Пандемия COVID-19 сильно помогла мошенникам: придумывать способы эмоционального воздействия на жертву больше не нужно. Увидев зловещее название, люди послушно выполняют самые абсурдные указания.

В цикле статей мы разберемся, как мошенники эксплуатируют тему пандемии: через какие каналы и с помощью каких эмоций происходят атаки.

В сегодняшнем выпуске — примеры атак от организаций, которые обещают компенсации или какие-то выплаты:
— Объединённый компенсационный фонд.
— Портал здравоохранения граждан СНГ.
— Группа финансовой помощи.

Андрей Жаркевич
автор

Мошенники № 1. Объединённый компенсационный фонд

Несуществующий «Объединённый Компенсационный Фонд» (ОКФ) с прошлого года предлагает гражданам получить компенсации «при наличии законных оснований».

Для привлечения доверчивых граждан используются массовые рассылки в вайбере и соцсетях от имени портала госуслуг:

После перехода по ссылке жертва попадает на небрежно сделанную страницу, содержащую картинку с кнопкой, которая ведёт на уже более приличный мошеннический «портал».

Ну как не заплатить всего 281 рубль, чтобы получить 127 тысяч?

Мошенники № 2. Портал здравоохранения граждан СНГ

Благодаря пандемии тема получения компенсаций от государства обрела второе дыхание. Вместо кустарного ОКФ на сцене появился прилично сделанный сайт под названием «Портал здравоохранения граждан СНГ». Портал предлагает получить выплату на борьбу с коронавирусом.

На Яндекс.Дзене мошенники создали канал с названием «Россия Сегодня», в котором размещают публикации, рекламирующие различные мошеннические ресурсы:

После перехода по ссылке из публикации жертва попадает на вполне приличный «Портал»:

Для убедительности на сайте указан номер лицензии и размещён виджет с отзывами, в котором постоянно появляются новые записи:

Время от времени в нижней части экрана появляется сообщение о том, что очередной гражданин получил причитающуюся ему компенсацию.

После нажатия кнопки «Получить помощь» пользователю предлагается заполнить анкету и отправить её:

Сайт имитирует выполнение запросов к базе данных и отображает информацию о происходящем:

После прохождения всех этапов «проверки» выводится «Постановление» о выплате компенсации. Печать, подписи — выглядит убедительно за исключением одной опечатки в верхней части страницы:

Получение компенсации производится только в режиме ONLINE. Нажимаем кнопку:

Появляется окно чата, в котором «юрист» что-то набирает.

Мошенники стремятся создать иллюзию диалога с живым человеком, однако ответы пользователя не анализируются.

Как и на других сайтах с «компенсациями» для получения крупной суммы нужно заплатить мелкую. В этом случае — 365 рублей. После нажатия кнопки «Добавить запись в реестр» происходит переход на форму оплаты:

На этот раз страх связан не столько с заражением, сколько с возможностью выжить, лишившись работы и постоянного дохода. Когда на горизонте маячит крупная выплата, подпитанная этим страхом жадность перехватывает инициативу у разума и заставляет людей снова и снова отправлять небольшие суммы мошенникам, которые именно на такой вариант развития событий и рассчитывают.

Мошенники № 3. Группа финансовой помощи

В качестве исходного ресурса для кампании используется уже знакомый нам мошеннический Дзен-канал «России Сегодня». Согласно публикации, каждый россиянин гарантированно может получить финансовую помощь от китайских бизнесменов:

После перехода на сайт оказывается, что помощь оказывают российские бизнесмены, но к этому моменту о Китае уже никто не вспоминает, потому что на горизонте замаячили деньги:

Факторы для повышения доверия и вовлечения в процесс:

• праведный гнев на Китай, ставший источником пандемии;
• положительные комментарии в подвале сайта;
• неудача на первом этапе «рассмотрения» заявки, после которой «наконец-то» принимается положительное решение о крупной выплате.

