2015 год только начался, и мы решили оглянуться назад, чтобы проанализировать, как обстояли дела в прошедшем году с интернет-мошенничеством, а именно рассмотреть самые яркие фишинговые атаки 2014 года, чтобы пользователи не попались на эти удочки в будущем.
Несмотря на то, что государство пытается нам помочь сохранить личные данные, мы не должны забывать о том, что в первую очередь это наша личная обязанность.
Может показаться, что факсы это что-то устаревшее и забытое в глубоких 90х. Но, как не удивительно, факсимильные письма являются весьма популярным инструментом для фишинга. В прошлом году было несколько крупных фишинг-атак, организованных таким образом: мошенники отправляют по email письмо, в котором от лица какого-либо государственного органа просят отправить по факсу уточненные данные, скажем, заполненной налоговой декларации, и передать некоторые личные сведения. Многие компании до сих пор держат факсы в своих офисах, хотя почти никогда ими не пользуются. Такой вид атаки непривычен и даже экзотичен в наше время, поэтому ни о чем неподозревающий получатель письма даже и не станет сомневаться, что это уловка. Фирменный бланк – есть, печать и подпись – есть.
При передачи данных по номеру факса, на который никто никогда не ответит, на стороне мошенника документ сканируется и перенаправляется уже в электронном виде на его почту. Поэтому пресечь такой вид обмана крайне сложно. Остается уповать только на собственную внимательность.
Эта атака основана на рассылке якобы официальных писем от банков или других крупных организаций с вложенным архивом, который содержит приложение .NET Keylogger. Это простое программное обеспечение, регистрирующее различные действия пользователя — нажатия клавиш на клавиатуре компьютера или клавиш мыши. Весьма удобно для кражи данных учетных записей. Вы просто стучите по клавишам, а программа записывает ваши действия и отправляет злоумышленникам. Поэтому еще раз напоминаем – обязательно используйте самое современное антивирусное ПО и не забывайте его обновлять для того, чтобы не позволить злоумышленникам получить все ваши пароли.
Тут схема очень проста, и не существует, наверное, людей, которые не получали бы подобные письма. Рассмотрим реальный случай. Приходит письмо от уважаемого господина по имени Эрик, который представляет интересы «вашего» усопшего родственника из очень далекой страны, например, из Тоголезской Республики (государство в Западной Африке, располагающееся между Ганой и Бенином). Страшно предположить, каким образом там оказались ваши родственники, но всякое бывает. Этот мистер Эрик для подтверждения легальности своей информации даже присылает фотографии себя и своей семьи, а также сканы документов, удостоверяющих его личность и открытый на имя наследника счет.
Взамен он просит прислать уже ваши данные, как паспортные, так и банковские. Вся переписка сопровождается фразами о том, что осталось очень мало времени (интересно, куда он так спешит, родственник ведь уже умер). С самого начала можно уже понять, что это обычный мошенник, потому что, к сожалению, чудес не существует, а бесплатный сыр только в мышеловке, коим это письмо и является.
В интернете на профильных сайтах можно найти уйму подобных историй. Например,здесь.
Приятного чтения. Будьте бдительней.
Подобные программы, как и в случае с .NET Keylogger, прикрепляются к фишинговым письмам и приходят по электронной почте. Пользователь самолично устанавливает это приложение под совершенно разными предлогами, которые придумали мошенники. Программа-вымогатель блокирует компьютер таким образом, что разблокировать его можно только с помощью покупки специального ключа (на самом деле нет), или она сотрет все данные на жестком диске. Так как в 2014 году у интернет-пользователей биткоины сыскали особую популярность, то и злоумышленники просили совершать оплату именно этой валютой. Проанализировав электронные кошельки вымогателей, обнаружилось, что они смогли собрать с жертв более 130 млн. долларов.
Справиться с таким недугом помогут большинство современных антивирусов.
Такая атака позволяет злоумышленнику почувствовать свою полную власть над жертвой. Как правило, вредоносные файлы PDF присылаются по электронной почте и представляются в виде очень важных документов, которые пренепременно необходимо прочесть. Открытый файл PDF внедряет вредоносный код, эксплуатирующий уязвимости программы-просмотрщика. Чтобы усложнить анализ, мошенники используют Zlib, свободную кроссплатформенную библиотеку, для сжатия данных в несколько слоев и сложных для отслеживания имен переменных. Целью атаки может быть, как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака).
