30 марта 2021
COVID-мутанты
Десять рекомендаций CERT-GIB, как не попасться на новые и еще не забытые старые мошеннические схемы
Представьте абсурдную ситуацию, что на улице к вам подойдет незнакомец и скажет, что он сотрудник банка. Он может придумать любой повод: расскажет про новый формат работы, маркетинговую акцию по привлечению новых клиентов или соцопрос, но в итоге попросит отдать ему вашу банковскую карту. Отдадите?
Теперь представьте, что вам звонит абсолютно незнакомый человек и пытается забрать тоже самое: ваши деньги. При чем повод может быть любой — якобы ошибочный перевод, попытка кражи средств с ваших счетов, получение компенсации... Да и ролей у этого "театра у микрофона" может быть исполнено множество — сотрудник службы безопасности банка, полиции, Центробанка... Сценариев множество, но итог, который нужен телефонным мошенникам, всегда один — вы сами продиктуете неизвестным смс-код, CVV, установите программу удаленного доступа или переведете деньги на некий "безопасный счет".
Коронавирус вместе с удаленкой и самоизоляцией ослабили иммунитет интернет-пользователей к киберпреступности — их число за год выросло на 73,4% . CERT-GIB подготовил 10 прогнозов и рекомендации, как не стать жертвой вишинга, фишинга, социальной инженерии, фейковых курьерских служб, JS-снифферов в 2021 году. Must-read для того, чтобы оставаться в безопасности.
Теперь представьте, что вам звонит абсолютно незнакомый человек и пытается забрать тоже самое: ваши деньги. При чем повод может быть любой — якобы ошибочный перевод, попытка кражи средств с ваших счетов, получение компенсации... Да и ролей у этого "театра у микрофона" может быть исполнено множество — сотрудник службы безопасности банка, полиции, Центробанка... Сценариев множество, но итог, который нужен телефонным мошенникам, всегда один — вы сами продиктуете неизвестным смс-код, CVV, установите программу удаленного доступа или переведете деньги на некий "безопасный счет".
Коронавирус вместе с удаленкой и самоизоляцией ослабили иммунитет интернет-пользователей к киберпреступности — их число за год выросло на 73,4% . CERT-GIB подготовил 10 прогнозов и рекомендации, как не стать жертвой вишинга, фишинга, социальной инженерии, фейковых курьерских служб, JS-снифферов в 2021 году. Must-read для того, чтобы оставаться в безопасности.
Число финансовых мошенничеств с использованием методов социальной инженерии будет только расти
Интернет-мошенничество — это преступление. Простыми словами, это обман, который происходит с использованием современных технологий - сети интернет, IP-телефонии, мессенджеров итд. Вишинг (англ. vishing, от voice phishing – голосовой фишинг) — это довольно старый, но не теряющий популярности вид телефонного мошенничества. Его цель — хищение денег, данных банковских карт или персональных данных, которые потом злодеи могут продать.
Cама суть мошенничества с годами не меняется, а вот их формат и схемы — телефонный звонок от соцработников, продажа цифровых пропусков в период пандемии или рассылка сообщений о штрафах о нарушении карантина — меняются постоянно, и информационные поводы, которыми пользуются мошенники, чуть ли не опережают повестку СМИ. И коронавирус с этой точки зрения им отлично подходит: доставка на дом продуктов, лекарств, тестов на COVID-19, предложения о работе, обзвоны от имени "банков" и "страховых" компаний
Злоумышленники звонят с поддельных номеров (для этого используют специальные сервисы IP-телефонии с возможностью подмены номера, либо просто маскируют его: вместо нулей 000 используют буквы ООО и тд), массово рассылают смс или сообщения в WhatsApp и Viber от имени банка или подключают автоответчик, который сообщает о проблеме, а уже потом подключает к разговору "живого оператора" из колл-центра).
Рекомендация 1:
Никому, ни при каких условиях не сообщайте данные вашей банковской карты. Сотрудники банка никогда не просят такие данные — как и не оказывают услуги на улице.
Если вам позвонили из банка с просьбой выполнить какие-либо действия — просто положите трубку и перезвоните в этот банк по официальному номеру. Обычно он указан на банковской карте.
