Последствия пандемии COVID-19, перевод сотрудников на удаленный режим работы, сокращение персонала и финансовый кризис вызвали стремительный рост компьютерной преступности, говорится в исследовании международной компании Group-IB. В первую очередь зафиксирован рост количества финансовых мошенничеств с использованием социальной инженерии, а также эксплуатация темы COVID-19 во вредоносных рассылках, переключение операторов вирусов-шифровальщиков на крупные цели, а также активный рекрутинг в преступные сообщества новых участников.
По оценкам аналитиков Group-IB, в первую очередь выросло число финансовых мошенничеств с использованием методов социальной инженерии. За январь — июнь, по данным МВД, рост киберпреступности составил 91,7% по сравнению с аналогичным периодом прошлого года.
На протяжении всего 2020 года Group-IB фиксировала рост числа финансовых мошенничеств с использованием социальной инженерии — вишинга, фишинга — жертвами которых становились в основном клиенты банков. Суммарно за девять месяцев 2020 года CERT-GIB заблокировал 14 802 фишинговых ресурса, нацеленных на хищение денег и персональной информации посетителей сайтов (логины, пароли от аккаунтов и интернет-банков, данные банковских карт). Это больше, чем за прошлый год, когда были заблокированы 14 093 таких веб-ресурсов.
В Академии управления МВД отмечают, что наиболее распространенным механизмом дистанционного мошенничества с применением техники социальной инженерии является традиционный звонок от «службы безопасности банка» якобы по поводу несанкционированной трансакции или взлома личного кабинета. При этом телефонные мошенники активно использовали технологии, связанные с подменой номеров и SIP-телефонией — звонками через Интернет. При использовании анонимайзеров установить реальный IP-адрес злоумышленника довольно затруднительно. Появление в последнее время сервисов «по пробиву» клиентов банков, построенных на комбинировании методов OSINT и инсайдерского доступа к различным базам данных, увеличило объем информации о потенциальных жертвах, доступной для злоумышленников, и привело к увеличению количества атак.
При этом сами схемы реализации мошенничества фактически не изменились. Основной мотив киберпреступников — прежний: кража денег или информации, которую можно продать, но они приобрели новую «упаковку», адаптированную под актуальную повестку. Это продажа фейковых цифровых пропусков, рассылка сообщений о штрафах за нарушение карантина, липовые сайты курьерских служб, мошеннические рассылки от имени сервиса видеоконференций Zoom.
По словам экспертов, активно развивался и рынок криминальных услуг cybercrime-as-a-service, связанных со сдачей в аренду компьютерных сетей, зараженных вредоносным программным обеспечением (ботнетов) и используемых, например, при организации DDoS-атак, рассылке фишинговых писем и предоставлении proxy-серверов. Так же как и предложения по взлому мессенджеров и соцсетей, эти услуги рекламируются в Telegram и на хакерских форумах.
В период пандемии электронная почта по-прежнему оставалась одним из основных векторов атак.
«Злоумышленники адресно атаковали переведенных на «удаленку» сотрудников, заражая их компьютеры вредоносными программами, через которые затем получали доступ в корпоративную сеть, — замечает руководитель Лаборатории компьютерной криминалистики Group-IB Валерий Баулин. — Чаще всего перехваченные вредоносные рассылки, замаскированные в том числе и под сообщения о COVID-19, несли на «борту» вложения с программами-шпионами или ссылки, ведущие на их скачивание, бэкдоры и загрузчики, которые впоследствии использовались для установки других вредоносных программ, в том числе банковских троянов или вирусов-шифровальщиков».
Популярность последних не случайна. В 2020 году подавляющее большинство преступных групп переключилось на работу с программами-шифровальщиками — злоумышленники поняли, что с их помощью можно заработать не меньше, чем в случае успешной атаки на банк, а техническое исполнение — значительно проще, пояснили в компании.
