Andrey Busargin
2 183
Блоги

Ворованное Рождество

Специалисты отдела защиты бренда и антипиратства Group-IB — о том, кому чаще всего портят праздник киберпреступники.

Поделиться

В избранное

В избранном

Андрей Бусаргин

В канун рождественских и новогодних праздников число преступлений в интернете традиционно растёт. Для хакеров и мошенников это самая доходная пора: перед Новым годом все покупают подарки, ходят на распродажи, думают, где отдохнуть. Киберпреступники применяют самые успешные схемы, которые тестировались в течение года.

95-98% дел, которые мы расследовали, связаны с кражей денег либо информации, которую можно продать: данных банковских карт, персональной информации, документов организаций.

Каждый месяц мы фиксируем около 100 тысяч фишинговых страниц, из них около половины адресованы клиентам банков и других финансовых организаций. Не связаны с монетизацией два-пять процентов случаев. Например, атаки хакеров-активистов на ресурсы государственных учреждений, глобальных корпораций, СМИ.

Самые подделываемые бренды

Перед Новым годом возрастают объёмы продаж контрафакта и учащаются случаи интернет-мошенничества. При поиске подарков и товаров со скидками высок риск попасть на сайты с подделками, где предлагают продукцию люксовых марок с привлекательными новогодними скидками.

Мы прослеживаем прямую связь между производимым контрафактом и онлайн-продажами подделок. Поэтому список брендов с наибольшим количеством контрафакта в интернете состоит из тех же брендов, под марками которых ежегодно конфискуются огромные объёмы нелегальной продукции. По данным Всемирной таможенной организации, чаще всего подделывают следующие бренды.

  • Игры и игрушки: Walt Disney.
  • Косметика и парфюмерия: MAC Cosmetics.
  • Медицинская техника и препараты: Viagra, Cialis.
  • Одежда, аксессуары: Chanel, Michael Kors, Louis Vuitton, Gucci, RayBan.
  • Обувь: Adidas, Nike.
  • Электроника: Samsung, Apple.

На волне роста предновогоднего спроса на алкоголь активизируются онлайн-продавцы. Несмотря на официальный запрет продажи спиртного через интернет, создаются десятки сайтов с предложением розничных и оптовых поставок популярных элитных марок шампанского, вин и крепких напитков. Некоторые продавцы открыто заявляют, что реализуют дубликаты.

Популярные мошеннические схемы

Под Новый год активизируются мошенники, которые подделывают сайты для кражи денег и данных пользователей. Схемы могут быть разные.

Антикинотеатры

Недавно в даркнете мы обнаружили описание схемы заработка на несуществующих кинотеатрах. Мы полагаем, что случаи такого мошенничества участятся. Схема следующая. Создаётся одностраничный лендинг вроде «Кинотеатр для двоих» или «VIP кинотеатр» с популярными фильмами на афише. Помимо хорошего кино и камерной обстановки предлагается шампанское с фруктами и иногда даже ванная.

Билет стоит от четырёх тысяч рублей за человека. Для его получения необходимо внести полную предоплату переводом на банковскую карту или электронный кошелек. В реальности такого кинотеатра не существует.

Билеты

Мошенники следят за ажиотажным спросом вместе с перекупщиками. Они создают сайты с предложением купить билеты в цирк, на ёлку, в театр и на другие представления, которые в реальности уже давно распроданы. От поддельных билетов страдают и авиаперевозчики. В предновогодний сезон появляются страницы, на которых предлагают перелёты по привлекательным ценам. Иногда в пакет входит и бронирование отеля.

Благотворительность

Накануне Нового года благотворительные фонды традиционно организуют сборы для закупки подарков и проведения праздников. Преступники в свою очередь объявляют сбор от лица благотворительного фонда или копируют реальные объявления с измененными реквизитами.

Подарки клиентам банков

Около 50% фишинговых сайтов, которые мы обнаруживаем, ориентированы на клиентов финансово-кредитных учреждений. Распространённая схема — когда пользователя просят ввести данные банковской карты для получения денежного подарка.

Так в 2016 году в канун праздников мы заблокировали фишинговый ресурс, который маскировался под крупный российский банк. Пользователю обещали подарить бонусные баллы за номер телефона и другие данные. Лендинг был оформлен в новогодней тематике и имел значок популярного антивируса.

Продажа электроники

Осенью мы рассказывали про случаи мошенничества с iPhone X. Перед официальным стартом продаж мы выявили около 500 сайтов на разных языках, где якобы можно было сделать предзаказ либо купить iPhone со скидкой в 30% от официальной цены.