Наши рекомендации

1. Выдержите паузу прежде чем переходить по ссылке, открывать вложение или нажимать на кнопку оплаты. Встаньте с рабочего места, отложите в сторону смартфон, закройте глаза и досчитайте от 10 до 1.
2. Перечитайте ещё раз. Обратите внимания на адрес отправителя, оформление письма и стиль написания.
3. Сделайте завтра. Во всех сомнительных ситуациях откажитесь от немедленных действий, которых от вас добиваются авторы сообщений или незнакомые собеседники. Отложите их на завтра, чтобы обдумать или даже обсудить с кем-то из знакомых.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 27 марта по 2 апреля 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты и почта

Организаторы вредоносной кампании, эксплуатирующей тему пандемии COVID-19 рассылают фишинговые письма от имени местных медучреждений.

1. В письмах сообщается, что получатель был в контакте с больным коронавирусом и настоятельно рекомендуют получателю письма провериться самому.

2. Для проверки нужно распечатать и принести в ближайшую больницу прикреплённое к письму вложение «EmergencyContact.xlsm».

3. При открытии файла у пользователя будут запрошены разрешения на выполнение контента.

4. Если пользователь даст разрешение, в систему установится вредоносная программа, которая

• Похищает кошельки с криптовалютой.
• Похищает куки браузера, которые могут позволить злоумышленникам войти на сайты с учетной записью жертвы.
• Получает список запущенных на компьютере программ.
• Ищет доступные сетевые ресурсы с помощью команды net view /all /domain.
• Получает информацию о локальном IP-адресе.

Авторы новой кампании используют оригинальную технику, распространяя троянскую программу LimeRAT в зашифрованных файлах MS Excel.

Чтобы скрыть от защитных решений вредоносные макросы в документе и избавиться от необходимости взаимодействия с пользователем, киберпреступники придумали следующий трюк:

• В свойствах документа указывается, что документ предназначен только для чтения.
• На открытие документа устанавливается пароль «VelvetSweatshop». Этот пароль Excel использует первым при открытии любого защищённого документа. Если попытка не удалась, пароль запрашивается у пользователя. Иначе документ просто открывается.

В результате при открытии вложения пароль не запрашивается, однако защитные решения ничего не обнаруживают, поскольку документ зашифрован с помощью пароля «VelvetSweatshop». А поскольку документ имеет свойство «только для чтения», у пользователя не запрашивается разрешение на выполнение макросов, однако после расшифровки они выполняются.

Обнаружена сеть мошеннических генераторов QR-кодов для адресов биткоин-кошельков.

Вместо преобразования введенного биткоин-адреса в его эквивалент QR-кода, сайт всегда генерирует один и тот же QR-код для кошелька мошенника. Если пользователь поделится таким QR-кодом с другим человеком или разместит его на сайте для сбора пожертвований, все деньги будут перечисляться на адрес преступника.

Фальшивые QR-генераторы находятся на сайтах

• bitcoin-barcode-generator.com;
• bitcoinaddresstoqrcode.com;
• bitcoins-qr-code.com;
• btc-to-qr.com;
• create-bitcoin-qr-code.com;
• free-bitcoin-qr-codes.com;
• freebitcoinqrcodes.com;
• qr-code-bitcoin.com;
• qrcodebtc.com.

QR-мошенникам удалось похитить около 45 тыс. долларов США в биткоинах.

Серверы, на которых расположены мошеннические генераторы QR-кодов, также обслуживали фальшивые «акселераторы биткоин-транзакций». Эти сайты просят пользователей ввести идентификатор транзакции и обещают «ускорить» процесс ее утверждения в блокчейне:

• bitcoin-transaction-accelerator.com;
• transaction-accelerator.com;
• bitcoin-tx-transaction-accelerator.com;
• viabtc-transaction-accelerator.com.

За свои услуги сайты берут комиссию в размере 0,001 BTC (около 6,5 долларов США). Всего «акселераторы» получили за время работы 17,6 BTC — около 117 тыс. долларов США.

С начала пандемии COVID-19 было зарегистрировано более 1700 мошеннических доменов Zoom. Стремительно выросшая популярность сервиса видеоконференций позволяет киберпреступникам воспользоваться ситуацией для вредоносной деятельности.

Количество зарегистрированных доменов Zoom

Некоторые из сайтов, размещённых на этих доменов, под видом приложения Zoom предлагали загрузить файлы с именами «zoom-us-zoom_#####.exe» и «microsoft-teams_V#mu#D_#####.exe”.

Если пользователь запускал эти программы, на его компьютер устанавливался хакерский инструментарий InstallCore, который позволяет преступникам установить другие вредоносные утилиты.

