Ворованное Рождество

Специалисты отдела защиты бренда и антипиратства Group-IB — о том, кому чаще всего портят праздник киберпреступники.

В канун рождественских и новогодних праздников число преступлений в интернете традиционно растёт. Для хакеров и мошенников это самая доходная пора: перед Новым годом все покупают подарки, ходят на распродажи, думают, где отдохнуть. Киберпреступники применяют самые успешные схемы, которые тестировались в течение года.

95-98% дел, которые мы расследовали, связаны с кражей денег либо информации, которую можно продать: данных банковских карт, персональной информации, документов организаций.

Каждый месяц мы фиксируем около 100 тысяч фишинговых страниц, из них около половины адресованы клиентам банков и других финансовых организаций. Не связаны с монетизацией два-пять процентов случаев. Например, атаки хакеров-активистов на ресурсы государственных учреждений, глобальных корпораций, СМИ.

Перед Новым годом возрастают объёмы продаж контрафакта и учащаются случаи интернет-мошенничества. При поиске подарков и товаров со скидками высок риск попасть на сайты с подделками, где предлагают продукцию люксовых марок с привлекательными новогодними скидками.

Мы прослеживаем прямую связь между производимым контрафактом и онлайн-продажами подделок. Поэтому список брендов с наибольшим количеством контрафакта в интернете состоит из тех же брендов, под марками которых ежегодно конфискуются огромные объёмы нелегальной продукции. По данным Всемирной таможенной организации, чаще всего подделывают следующие бренды.

На волне роста предновогоднего спроса на алкоголь активизируются онлайн-продавцы. Несмотря на официальный запрет продажи спиртного через интернет, создаются десятки сайтов с предложением розничных и оптовых поставок популярных элитных марок шампанского, вин и крепких напитков. Некоторые продавцы открыто заявляют, что реализуют дубликаты.

Под Новый год активизируются мошенники, которые подделывают сайты для кражи денег и данных пользователей. Схемы могут быть разные.

Недавно в даркнете мы обнаружили описание схемы заработка на несуществующих кинотеатрах. Мы полагаем, что случаи такого мошенничества участятся. Схема следующая. Создаётся одностраничный лендинг вроде «Кинотеатр для двоих» или «VIP кинотеатр» с популярными фильмами на афише. Помимо хорошего кино и камерной обстановки предлагается шампанское с фруктами и иногда даже ванная.

Билет стоит от четырёх тысяч рублей за человека. Для его получения необходимо внести полную предоплату переводом на банковскую карту или электронный кошелек. В реальности такого кинотеатра не существует.

Мошенники следят за ажиотажным спросом вместе с перекупщиками. Они создают сайты с предложением купить билеты в цирк, на ёлку, в театр и на другие представления, которые в реальности уже давно распроданы. От поддельных билетов страдают и авиаперевозчики. В предновогодний сезон появляются страницы, на которых предлагают перелёты по привлекательным ценам. Иногда в пакет входит и бронирование отеля.

Накануне Нового года благотворительные фонды традиционно организуют сборы для закупки подарков и проведения праздников. Преступники в свою очередь объявляют сбор от лица благотворительного фонда или копируют реальные объявления с измененными реквизитами.

Около 50% фишинговых сайтов, которые мы обнаруживаем, ориентированы на клиентов финансово-кредитных учреждений. Распространённая схема — когда пользователя просят ввести данные банковской карты для получения денежного подарка.

Так в 2016 году в канун праздников мы заблокировали фишинговый ресурс, который маскировался под крупный российский банк. Пользователю обещали подарить бонусные баллы за номер телефона и другие данные. Лендинг был оформлен в новогодней тематике и имел значок популярного антивируса.

Осенью мы рассказывали про случаи мошенничества с iPhone X. Перед официальным стартом продаж мы выявили около 500 сайтов на разных языках, где якобы можно было сделать предзаказ либо купить iPhone со скидкой в 30% от официальной цены.

Пользователь заказывал устройство и отправлял стопроцентную оплату переводом на карту или электронный кошелёк, а после этого не мог связаться с продавцом. По нашим прогнозам, второй пик случаев мошенничества с электроникой и техникой придётся именно на зимние праздники: все ждут скидок.

Розыгрыши путёвок, билетов, техники, подарочных сертификатов от лица известных брендов. Чтобы войти в доверие к пользователям, мошенники используют социальную инженерию. Нужно ввести свои данные, подтвердить, что ты совершеннолетний и хочешь участвовать в акции.

Трафик нагоняется быстро благодаря условию поделиться ссылкой на розыгрыш в соцсетях. Целью мошенников могут быть кража данных и перенаправление трафика на сторонние ресурсы. При этом может также произойти заражение компьютера.

WannaCry ($1 млрд). Атака вируса-шифровальщика WannaCry в мае 2017 года. Всего за три дня вирус-шифровальщик WannaCry атаковал 200 тысяч компьютеров в 150 странах мира: прошёлся по сетям университетов в Китае, заводов Renault во Франции и Nissan в Японии, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. За атакой, возможно, стоит северокорейская группа Lazarus.

Долгое время банки и их состоятельные клиенты были главной целью киберпреступников. Но теперь у них сильные конкуренты в лице ICO и блокчейн-стартапов. Всё, что связано с криптовалютами, привлекает внимание хакеров.

Платформа для управления инвестиционным портфолио CoinDash потеряла более $6 млн за первые три минуты с начала ICO из-за уязвимости в коде сайта. У Veritaseum взломщики смогли похитить токены VERI. Проект потерял около $8,4 млн.

