Мошенники стали активно использовать тему коронавируса, чтобы украсть данные или деньги. Во вредоносных рассылках они обещают поставить вакцины и медицинские маски или просто предлагают ознакомиться с графиком работы поликлиники
Эксперты, опрошенные РБК, зафиксировали рост мошеннических сообщений и сайтов, которые эксплуатируют тему новой коронавирусной инфекции. Злоумышленники пытаются выяснить у пользователей интернета их личные данные, в том числе данные карты, либо продать несуществующие лекарства от коронавируса и тесты для определения инфекции, либо заразить устройство пользователя вредоносным программным обеспечением.
Вредоносные письма
По подсчетам «Лаборатории Касперского», доля фишинговых сообщений от злоумышленников с упоминанием коронавируса за последние две недели ежедневно достигала 4–6% от общего объема спам-рассылок. Около половины (48%) этих сообщений написаны на английском языке, 19% — на русском. Число ежедневных рассылок может достигать нескольких сотен тысяч. Рост атак с темой коронавируса фиксирует и Positive Technologies — по их оценкам, доля таких атак составляет до 10%.
Фишинговые сообщения могут содержать ссылки на поддельные сайты или вредоносные программы для кражи денег и персональных денных. «Злоумышленники активно используют электронную почту для распространения фишинговых ссылок и вредоносных программ во вложениях. Эффективность их достаточно высока, так как пользователи, получая и вполне легальные новостные рассылки про коронавирус, не всегда в общем их объеме могут распознать что-то вредоносное», — рассказал директор экспертного центра безопасности Positive Technologies Алексей Новиков. По его словам, пока число зараженных растет, спектр таких угроз также будет только расти.
Доля фишинговых писем про коронавирус с вредоносным ПО внутри составила 5% от всего вредоносного трафика в период с 13 февраля по 1 апреля, подсчитали специалисты Group-IB. Большинство таких писем (65%) содержало в себе программы-шпионы, которые могут похищать данные банковских карт, логины и пароли пользователя, загружать и запускать файлы, делать скриншоты и т.д. Второе место занимают вредоносные программы, которые тайно устанавливаются на устройство жертвы — 31%, третье (4%) — шифровальщики, которые блокируют доступ к компьютеру или файлу и требуют за разблокировку деньги.
Сайты и звонки
С начала года «Лабораторией Касперского» было зафиксировано более 4,6 тыс. мошеннических сайтов, в названии которых фигурируют слова COVID-19 или coronavirus, хотя часть из них — это «заглушки», которые нужны злоумышленникам как резерв: когда блокируют один ресурс, они активируют другой.
Но в основном это работающие сайты. «Мы видели ресурсы, которые использовались для сбора данных пользователей, другие — для продажи несуществующих лекарств от коронавируса, фейковых тестов, а также ресурсы, где обещали различные социальные выплаты пострадавшим от ситуации с коронавирусом. Причем последние — популярная история для России», — объясняет старший контент-аналитик «Лаборатории Касперского» Татьяна Сидорина.
РБК направил запрос в ЦБ. 7 апреля регулятор сообщил, что зафиксировал новые схемы социальной инженерии с использованием темы коронавирусной инфекции для хищения денег с карт. В частности, мошенники по телефону обещают «отсрочки по выплате кредитов, разного рода компенсации, пособия, возврат денег за авиационные билеты, услуги по диагностике заражения коронавирусной инфекцией, волонтерство».
Примеры работы мошенников
Злоумышленники могут направить своей жертве электронное письмо или сделать веерную рассылку по похищенной базе от лица госучреждения или медклиники с информацией об изменении графика работы или схемы обращения в организацию, приводит пример начальник отдела по противодействию мошенничеству центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов. Для ознакомления с деталями придется перейти на ресурс по ссылке в письме или скачать и запустить прикрепленный файл, который станет источником вируса. Пользователя также могут попросить ввести персональные данные, продолжает эксперт. Конечным звеном в этой цепочке чаще всего является кража денежных средств с банковской карты жертвы.
Одна из мошеннических схем, как рассказали в Positive Technologies, проводилась от имени врача, который делился с жертвой в письме конфиденциальной информацией о теории заговора. «Якобы вирус был создан, чтобы сократить число людей и облегчить мировому правительству контроль за ними. К счастью для читателя, секретная команда ученых уже разработала вакцину и готова доставить ее прямо к нему на дом. Для этого необходимо перейти по ссылке и ввести свои данные — ФИО, адрес, телефон, — которые после этого утекут злоумышленникам», — описывает схему Новиков.
Тему коронавируса используют не только для фишинговых рассылок обычным пользователям, но и при атаках на работников финансовой, торговой и бюджетной сферы, отмечают в Positive Technologies. В конце марта Group-IB зафиксировала две волны рассылки шпионской программы, направленной на российские компании из сферы энергетики. В письме утверждалось, что китайская компания якобы запустила завод по производству защитных масок, — есть идея запустить совместный бизнес, нужно посмотреть сертификацию товара во вложении, в котором содержалась шпионская программа. Также были зафиксированы две рассылки вируса-шифровальщика якобы от компании «Аптека.ру» по российским нефтегазовым компаниям (более 70 адресов получателей). Письма содержали презентацию «лучших средств профилактики по доступной цене» под заголовком «Дарим «вакцину» от коронавируса!», а также противоинфекционных масок в любых количествах. В письме находилась ссылка на зараженный веб-ресурс.
Евгения Чернышова
По материалам: “РБК”