Атаки и уязвимости

В клиенте Zoom для Windows обнаружена уязвимость, которая может привести к утечке учетных данных пользователей через UNC-ссылки.

Суть уязвимости состоит в следующем:

• при использовании Zoom участники конференции могут отправлять друг другу текстовые сообщения через интерфейс чата;
• переданные таким образом адреса преобразуются в гиперссылки, чтобы другие участники могли нажать на них и открыть в браузере по умолчанию;
• Windows-клиент Zoom преобразует ссылки в UNC-пути;
• если отправить в чат ссылку вида \\site.com\pics\cat.jpg, Windows попытается подключиться к этому сайту, используя протокол SMB, чтобы открыть файл cat.jpg. При этом удалённому сайту будет передано имя пользователя и его NTLM хэш, который можно взломать, используя утилиту Hashcat или другие инструменты.

Используя эту технику, можно запустить программу на локальном компьютере. Например, по ссылке \\127.0.0.1\C$\windows\system32\calc.exe запустится калькулятор:

Инциденты

Злоумышленники взломали более тридцати YouTube-каналов, переименовали их с использованием различных брендов Microsoft и запустили трансляцию якобы от имени Билла Гейтса с рекламой криптовалютной финансовой пирамиды.

Для трансляции преступники использовали запись выступления Гейтса в венчурной компании Village Global в июне 2019 года, посвященное теме стартапов. Во время трансляции демонстрировалась реклама с призывом принять участие в розыгрыше призов. Для участия нужно было отправить мошенникам небольшую сумму в криптовалюте. Сумму обещали удвоить, но обещание не исполнялось.

В общем доступе опубликованы личные данные 4,9 миллионов граждан Грузии.

База данных MS Access размером 1,04 Гб содержит имена, адреса, даты рождения, номера ID и номера мобильных телефонов. В базе имеется 4 934 863 записи. Среди них, вероятно, присутствуют сведения об умерших, поскольку в настоящее время население Грузии составляет 3,7 миллиона человек. Источник данных пока также не удалось установить.

Сеть отелей Marriott сообщила об утечке данных 5,2 млн своих клиентов. Источником утечки стали учётные данные двух сотрудников.

Злоумышленники похитили имена и даты рождения постояльцев, электронные и почтовые адреса, номера телефонов, номера и баланс счетов, а также информацию о предпочитаемых комнатах и языках общения. Пока нет достоверных свидетельств того, что преступники получили доступ к данным банковских карт и паспортов, паролям и PIN-кодам участников программы лояльности Marriott Bonvoy.

Вредоносное ПО

Банковский троян Zeus Sphinx появился после нескольких лет бездействия и распространяется через вложенные в фишинговые письма вредоносные файлы «COVID 19 relief».

• В письмах сообщается, что пользователи имеют право на получение правительственной помощи.
• Для получения средств якобы необходимо заполнить специальную форму, которая прилагается к посланию в формате .DOC или .DOCX.
• При загрузке документа запрашивается пароль, указанный в письме.

• После ввода пароля и открытия документ информирует жертву о необходимости включить макросы.

• Если жертва разрешает выполнение макросов, происходит подключение к управляющему серверу, а затем запускается Zeus Sphinx.
• Закрепившись в системе, вредонос ждёт, когда пользователь посетит страницу системы онлайн-банкинга и модифицирует код страницы, чтобы похитить учётные данные пользователя и отправить их на сервер злоумышленников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Основной продукт, который с 2016 года делает наша команда — система «Антифишинг». С её помощью службы безопасности непрерывно обучают своих сотрудников и тренируют их навыки.

Несмотря на то, что продукт используют профессионалы — менеджеры и специалисты по безопасности, — нам важно, чтобы его задачи и ценность были понятны каждому руководителю и собственнику бизнеса.

Именно для этого мы попросили Артемия Лебедева разобрать и прокомментировать наш сайт, — первое и часто единственное, на что готовы посмотреть руководители такого уровня.

В статье мы собрали главные цитаты из разбора и добавили комментарии, которые помогут лучше понять ценность «Антифишинга».

Андрей Жаркевич
редактор

«Да, на%бывают так — только в путь»

Это правда.