Пользователь заказывал устройство и отправлял стопроцентную оплату переводом на карту или электронный кошелёк, а после этого не мог связаться с продавцом. По нашим прогнозам, второй пик случаев мошенничества с электроникой и техникой придётся именно на зимние праздники: все ждут скидок.

Розыгрыши

Розыгрыши путёвок, билетов, техники, подарочных сертификатов от лица известных брендов. Чтобы войти в доверие к пользователям, мошенники используют социальную инженерию. Нужно ввести свои данные, подтвердить, что ты совершеннолетний и хочешь участвовать в акции.

Трафик нагоняется быстро благодаря условию поделиться ссылкой на розыгрыш в соцсетях. Целью мошенников могут быть кража данных и перенаправление трафика на сторонние ресурсы. При этом может также произойти заражение компьютера.

Пять крупнейших киберпреступлений по объёмам ущерба в 2017 году

Вирусы-шифровальщики

WannaCry ($1 млрд). Атака вируса-шифровальщика WannaCry в мае 2017 года. Всего за три дня вирус-шифровальщик WannaCry атаковал 200 тысяч компьютеров в 150 странах мира: прошёлся по сетям университетов в Китае, заводов Renault во Франции и Nissan в Японии, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. За атакой, возможно, стоит северокорейская группа Lazarus.

Атаки на ICO

Долгое время банки и их состоятельные клиенты были главной целью киберпреступников. Но теперь у них сильные конкуренты в лице ICO и блокчейн-стартапов. Всё, что связано с криптовалютами, привлекает внимание хакеров.

Платформа для управления инвестиционным портфолио CoinDash потеряла более $6 млн за первые три минуты с начала ICO из-за уязвимости в коде сайта. У Veritaseum взломщики смогли похитить токены VERI. Проект потерял около $8,4 млн.

Целевые атаки на банки

Проникнув в банковскую сеть, хакеры стараются получить доступ к системе межбанковских переводов (SWIFT или АРМ КБР), карточному процессингу или системам банкоматов.

В октябре 2017 года преступники ограбили банк Far Eastern International Bank Тайваня. Добравшись до системы международных межбанковских переводов (SWIFT), к которой был подключен банк, хакеры смогли вывести почти $60 млн на счета в Шри-Ланке, Камбодже и США. По одной из версий, за атакой стоит группа Lazarus.

Кражи денег с помощью Android-троянов

В апреле была задержан последний участник группировки Cron, похищавшей деньги с банковских счетов пользователей смартфонов Android. Ежедневно киберпреступники с помощью банковского трояна Cron заражали 3,5 тысячи телефонов и меньше чем за год установили его почти на 1 млн устройств. Общий ущерб от действий Cron оценивается как минимум в 50 млн рублей.

Кражи посредством интернет-банкинга

В России остались три преступных группы, которые похищают деньги у юридических лиц: Ranbyus, RTM, Buhtrap. В этом году им удалось похитить 622 млн рублей. Средний размер ущерба увеличился до 1,25 млн рублей — атакующие стали тщательнее подбирать жертв. Летом мы обнаружили масштабные заражения пользователей банковским трояном Buhtrap через популярные СМИ, сайты для бухгалтеров, юристов и директоров.

Хакерские «праздники»

Объектами хакерских атак в любое время года становятся в первую очередь сайты и инфраструктура банков. По данным Qrator Labs и «Валарм», в 2016 году самыми распространёнными видами преступлений были DDoS-атаки, фишинг и взлом веб-приложений.

В предпраздничную пору высок риск взлома иных ресурсов, связанных с деньгами и торговлей: онлайн-магазинов, торговых площадок, сайтов с играми и фильмами, а также другие крупные объекты, к примеру, коммунальная инфраструктура, СМИ. В одних случаях масштабная атака — это попытка сорвать куш. В других — заявить о себе или прорекламировать собственный продукт (к примеру, вредоносное программное обеспечение).

Самые известные новогодние хакерские атаки

2011 год. В канун католического Рождества (24 декабря) группировка Anonymous взломала серверы американской разведывательной компании Stratfor, которая работает в том числе с министерством обороны США. Хакерам удалось скачать 200 гигабайт информации: данные кредитных карт, email, телефоны, пароли клиентов компании.

В обращении к Stratfor взломщики попросили устроить «восхитительный обед» для американского военнослужащего Бредли Меннинга (ныне девушки по имени Челси Меннинг), который находился под арестом в связи с публикацией секретных данных министерства обороны США.

2013 год, 19 декабря. В самый разгар сезона покупок один из крупнейших американских ритейлеров Target сообщил о хищении данных банковских карт 40 млн покупателей, пользовавшихся сервисом с 27 ноября. Позже компания уточнила количество пострадавших: хакеры получили доступ к данным 70 млн клиентов, включая почтовые и электронные адреса.

