоплату. В «Лаборатории Касперского» согласны, что до завершения пандемии тема здоровья останется любимой приманкой хакеров, поскольку информация о лечении и действиях властей будет по-прежнему крайне востребована.

Жертвами мошенников становятся не только рядовые пользователи сети. Как предупреждают в лаборатории анализа угроз Avast, в зоне риска также фармацевтические компании. Осенью 2020-го Microsoft рассказал о нескольких кибератаках на известных производителей вакцины от коронавируса, а в январе в сеть «утекли» документы о вакцине Pfizer.

Любопытно, что отдельные хак-группировки решили не трогать медицинские организации в условиях пандемии – в частности, о таком намерении заявил известный шифровальщик Maze (правда, вскоре после этого обещания хакеры все же опубликовали информацию, похищенную у британской клиники Hammersmith Medicines Research). Другой вымогатель, DoppelPaymer, наоборот, подчеркнул, что фармацевты нередко наживаются на панике, поэтому их защищать не стоит, в отличие от больниц и экстренных служб. Стать жертвой целевых атак в 2021 году, по мнению «Лаборатории Касперского», может каждая организация, заявившая об успехах в разработке препаратов для борьбы с вирусом.

©Shutterstock/ FOTODOM

Эволюция фишинга

Хотя интернет-махинации адаптируются к повестке дня, их цель – кража данных или денег – остается неизменной. Остались прежними и два основных метода злоумышленников.

Социальная инженерия. С началом пандемии активизировались недоброжелатели, специализирующиеся на психологии – они запустили манипулирующие email-рассылки и SMS-сообщения. Получили распространение фейковые благотворительные акции: например, в марте 2020 года встречались письма с призывом отправить пожертвование на разработку вакцины от коронавируса для детей в Китае. А в конце лета в одной из рассылок, направленной жителям Великобритании, предлагалось оплатить лжевакцину. Ссылка вела на поддельный сайт канадской аптечной сети.

Пожалуй, самым небанальным ходом стала рассылка от имени врача о теории заговора. В письме говорилось, что вирус выпущен на свободу, чтобы сократить популяцию людей и облегчить тотальный контроль за населением. Читателям предлагали получить разработанную «доброжелателями» секретную вакцину, для чего требовалось оставить свои ФИО, адрес и телефон. Стоит ли говорить, что данные отправлялись злоумышленникам?

Роспотребнадзор предостерегает от сайтов, предлагающих купить любые «чудо-средства» от заражения. Также в ведомстве сообщили, что мошенники используют предлог бесплатного тестирования или дезинфекции дома ради квартирной кражи.

Хакинг (запуск вредоносного ПО)

Другая тенденция – создание тематических сайтов с информацией о коронавирусе, начиненных шпионским ПО или программами-вымогателями. Так, распространялся спам с адресов @who.com, @who.org или @who-safety.org (WHO – аббревиатура Всемирной организации здравоохранения): пользователей просили перейти по ссылкам для получения якобы крайне важных новостей о вирусе. Таким образом злоумышленники похищали личную информацию и платежные данные, получали доступ к счетам жертв.

Была создана копия сайта Университета Джонса Хопкинса (университет в Балтиморе, США, публикующий ежедневную статистику заболеваемости коронавирусом) с картой распространения инфекции на домене Corona-Virus-Map.com – посетителям предлагалось загрузить приложение. Согласившиеся получали на свое устройство следящее ПО.

Отдельную угрозу представляют мобильные приложения по теме коронавируса. Например, при скачивании приложения Coronavirus.apk Android-пользователи предоставляли мошенникам доступ к звонкам, SMS, календарю, файлам, контактам, микрофону и камере. В Узбекистане пользователи загружали приложение с коронавирусной статистикой, а получали опасный троян Android Trojan Spy. Это ПО в фоновом режиме делало снимки, крало фото из галереи и получало доступ к SMS. Другой аналогичный пример – шифровальщик CryCryptor, который атаковал пользователей, маскируясь под приложение Covid-19 Tracer App.

«Набирают популярность и программы-вымогатели, и сталкерское, и рекламное ПО. В том числе они распространяются через соцсети. Пользуясь тем, что после начала карантина люди начали проводить больше времени в смартфонах, киберпреступники активнее нападают на молодую аудиторию на популярных платформах YouTube, TikTok и Instagram», – рассказывает Алексей Федоров.

С конца 2020 года внешнее содержание вредоносных сайтов меняется, добавляет эксперт Check Point Алексей Белоглазов: «В ноябре мы отметили бум новых доменов, связанных с эпидемией: с начала месяца было зарегистрировано 1062 домена с названием “vaccine”, из которых 400 содержали дополнения “covid” или “corona”. Эти цифры эквивалентны вместе взятым показателям августа, сентября и октября».

В декабре и январе исследователи Check Point обнаружили в даркнете более 340 объявлений о продаже фальшивых вакцин от коронавируса. По их подсчетам, прирост мошенничеств с темой прививок с начала декабря составил 400%. Цены на лжевакцины тоже выросли: если в начале 2021 года средняя цена составляла $250, то сейчас киберпреступники требуют от $500 до $1000.

Также популярная тема используется для фишинговых кампаний, говорит Белоглазов: «Хакеры распространяли в Сети вредоносные файлы Download_COVID-19 New approved vaccines.23.07.2020.exe (с англ. «Загрузите новые одобренные вакцины от COVID-19.23.07.2020.exe»). При загрузке такого файла на устройство устанавливалась программа, способная собирать данные для входа, имена пользователей и пароли. Другая недавняя рассылка проводилась на английском и испанском языках – письма содержали тему Pfizer’s COVID vaccine: 11 things you need to know (с англ. «Вакцина Pfizer от COVID: 11 вещей, которые вам нужно знать») и файл, зараженный трояном».

По словам собеседников «Профиля», в наступившем году принципиально новых видов кибермошенничества не предвидится. Задача жуликов та же – заставить пользователя перейти по ссылке, загрузить вложение, ввести данные на нужной странице. Поэтому люди будут сталкиваться с привычными схемами, но в актуализированной «обертке».

Задача хакеров – заставить пользователя перейти по ссылке, загрузить вложение, ввести свои данные Shutterstock/ FOTODOM

Примите противовирусное

По мнению Анастасии Федоровой, форс-мажорная ситуация прошлого года позволила злоумышленникам преуспеть, однако сейчас пользователи более спокойны, а значит и устойчивы к уловкам. Тем не менее расслабляться рано. «Профиль» собрал рекомендации опрошенных экспертов, как обезопасить себя от киберугроз:

Использовать сложные пароли и вводить платежные и личные данные только на доверенных сайтах. Не загружать вложения от неизвестных отправителей и не переходить по подозрительным ссылкам, особенно полученным от посторонних лиц. Бдительно относиться к получаемым сообщениям с упоминанием коронавируса, в том числе остерегаться краудфандинговых кампаний, направленных на борьбу с эпидемией. Самостоятельно проверять адреса сайтов вне зависимости от наличия замка в адресной строке.

«Часто киберпреступники подчеркивают эксклюзивность своего предложения, чтобы у жертвы не было времени подумать или попросить совета. Будьте внимательны при получении “срочных” предписаний», – указывает Алексей Федоров.

И, конечно, эксперты в один голос призывают применять антивирусное ПО с функцией защиты от фишинга на ПК, телефонах и любых других устройствах. Пусть оно возьмет на себя проблему виртуальных вирусов, а нам и в реальном мире забот хватит.