Cама суть мошенничества с годами не меняется, а вот их формат и схемы — телефонный звонок от соцработников, продажа цифровых пропусков в период пандемии или рассылка сообщений о штрафах о нарушении карантина — меняются постоянно, и информационные поводы, которыми пользуются мошенники, чуть ли не опережают повестку СМИ. И коронавирус с этой точки зрения им отлично подходит: доставка на дом продуктов, лекарств, тестов на COVID-19, предложения о работе, обзвоны от имени "банков" и "страховых" компаний
Злоумышленники звонят с поддельных номеров (для этого используют специальные сервисы IP-телефонии с возможностью подмены номера, либо просто маскируют его: вместо нулей 000 используют буквы ООО и тд), массово рассылают смс или сообщения в WhatsApp и Viber от имени банка или подключают автоответчик, который сообщает о проблеме, а уже потом подключает к разговору "живого оператора" из колл-центра).
Рекомендация 1:
Никому, ни при каких условиях не сообщайте данные вашей банковской карты. Сотрудники банка никогда не просят такие данные — как и не оказывают услуги на улице.
Если вам позвонили из банка с просьбой выполнить какие-либо действия — просто положите трубку и перезвоните в этот банк по официальному номеру. Обычно он указан на банковской карте.
Социальная инженерия становится более сложной и многоходовой
Массовые рассылки со ссылками на фишинговые сайты стали трансформироваться в таргетированные фишинг-атаки. У организаторов фишинговых кампаний появились инструменты, позволяющие создавать сложные сценарии атак и автоматизировать управление группировкой, тем самым вовлекая в нее большее количество людей. Теперь злоумышленники обладают ресурсами, позволяющими не просто кинуть жертве ссылку на фишинг, как раньше, а предварительно "обработать" человека. Они могут связаться с ним в мессенджере или соцсети и по заготовленному сценарию ввести в заблуждение, а уже потом подкинуть тот самый фишинг.
Рекомендация 2:
Выполнение каких-либо требований, какими бы они ни казались правдоподобными на первый взгляд, могут привести к потере личной информации или денег. Интернет — жестокая среда, оценивайте ваши действия и представляйте последствия. Даже если запрос пришел от знакомого — попытайтесь предварительно связаться с ним по другому каналу связи.
Рекомендация 2:
Выполнение каких-либо требований, какими бы они ни казались правдоподобными на первый взгляд, могут привести к потере личной информации или денег. Интернет — жестокая среда, оценивайте ваши действия и представляйте последствия. Даже если запрос пришел от знакомого — попытайтесь предварительно связаться с ним по другому каналу связи.
Все мошеннические схемы активно подхватывают тему пандемии
С началом пандемии мошеннические схемы быстро переключились на тему с коронавирусом, стали появляться новые сценарии обмана:
История с пандемией застала всех врасплох. Это событие меняет мир, но не меняет мошенников. Основной мотив киберпреступников прежний: кража денег или информации, которую можно продать. Но атаки приобретают новую «упаковку», адаптированную под актуальную повестку.
Какой бы важной для вас ни была информация или событие — перепроверяйте факты и не спешите слепо выполнять все требования. Сделайте паузу, чтобы трезво оценить ситуацию.
- Телефонное мошенничество под видом страховых и медицинских компаний
- Предоставление услуг, а также угрозы и шантаж, связанные с ограничениями в перемещении
- Мошеннические интернет-магазины, предлагающие медицинские услуги или товары, но не предоставляющие их после оплаты
- Вредоносные email-рассылки, эксплуатирующие тему с ковидом
- Фальшивые выплаты, связанные с введенными ограничениями при пандемии
- Аренда загородных домов в период введения удаленной работы
- Аренда номеров в период отпусков, когда границы закрыты
История с пандемией застала всех врасплох. Это событие меняет мир, но не меняет мошенников. Основной мотив киберпреступников прежний: кража денег или информации, которую можно продать. Но атаки приобретают новую «упаковку», адаптированную под актуальную повестку.
Какой бы важной для вас ни была информация или событие — перепроверяйте факты и не спешите слепо выполнять все требования. Сделайте паузу, чтобы трезво оценить ситуацию.
Фейки на торговых сайтах и поддельные курьерские службы
В 2020 году стала популярной мошенническая схема с поддельными сервисами доставки на площадках с бесплатными объявлениями.
Мошенники создают объявления-приманки на популярных сайтах объявлений или же представляются покупателями. Связываясь с потенциальной жертвой в чате сервиса, преступники переводят общение в мессенджеры и "обрабатывают" человека. В конечном итоге при оформлении товара они предоставляют ссылку на поддельный сайт курьерской службы, где выманивают у жертвы данные банковской карты и списывают деньги.