Проникнув в банковскую сеть, хакеры стараются получить доступ к системе межбанковских переводов (SWIFT или АРМ КБР), карточному процессингу или системам банкоматов.

В октябре 2017 года преступники ограбили банк Far Eastern International Bank Тайваня. Добравшись до системы международных межбанковских переводов (SWIFT), к которой был подключен банк, хакеры смогли вывести почти $60 млн на счета в Шри-Ланке, Камбодже и США. По одной из версий, за атакой стоит группа Lazarus.

В апреле была задержан последний участник группировки Cron, похищавшей деньги с банковских счетов пользователей смартфонов Android. Ежедневно киберпреступники с помощью банковского трояна Cron заражали 3,5 тысячи телефонов и меньше чем за год установили его почти на 1 млн устройств. Общий ущерб от действий Cron оценивается как минимум в 50 млн рублей.

В России остались три преступных группы, которые похищают деньги у юридических лиц: Ranbyus, RTM, Buhtrap. В этом году им удалось похитить 622 млн рублей. Средний размер ущерба увеличился до 1,25 млн рублей — атакующие стали тщательнее подбирать жертв. Летом мы обнаружили масштабные заражения пользователей банковским трояном Buhtrap через популярные СМИ, сайты для бухгалтеров, юристов и директоров.

Объектами хакерских атак в любое время года становятся в первую очередь сайты и инфраструктура банков. По данным Qrator Labs и «Валарм», в 2016 году самыми распространёнными видами преступлений были DDoS-атаки, фишинг и взлом веб-приложений.

В предпраздничную пору высок риск взлома иных ресурсов, связанных с деньгами и торговлей: онлайн-магазинов, торговых площадок, сайтов с играми и фильмами, а также другие крупные объекты, к примеру, коммунальная инфраструктура, СМИ. В одних случаях масштабная атака — это попытка сорвать куш. В других — заявить о себе или прорекламировать собственный продукт (к примеру, вредоносное программное обеспечение).

2011 год. В канун католического Рождества (24 декабря) группировка Anonymous взломала серверы американской разведывательной компании Stratfor, которая работает в том числе с министерством обороны США. Хакерам удалось скачать 200 гигабайт информации: данные кредитных карт, email, телефоны, пароли клиентов компании.

В обращении к Stratfor взломщики попросили устроить «восхитительный обед» для американского военнослужащего Бредли Меннинга (ныне девушки по имени Челси Меннинг), который находился под арестом в связи с публикацией секретных данных министерства обороны США.

2013 год, 19 декабря. В самый разгар сезона покупок один из крупнейших американских ритейлеров Target сообщил о хищении данных банковских карт 40 млн покупателей, пользовавшихся сервисом с 27 ноября. Позже компания уточнила количество пострадавших: хакеры получили доступ к данным 70 млн клиентов, включая почтовые и электронные адреса.

В 2017 году ритейлер выплатил $18,5 млн 47 штатам США и округу Колумбия в связи с масштабной утечкой данных. Доступ к базе Target Corp преступники получили с помощью одного из поставщиков компании. В компании признали, что игнорировали признаки взлома.

2014 год. 25 декабря пользователи не смогли получить доступ к сайтам PlayStation Network и Xbox Live (владельцы — компании Sony и Microsoft), чтобы протестировать подаренные игровые приставки. Обе платформы были отключены вследствие DDoS-атаки, организованной группировкой Lizard Squard. Один из членов группировки заявил: «Рождество — это когда дети играют в приставку или празднуют вместе с семьями?». Сайт Xbox Live восстановился на следующий день, а PSN был недоступен трое суток.

2015 год. 25 декабря хакеры устроили DDoS-атаку на сервис Steam, принадлежащий разработчику компьютерных игр Valve. Пользователи, которые заходили на сайт Steam (в частности, в раздел «Магазин», чтобы купить игры), замечали ошибки при аутентификации (использование иных языковых настроек и отображение информации других пользователей).

Позже представители Valve объяснили, что во время атаки объём трафика, направленного на магазин Steam, был на 2000% выше среднего уровня трафика в дни распродаж.

2016 год. 23 декабря была обесточена часть западной Украины, а также Ивано-Франковская область. Компания «Прикарпатьеоблэнеро», которая обеспечивает электроснабжение объектов, сообщила о сбоях в работе оборудования, которые привели к массовому отключению электричества. В компании подтвердили, что сбой был связан с кибератакой. Эксперты, расследовавшие инцидент, пришли к выводу, что при атаке использовался вирус Black Energy, позволивший хакерам получить доступ к инфраструктуре.

В декабре 2016 года появилась новая версия известного (самого распространённого вымогателя, по данным на начало 2017 года) вируса-шифровальщика Cerber. Помимо технических особенностей (улучшенного поиска и шифрования файлов), вирус имел праздничную упаковку: на экране заражённого компьютера появлялась заставка в рождественских цветах.

Угроза стать жертвой преступления в интернете так же реальна, как уличный грабёж — с той лишь разницей, что физические лица несут материальные потери, а компании (бренды) ещё и имиджевые.

Примечательно, что средства с карты могут списать не сразу после кражи данных, но и через определённый период времени. К примеру, если данные вашей карты украли в начале декабря, средства могут снять в перед самым Новым годом, когда у многих приходит 13-я зарплата, или в апреле-мае, когда у компаний заканчивается отчётный период.

Cтопроцентной защиты от взлома нет. Но если следовать правилам, можно минимизировать риск.