Часто, возвращаясь обратно из-за границы, путешественники пользуются возможностью получить обратно денежные средства, которые были потрачены на уплату налогов при покупке того или иного товара (vat refund – англ.). Это можно сделать сразу в аэропорту, в специальных организациях или банках. Но мало кому хочется тратить свое драгоценное время на это. И тут на помощь приходят мошенники, которые готовы с радостью помочь вам вернуть налоги, не выходя из дома. Заманчиво, правда? Все, что вам нужно – это только указать в ответном письме свои личные данные (номера паспортов, ИНН, адреса и т.д.). Как можно догадаться, деньги вам никто не вернет, как и конфиденциальность ваших данных.
Эти примитивные, но очень популярные в связи с политической обстановкой фишинговые электронные письма пришлись кстати во второй половине прошлого года. Все по классике – вложенный архив с зараженным файлов, скрывающимся под видом скринсейвера «Слава Украине». Вредоносная программа – это ясно, но в чем заключается фишинг? По факту, это просто уведомление о получении факса, который можно посмотреть, перейдя по ссылке, и, следовательно, утратив конфиденциальность личных данных. Хорошая плата за любопытство.
Примерно, в конце октября прошлого года, пользователи стали получать фишинговые письма со взломанного домена .EDU. Такие письма содержали троян ZeuS в архиве с информацией о совершенных платежах, которых на самом деле вовсе не было. Мошенники подумали, что домен «edu», созданный специально для образовательных учреждений, просто не покажется жертвам подозрительным, потому что он считается самым защищенным и престижным. Их ожидания оправдались. Такой способ распространения вредоносных программ и воровства данных оказался очень эффективным.
Рост популярности облачных сервисов, таких как Dropbox, натолкнул мошенников на создание нового метода доставки вирусного ПО к нам в компьютеры. Мошенники отправляют по email письма с инвойсом от Dropbox. Ссылка на сервис является абсолютно чистой, только она ведет на zip-файл, содержащий файл типа SCR (зараженный скрипт), а не на счета. Dropbox быстро отреагировал и создал защиту для пользователей, но хакеры нашли способ обхода разработанного компанией спам-фильтра. Использование Dropbox настолько распространено, что никому и в голову не придет блокировать этот сервис как потенциально опасный, поэтому пресечь такой вид распространение вирусов и троянов крайне сложно.
Самые популярные фишинг-письма 2014 года на первый взгляд казались вполне безобидными. Такие письма приходили со ссылками на сторонние хранилища файлов. Содержание было простым - ссылка на счет. Только скачивая ее себе на компьютер, пользователь пускал в систему программу Dyre, троян для удаленного доступа, который был нацелен на получение банковской информации и личных данных пользователя. Распространение Dyre было настолько широким, что группе реагирования на нарушения компьютерной безопасности в сети пришлось усердно работать над тем, чтобы избавиться от этого вируса и помочь пользователям не попасться на его удочку.
Мошенники находят все более и более изощренные способы в фишинге. Этот случай не вошел в Топ-10 2014 года, но он поразил своей простотой и вероломностью. Целью атаки являлось получение контроля над ящиком электронной почты.
Все истории в статье реальны, а эта произошла непосредственно с одной из наших коллег. Вот что она рассказала:
«На email приходит оповещение от известного сайта о новом сообщении. Лично я получила такое письмо от сайта, маскирующего под Хабрахабр. В нём говорится, что такой-то пользователь сообщества оставил мне сообщение, которое можно прочитать, пройдя по ссылке. Абсолютно стандартная процедура. При переходе по ссылке появляется окно на подобие тех, которые возникают при логине на сайт через социальные сети, и предлагается разрешить доступ к вашему ящику электронной почты. Поскольку все выглядит стандартно - рука сама тянется к слову «Разрешить». Но нужно сдерживать свои порывы – потеря ящика электронной почты в наше время является настоящей трагедией. Сразу после этого инцидента я на всякий случай сменила пароль».
Помните, что защита электронной почты требует определённой профилактики. Будьте аккуратны и бдительны! Используйте защищенную электронную почту!