Рекомендация 4:
«Бесплатный сыр бывает только в мышеловке» — хорошая поговорка для иллюстрации данной схемы, так как мошенники чаще всего пытаются заинтересовать жертву неприлично выгодным предложением. Не стоит слепо верить в удачные находки.
Пользуясь услугами сервисов по продаже новых и б/у товаров, не уходите в мессенджеры — ведите переписку только в чате сервиса. Служба безопасности популярных сервисов с объявлениями в курсе данной проблемы и запрещает переходить по сторонним и подозрительным ссылкам.
Мошенники создают объявления-приманки на популярных сайтах объявлений или же представляются покупателями. Связываясь с потенциальной жертвой в чате сервиса, преступники переводят общение в мессенджеры и "обрабатывают" человека. В конечном итоге при оформлении товара они предоставляют ссылку на поддельный сайт курьерской службы, где выманивают у жертвы данные банковской карты и списывают деньги.
Рекомендация 4:
«Бесплатный сыр бывает только в мышеловке» — хорошая поговорка для иллюстрации данной схемы, так как мошенники чаще всего пытаются заинтересовать жертву неприлично выгодным предложением. Не стоит слепо верить в удачные находки.
Пользуясь услугами сервисов по продаже новых и б/у товаров, не уходите в мессенджеры — ведите переписку только в чате сервиса. Служба безопасности популярных сервисов с объявлениями в курсе данной проблемы и запрещает переходить по сторонним и подозрительным ссылкам.
Резкий рост количества фишинговых ресурсов
В промежутке со II квартала 2019 года по II квартал 2020 года CERT-GIB обнаружил и заблокировал на 118% больше фишинг-ресурсов, чем годом ранее. Увеличение количества блокировок более чем на 100% объясняется не только эффективностью обнаружения фишинговых ресурсов, но и изменением тактики фишеров.
В предыдущие годы злоумышленники прекращали свои кампании после блокировки мошеннических веб-ресурсов и быстро переключались на другие бренды. Сегодня они автоматизируют атаку, выводя новые фишинговые единицы на смену заблокированным.
В предыдущие годы злоумышленники прекращали свои кампании после блокировки мошеннических веб-ресурсов и быстро переключались на другие бренды. Сегодня они автоматизируют атаку, выводя новые фишинговые единицы на смену заблокированным.
За весь 2020 год CERT-GIB заблокировал почти 23 000 уникальных фишинговых ресурсов, которые пытались похитить платежные данные банковских карт или доступы от личных кабинетов онлайн-банкинга. В среднем в день блокировалось по 62 фишинговых ресурса.
Рекомендация 5:
Прежде чем ввести данные своей банковской карты в форму оплаты, изучите адрес сайта, загуглите его и проверьте, когда он был создан. Если сайту пара месяцев — с большой долей вероятности он мошеннический. Особенно внимательными нужно быть, когда нет возможности постоплаты товара. Доверяйте только официальным сайтам.
Рекомендация 5:
Прежде чем ввести данные своей банковской карты в форму оплаты, изучите адрес сайта, загуглите его и проверьте, когда он был создан. Если сайту пара месяцев — с большой долей вероятности он мошеннический. Особенно внимательными нужно быть, когда нет возможности постоплаты товара. Доверяйте только официальным сайтам.
Качественные почтовые рассылки, распространяющие ВПО
Массовые вредоносные рассылки, которые еще недавно оформлялись неаккуратно и непродуманно, в 2020 году вышли на новый уровень. Письма начали оформляться таким образом, что потенциальный получатель ожидает такое письмо, многократно повышая вероятность запуска вредоносного вложения. Ранее это чаще относилось к точечным (таргетированным) рассылкам. Тенденция связана с конкуренцией на рынке вредоносных рассылок: киберпреступники со своим ВПО нередко обращаются к другим злоумышленникам, специализирующимся именно на рассылках. Более успешные рассылки приводят новых "клиентов".