В 2017 году ритейлер выплатил $18,5 млн 47 штатам США и округу Колумбия в связи с масштабной утечкой данных. Доступ к базе Target Corp преступники получили с помощью одного из поставщиков компании. В компании признали, что игнорировали признаки взлома.

2014 год. 25 декабря пользователи не смогли получить доступ к сайтам PlayStation Network и Xbox Live (владельцы — компании Sony и Microsoft), чтобы протестировать подаренные игровые приставки. Обе платформы были отключены вследствие DDoS-атаки, организованной группировкой Lizard Squard. Один из членов группировки заявил: «Рождество — это когда дети играют в приставку или празднуют вместе с семьями?». Сайт Xbox Live восстановился на следующий день, а PSN был недоступен трое суток.

2015 год. 25 декабря хакеры устроили DDoS-атаку на сервис Steam, принадлежащий разработчику компьютерных игр Valve. Пользователи, которые заходили на сайт Steam (в частности, в раздел «Магазин», чтобы купить игры), замечали ошибки при аутентификации (использование иных языковых настроек и отображение информации других пользователей).

Позже представители Valve объяснили, что во время атаки объём трафика, направленного на магазин Steam, был на 2000% выше среднего уровня трафика в дни распродаж.

2016 год. 23 декабря была обесточена часть западной Украины, а также Ивано-Франковская область. Компания «Прикарпатьеоблэнеро», которая обеспечивает электроснабжение объектов, сообщила о сбоях в работе оборудования, которые привели к массовому отключению электричества. В компании подтвердили, что сбой был связан с кибератакой. Эксперты, расследовавшие инцидент, пришли к выводу, что при атаке использовался вирус Black Energy, позволивший хакерам получить доступ к инфраструктуре.

В декабре 2016 года появилась новая версия известного (самого распространённого вымогателя, по данным на начало 2017 года) вируса-шифровальщика Cerber. Помимо технических особенностей (улучшенного поиска и шифрования файлов), вирус имел праздничную упаковку: на экране заражённого компьютера появлялась заставка в рождественских цветах.

Советы

Угроза стать жертвой преступления в интернете так же реальна, как уличный грабёж — с той лишь разницей, что физические лица несут материальные потери, а компании (бренды) ещё и имиджевые.

Примечательно, что средства с карты могут списать не сразу после кражи данных, но и через определённый период времени. К примеру, если данные вашей карты украли в начале декабря, средства могут снять в перед самым Новым годом, когда у многих приходит 13-я зарплата, или в апреле-мае, когда у компаний заканчивается отчётный период.

Cтопроцентной защиты от взлома нет. Но если следовать правилам, можно минимизировать риск.

Рядовым пользователям

  • Перепроверьте, на каком ресурсе вводите данные карты. Соединение с сайтом должно быть безопасным, в адресной строке должен быть указан сертификат HTTPS (хотя и его возможно подделать).
  • Никогда не переводите деньги с карты на карту. С вами должна работать компания, организация с реквизитами и прочими официальными данными.
  • Ищите сайты, которыми планируете воспользоваться впервые. Если это магазин, поищите информацию о нём, используя бесплатные whois-сервисы. Узнайте, когда он был зарегистрирован. Если недавно, велика вероятность, что это мошенники.
  • Постоянно обновляйте операционную систему, в том числе на смартфоне. Следите за новостями.

Компаниям

  • Заранее зарегистрируйте созвучные вашему бренду доменные имена.
  • Постоянно отслеживайте упоминания бренда в интернете: в поисковой выдаче, контекстной рекламе магазинах мобильных приложений, социальных сетях, досках объявлений. Учитывайте, что результаты поисковой выдачи могут подстраиваться под конкретного пользователя, его местоположения или устройства.
  • Поработайте с сотрудниками. В нашем отчёте о деятельности группировки Cobalt, которая организовала логические атаки на банки, мы рассказывали, как, собственно, сотрудники невольно становились помощниками хакеров — когда открывали фишинговые письма.
  • Обновите программное обеспечение и протестируйте инфраструктуру на уязвимости. Безопасность должна быть частью инфраструктуры компании: киберразведка, сканирование бот-трафика, выявление скомпрометированных контрагентов — это задача отдельной группы специалистов.
{ "author_name": "Andrey Busargin", "author_type": "self", "tags": [], "comments": 5, "likes": 13, "favorites": 1, "is_advertisement": false, "section_name": "blog", "id": "30866", "is_wide": "" }
{ "is_needs_advanced_access": false }

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Подписаться на push-уведомления
[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } } ]