По данным лаборатории FortiGuard Labs, в России уже в предковидный период, в январе-феврале 2020 года, среди интернет-угроз лидировал фишинг. После объявления периода изоляции эксперты в области информационной безопасности рассказали о появлении более чем 600 фишинговых доменных имен отечественных банков, сотнях фишинговых ресурсов, работающих по схеме с ложной курьерской доставкой товаров из интернет-магазинов и заменяющих самих онлайн-ретейлеров.
Фишинг, напомним, — это способ интернет-мошенничества, с помощью которого злоумышленники получают доступ к конфиденциальным данным пользователей — логинам и паролям. Как правило, злоумышленники отправляют электронные сообщения с фишинговыми ссылками внутри. Эти ссылки ведут на сайт, внешне не отличимый от настоящего, либо на страницу с функцией переадресации на другую. После клика на подобную ссылку на компьютер жертвы может загрузиться вредоносное ПО.
Эксперты уверены: киберпреступность затрагивает все отрасли, но в первой половине 2020 года тяжелее всех пришлось розничной торговле и финансовой сфере. «Во время самоизоляции многократно возросла роль дистанционных каналов обслуживания, чем не преминули воспользоваться злоумышленники, — объясняет Андрей Арсентьев, руководитель направления аналитики и спецпроектов ГК InfoWatch. — За короткое время появились сотни клонов таких известных служб доставки посылок, как СДЭК и Boxberry, сайта объявлений Avito, а также сервисов доставки продуктов и готовой еды. На фоне распространения коронавируса мошенники также раскручивали такие темы, как якобы чудодейственные препараты для профилактики и лечения COVID-19, проведение тестирования, возврат средств за несостоявшиеся из-за карантина полеты и туры».
Так как пандемия вызвала устойчивый интерес к чтению новостей, временами перераставший в информационную панику, злоумышленники увидели в этом точку роста прибылей и весьма активно создавали фишинговые сайты, повторяющие внешний вид порталов ведущих СМИ. В поисках новой или более детальной информации о лекарствах, локациях вспышек коронавируса и новых ограничениях интернет-пользователи не обращали внимания на точное имя доменов и легко попадались на уловки мошенников. В частности, мошенники манипулировали и с названием ресурса rbc.ru, предлагая перейти по ссылке на сайт rdc.ru, внешне почти не отличимый от оригинала.
Чуть позже появились мошеннические сайты по продаже цифровых пропусков, добавляет Андрей Арсентьев, а после отмены основных карантинных ограничений — мошеннические сайты по продаже авиабилетов и билетов на мероприятия.
В «Ростелекоме» отмечают 30-процентный рост количества фишинговых и DDoS-атак на Северо-Западе. «В период пандемии многие компании частично или полностью перешли на удаленный формат работы — и возникли риски, поскольку личные компьютеры сотрудников не всегда имеют достаточный уровень защиты. Конечно, злоумышленники пытаются этим воспользоваться, стремясь получать доступ к корпоративной среде или клиентским базам, — рассказали РБК Петербург в филиале «Северо-Запад» компании «Ростелеком». — Стали более выраженными и заметными атаки на организации, которые занимаются продажами через интернет. При этом для атак на сайты или сервисы, которые работают с большим числом клиентов, злоумышленники обычно выбирают время, когда ресурсы максимально загружены посетителями».
Очков мошенникам добавил информационный хаос — в Петербурге даже бизнесу, не говоря о рядовых пользователях, было сложно разобраться в сроках и очередности снятия карантинных ограничений. Поэтому еще в начале лета горожане обсуждали в соцсетях фишинговые сайты по продаже билетов в крупнейшие театры города. На этих сайтах сообщалось о возобновлении театральных сезонов, публиковался репертуар, а на заявленные уже на июнь—июль спектакли можно было купить билеты. Осложняло ситуацию и то, что кассы самих театров не работали, и получить достоверную информацию было негде.