Статистика по классам угроз (функционалу), которые фиксировались специалистами CERT-GIB за первое полугодие 2020-го:
Статистика по классам угроз (функционалу), которые фиксировались специалистами CERT-GIB за первое полугодие 2020-го:
Топ 10 семейств ВПО, используемых в рассылках за первое полугодие 2020-го:
Рекомендация 6:
Будьте осторожны с входящей почтой, особенно с той, которая приходит в праздники и нерабочее время. Любые просьбы загрузить или установить файлы должны расцениваться как подозрительные. При получении подобного письма оперативно сообщите о нем внутренней службе безопасности. Работать с документами только после того, как их проверят. Если вам пришло личное сообщение, в том числе в мессенджере или соцсети, не стоит сразу кликать на ссылки и загружать контент.
Будьте осторожны с входящей почтой, особенно с той, которая приходит в праздники и нерабочее время. Любые просьбы загрузить или установить файлы должны расцениваться как подозрительные. При получении подобного письма оперативно сообщите о нем внутренней службе безопасности. Работать с документами только после того, как их проверят. Если вам пришло личное сообщение, в том числе в мессенджере или соцсети, не стоит сразу кликать на ссылки и загружать контент.
Удаленная работа остается небезопасной
Пандемия в 2020 году вынудила большинство компаний перевести сотрудников на удаленный режим работы. Домашние компьютеры защищены хуже, чем рабочие места в безопасном контуре, контролируемом специалистами ИБ. Атаки на домашние устройства и сети (ПК, роутеры, видеокамеры и т.д.) ставят под угрозу корпоративные и личные данные, которые в дальнейшем могут стать подспорьем для более сложных атак, нацеленных на крупные организации.
Рекомендация 7:
Важно защитить двухфакторной аутентификацией все учетные записи везде, где есть такая возможность. Если вы используете личный компьютер в рабочих целях, сначала убедитесь, что на нем установлено актуальное программное обеспечение: последняя версия ОС и другого прикладного ПО (браузеры, офисные программы и т.д.) Позаботьтесь о безопасной сети дома. Например, если у вас стоит Wi-Fi-роутер — не используйте стандартный пароль для него, а также для других устройств, подключенных к этой сети.
Рекомендация 7:
Важно защитить двухфакторной аутентификацией все учетные записи везде, где есть такая возможность. Если вы используете личный компьютер в рабочих целях, сначала убедитесь, что на нем установлено актуальное программное обеспечение: последняя версия ОС и другого прикладного ПО (браузеры, офисные программы и т.д.) Позаботьтесь о безопасной сети дома. Например, если у вас стоит Wi-Fi-роутер — не используйте стандартный пароль для него, а также для других устройств, подключенных к этой сети.
Аренда домов и гостиниц в период праздников и отпусков
Летом мы наблюдали рост атак на сайты бронирования отелей, когда в сезон отпусков люди могли путешествовать только в пределах РФ. В праздничные сезоны мошенники тоже активно используют данную схему. В период ажиотажа, когда практически все жилье забронировано, злоумышленники размещают поддельные объявления на популярных сайтах аренды или создают копии этих сайтов. Их цель — принять оплату без предоставления услуг или похитить данные банковской карты.
Рекомендация 8:
Пользуйтесь только известными сайтами аренды и проверяйте добропорядочность объекта, разместившего объявление. Например, по комментариям и оценкам других пользователей. Если размещенное объявление новое, без отзывов — лучше пропустите его. Если хотите забронировать номер на сайте отеля — сначала проверьте, что такой отель существует и что это действительно его сайт. Какое бы ни было "горячее предложение", не стоит торопиться с оплатой. Найти информацию об отеле можно в поисковике, а также по рекомендациям и отзывам.
Пользуйтесь только известными сайтами аренды и проверяйте добропорядочность объекта, разместившего объявление. Например, по комментариям и оценкам других пользователей. Если размещенное объявление новое, без отзывов — лучше пропустите его. Если хотите забронировать номер на сайте отеля — сначала проверьте, что такой отель существует и что это действительно его сайт. Какое бы ни было "горячее предложение", не стоит торопиться с оплатой. Найти информацию об отеле можно в поисковике, а также по рекомендациям и отзывам.
Js-снифферы — скрытая угроза онлайн-торговли
С 2019 года для хищения данных банковской карты злоумышленники стали все чаще использовать Js-снифферы — вредоносный код, который крадет данные банковской карты при совершении оплаты. Основная угроза в том, что киберпреступники в результате взлома размещают вредоносный код на официальных и популярных ecommerce-ресурсах. Из-за этого вы можете потерять деньги, даже расплачиваясь на официальных ресурсах.