По статистике Банка России фишинг и другие цифровые атаки на людей стали причиной кражи денег у физических лиц в 97% случаев, а у юридических лиц, вместе с воздействием вредоносного кода — в 85% случаев:

Согласно отчету Verizon, электронная почта была и остается главным вектором распространения вредоносного кода — в 92% случаев, а также и фишинга — в 96% случаев.

ФинЦЕРТ Банка России. Обзор несанкционированных переводов денежных средств за 2018 год.

Verizon’s 2018 Data Breach Investigations Report.

«Система рассылает псевдо-фишинговое письмо, чтобы понять, в какой момент сотрудник дал слабину, нажал, и тут ему вылетает из-за угла кувалда, &$ошит по башке со словами: „Не делай так больше никогда“»

Да, Антифишинг умеет работать и так :-)

Есть детали:

1. Мы рекомендуем начинать с обучения: через наши электронные курсы сотрудники узнают главные правила безопасности и увидят примеры самых разных ситуаций, в которых могут оказаться.
2. Мы больше трех лет изучаем и внимательно классифицируем инциденты, связанные с поведением людей. Поэтому имитированные атаки через Антифишинг максимально полно покрывают все возможные ситуации и лучше, чем любой спам тренируют навыки людей.
3. «Кувалда» — мгновенная и эмоциональная обратная связь, — действительно очень важна, и мы обеспечиваем ее в каждой атаке. Например, так:

Описание и демо-версии курсов Антифишинга.

Классификация цифровых атак Антифишинга.

«Мне кажется, для большой компании, особенно где много людей получают всякие входящие переписки по емейл, это прям вещь. Мне нравится такой подход»

Для больших компаний особенно полезны будут:

1. Автоматизация Антифишинга. Система умеет отслеживать статусы каждого сотрудника, планировать обучение и тренировки навыков при отклонениях от нормального поведения или по времени. На управление процессом понадобится не более одного часа в неделю, даже если у вас больше тысячи сотрудников.
2. Интеграция с другими системами и процессами. Антифишинг умеет работать с каталогом LDAP, корпоративными HR-системами и системами дистанционного обучения. Благодаря встроенному RESTful API Антифишинг легко интегрируется с любыми процессами и существующими системами безопасности: IDM, IRP/SOC, SIEM и другими.
3. Контроль уязвимостей приложений. Для сотрудников, которые продемонстрировали небезопасное поведение — открывали имитированные фишинговые письма, переходили по ссылкам или открывали вложения — Антифишинг определяет версии браузеров, плагинов, офисных программ и операционных систем. Это помогает выявить и устранить самые опасные уязвимости как можно раньше, до их реальной эксплуатации злоумышленниками.

«Я бы для себя тоже такое заказал, но у нас в компании все прошаренные, не открывают левые письма, и у нас хорошая служба безопасности»

Грамотные и опытные сотрудники, а также хорошая служба безопасности — лучшая защита от таких атак. Однако наш опыт показывает, что даже «прошаренные» специалисты вполне могут стать жертвами атаки, которая хорошо подготовлена:

• задействует эмоции — страх, жадность, любопытство или желание помочь;
• содержит усилители — срочность или авторитет;
• имеет корпоративную или внешнюю атрибуцию — выглядит как сообщение от руководителя или важного партнера.

Даже если в вашей компании все сотрудники — опытные специалисты, важно непрерывно обучать и регулярно тренировать их навыки в самых сложных имитированных атаках.

Это же относится к людям, которые внезапно оказались в новых для себя условиях, например, из традиционной офисной среды ушли работать удалённо, из дома, с личных устройств.

Что нужно знать о фишинге.

Как работать удалённо и оставаться в безопасности —по-русски.
How to Work From Home and Stay Safe — in English.

«Отличный проект»

Спасибо!

Для тех, кто еще не использует «Антифишинг», рекомендуем:

1. Прочитайте и перешлите коллегам актуальные статьи:

Психологическая помощь себе, близким и коллегам в условиях социальной изоляции.

Как действуют хакеры.

Как узнать фишинговое письмо.

Опасные вложения.

2. Подпишитесь на наш дайджест, телеграм-канал и группу ВК.

3. Организуйте регулярное дистанционное обучение для своих сотрудников, а также процесс тренировки практических навыков по безопасности.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.