Эксперты, опрошенные РБК, зафиксировали рост мошеннических сообщений и сайтов, которые эксплуатируют тему новой коронавирусной инфекции. Злоумышленники пытаются выяснить у пользователей интернета их личные данные, в том числе данные карты, либо продать несуществующие лекарства от коронавируса и тесты для определения инфекции, либо заразить устройство пользователя вредоносным программным обеспечением.
Вредоносные письма
По подсчетам «Лаборатории Касперского», доля фишинговых сообщений от злоумышленников с упоминанием коронавируса за последние две недели ежедневно достигала 4–6% от общего объема спам-рассылок. Около половины (48%) этих сообщений написаны на английском языке, 19% — на русском. Число ежедневных рассылок может достигать нескольких сотен тысяч. Рост атак с темой коронавируса фиксирует и Positive Technologies — по их оценкам, доля таких атак составляет до 10%.
Фишинговые сообщения могут содержать ссылки на поддельные сайты или вредоносные программы для кражи денег и персональных денных. «Злоумышленники активно используют электронную почту для распространения фишинговых ссылок и вредоносных программ во вложениях. Эффективность их достаточно высока, так как пользователи, получая и вполне легальные новостные рассылки про коронавирус, не всегда в общем их объеме могут распознать что-то вредоносное», — рассказал директор экспертного центра безопасности Positive Technologies Алексей Новиков. По его словам, пока число зараженных растет, спектр таких угроз также будет только расти.
Доля фишинговых писем про коронавирус с вредоносным ПО внутри составила 5% от всего вредоносного трафика в период с 13 февраля по 1 апреля, подсчитали специалисты Group-IB. Большинство таких писем (65%) содержало в себе программы-шпионы, которые могут похищать данные банковских карт, логины и пароли пользователя, загружать и запускать файлы, делать скриншоты и т.д. Второе место занимают вредоносные программы, которые тайно устанавливаются на устройство жертвы — 31%, третье (4%) — шифровальщики, которые блокируют доступ к компьютеру или файлу и требуют за разблокировку деньги.
Сайты и звонки
С начала года «Лабораторией Касперского» было зафиксировано более 4,6 тыс. мошеннических сайтов, в названии которых фигурируют слова COVID-19 или coronavirus, хотя часть из них — это «заглушки», которые нужны злоумышленникам как резерв: когда блокируют один ресурс, они активируют другой.
Но в основном это работающие сайты. «Мы видели ресурсы, которые использовались для сбора данных пользователей, другие — для продажи несуществующих лекарств от коронавируса, фейковых тестов, а также ресурсы, где обещали различные социальные выплаты пострадавшим от ситуации с коронавирусом. Причем последние — популярная история для России», — объясняет старший контент-аналитик «Лаборатории Касперского» Татьяна Сидорина.
РБК направил запрос в ЦБ. 7 апреля регулятор сообщил, что зафиксировал новые схемы социальной инженерии с использованием темы коронавирусной инфекции для хищения денег с карт. В частности, мошенники по телефону обещают «отсрочки по выплате кредитов, разного рода компенсации, пособия, возврат денег за авиационные билеты, услуги по диагностике заражения коронавирусной инфекцией, волонтерство».
Примеры работы мошенников
- Злоумышленники могут направить своей жертве электронное письмо или сделать веерную рассылку по похищенной базе от лица госучреждения или медклиники с информацией об изменении графика работы или схемы обращения в организацию, приводит пример начальник отдела по противодействию мошенничеству центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов. Для ознакомления с деталями придется перейти на ресурс по ссылке в письме или скачать и запустить прикрепленный файл, который станет источником вируса. Пользователя также могут попросить ввести персональные данные, продолжает эксперт. Конечным звеном в этой цепочке чаще всего является кража денежных средств с банковской карты жертвы.
- Одна из мошеннических схем, как рассказали в Positive Technologies, проводилась от имени врача, который делился с жертвой в письме конфиденциальной информацией о теории заговора. «Якобы вирус был создан, чтобы сократить число людей и облегчить мировому правительству контроль за ними. К счастью для читателя, секретная команда ученых уже разработала вакцину и готова доставить ее прямо к нему на дом. Для этого необходимо перейти по ссылке и ввести свои данные — ФИО, адрес, телефон, — которые после этого утекут злоумышленникам», — описывает схему Новиков.
- Тему коронавируса используют не только для фишинговых рассылок обычным пользователям, но и при атаках на работников финансовой, торговой и бюджетной сферы, отмечают в Positive Technologies. В конце марта Group-IB зафиксировала две волны рассылки шпионской программы, направленной на российские компании из сферы энергетики. В письме утверждалось, что китайская компания якобы запустила завод по производству защитных масок, — есть идея запустить совместный бизнес, нужно посмотреть сертификацию товара во вложении, в котором содержалась шпионская программа. Также были зафиксированы две рассылки вируса-шифровальщика якобы от компании «Аптека.ру» по российским нефтегазовым компаниям (более 70 адресов получателей). Письма содержали презентацию «лучших средств профилактики по доступной цене» под заголовком «Дарим «вакцину» от коронавируса!», а также противоинфекционных масок в любых количествах. В письме находилась ссылка на зараженный веб-ресурс.
Евгения ЧЕРНЫШОВА