Небезызвестные UltraRank за 5 лет смогли атаковать 691 онлайн-магазин и 13 поставщиков услуг для сайтов (полный отчет).
Рекомендация 9:
Заведите отдельную банковскую карту или выпустите виртуальную (большинство банков предоставляет такую возможность в мобильном приложении или на сайте) и используйте ее только при совершении покупок в интернете, предварительно установив соответствующие лимиты в настройках карты. Тем самым вы обезопасите себя от потери всех денег, лежащих на основной или зарплатной карте.
Небезызвестные UltraRank за 5 лет смогли атаковать 691 онлайн-магазин и 13 поставщиков услуг для сайтов (полный отчет).
Рекомендация 9:
Заведите отдельную банковскую карту или выпустите виртуальную (большинство банков предоставляет такую возможность в мобильном приложении или на сайте) и используйте ее только при совершении покупок в интернете, предварительно установив соответствующие лимиты в настройках карты. Тем самым вы обезопасите себя от потери всех денег, лежащих на основной или зарплатной карте.
Предложения с выплатами и компенсациями продолжают приводить к потере денег
В 2020 году специалисты CERT-GIB выявили новый виток мошеннических схем, связанных с несуществующими денежными переводами и компенсациями.
При исследовании инфраструктуры CERT-GIB обнаружил, что один ресурс может входить в целую сеть связанных сайтов, включающую более 170 доменных имен, созданных с целью мошенничества.
Злоумышленники действуют под видом фейковых организаций, якобы занимающихся возвратами или переводами денежных средств. Ссылки на вредоносные ресурсы зачастую распространяются с помощью социальной инженерии (соцсети, мессенджеры, почтовые рассылки и т.д.) Кроме того, мошенники все чаще паразитируют на YouTube, где размещают нарезку из репортажей и комментариев министров и накладывают свои голосовые дорожки, информируя о несуществующих выплатах.
Пользователю сообщают, что ему положена выплата и, чтобы ее получить, надо оплатить небольшую комиссию за перевод. Перейдя по ссылке для оплаты, жертва попадает на фишинговый сайт, где введенные данные банковской карты отправляются злоумышленнику.
Рекомендация 10:
Не обращайте внимание на рекламные баннеры и другую навязчивую рекламу, сообщающую о возможности легко заработать. Не переходите по ссылкам от незнакомых людей в электронной почте, мессенджерах и в социальных сетях. Если вам обещают крупную выплату и для ее получения надо "всего лишь оплатить комиссию" — не поддавайтесь на провокацию!
При исследовании инфраструктуры CERT-GIB обнаружил, что один ресурс может входить в целую сеть связанных сайтов, включающую более 170 доменных имен, созданных с целью мошенничества.
Злоумышленники действуют под видом фейковых организаций, якобы занимающихся возвратами или переводами денежных средств. Ссылки на вредоносные ресурсы зачастую распространяются с помощью социальной инженерии (соцсети, мессенджеры, почтовые рассылки и т.д.) Кроме того, мошенники все чаще паразитируют на YouTube, где размещают нарезку из репортажей и комментариев министров и накладывают свои голосовые дорожки, информируя о несуществующих выплатах.
Пользователю сообщают, что ему положена выплата и, чтобы ее получить, надо оплатить небольшую комиссию за перевод. Перейдя по ссылке для оплаты, жертва попадает на фишинговый сайт, где введенные данные банковской карты отправляются злоумышленнику.
Рекомендация 10:
Не обращайте внимание на рекламные баннеры и другую навязчивую рекламу, сообщающую о возможности легко заработать. Не переходите по ссылкам от незнакомых людей в электронной почте, мессенджерах и в социальных сетях. Если вам обещают крупную выплату и для ее получения надо "всего лишь оплатить комиссию" — не поддавайтесь на провокацию!
Если материал вам понравился, расскажите о нём друзьям!
Другие интересные статьи:
Узнавайте первыми
о новейших киберугрозах и расследованиях
*Нажимая «Подписаться», вы соглашаетесь на получение новостей компании,
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
Предотвращение
Реагирование
Расследование
Продукты
Threat Intelligence & Attribution
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Компания
Связаться с нами
Круглосуточная линия +7 495 984-33-64
Электронная почта
info@group-ib.ru
info@group-ib.ru
Адрес офиса
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