Кибермошенники активно используют массовые настроения, четко подстраиваясь под новостную повестку. В FortiGuard Labs сравнили тенденции поисковых запросов в Google, связанных с COVID, и появление вредоносных URL-адресов на эту же тему, обнаруженных веб-фильтрами компании. Многие из доменов содержали такие слова, как coronavirus, vaccine, chloroquine и remdesvir (последние два слова — лекарственные препараты, которые в разное время позиционировались как средство от коронавируса). Цель создания таких доменов — сбор учетных данных или распространение вредоносных программ и спама. Оказалось, что графики во многом совпадают, что демонстрирует, насколько быстро злоумышленники подхватывают резонансные новости и темы.
«Когда люди взволнованы, и общий эмоциональный фон очень нервный, высок шанс, что человек кликнет на ссылку в письме, в котором написано: «Новая информация о зараженных коронавирусом в вашей организации» или «Это срочно: протестировано новое лекарство». Когда есть общая паника, шанс, что люди сделают глупость, гораздо больше. Инструменты взлома те же самые, просто тематики меняются», — комментирует генеральный директор НПК «Криптонит» Вартан Хачатуров.
В «Яндекс.Деньгах» называют фишинг одним из самых популярных способов интернет-мошенничества в последнее время. Одна из причин эффективности этого вида киберпреступлений состоит в умении мошенников обходить фильтры поисковиков, говорит руководитель направления по развитию нового бизнеса «Яндекс.Денег» (входит в экосистему «Сбербанка») Дарья Зайцева. В результате, например, при запросе «погасить кредит» поисковики первыми (рекламными) ссылками выдают именно фишинговые сайты.
Технический директор Trend Micro Михаил Кондрашин отмечает, что дополнительным драйвером распространения фишинга стал перевод россиян на удаленную работу. Опрос более 13 тыс. человек, проведенный компанией Trend Micro, показал, что 56% респондентов используют на корпоративных компьютерах приложения, не относящиеся к их работе, или применяют для работы с корпоративными данными «сторонние» сайты. При этом 39% часто или даже постоянно обрабатывают корпоративные данные на своем личном устройстве, а 29% опрошенных полагают, что использование сторонних приложений в корпоративной IT-инфраструктуре — это «ерунда», на которую не стоит обращать внимания.
«Описанная ситуация является благодатной средой для киберпреступников по всему миру, в том числе Петербурга, ведь для злоумышленников с введением режима самоизоляции радикально сократилась дистанция до ценных корпоративных данных», — говорит Михаил Кондрашин.
Пока никто не берется определить последствия действий киберпреступников для IT-инфраструктуры как российских, так и глобальных предприятий и организаций.
«Многие задачи, которые компании и государство планировали выполнить в течение 5-10 лет, во время пандемии пришлось решить за две недели. Это переход сотрудников на удаленную работу, предоставление всевозможных государственных услуг удаленно, онлайн-обучение. И те решения, которые были в итоге реализованы, вряд ли были глубоко продуманы с точки зрения обеспечения их устойчивости и безопасности, — отмечает Вартан Хачатуров. — Вполне возможно, что даже если сейчас мы не наблюдаем очень масштабных реализованных атак, мы увидим их после того, как пандемия закончится».
Неизвестно, сколько новых хакерских группировок закрепилось в инфраструктурах компаний, вынужденных часть своих сервисов предоставлять сотрудникам через интернет, поясняет свой тезис Хачатуров. «Неизвестно и то, сколько данных утекло на черный рынок, и когда они появятся на соответствующих биржах; сколько еще звонков в Zoom будут выложены на YouTube, и какая часть информации, прошедшей через эти звонки, будет использована для промышленного шпионажа, — продолжает эксперт. — Мы не знаем, сколько людей, вынужденных вести часть своих процессов через интернет, нажали на фишинговые ссылки в письмах, активировав таким образом мины замедленного действия. Но думаю, что результаты всех этих процессов будут впечатляющими».
Алена Журавлева