Медет ТУРИН: Побочный эффект
Наши эксперты Центра анализа и расследования кибератак (ЦАРКА) зафиксировали резкий рост фишинговых атак, связанных с коронавирусом, и не только с использованием почтовых сервисов, но и непосредственно так называемый фишинг через поисковую выдачу.
Это когда по запросам о коронавирусе в поисковых системах вам попадаются сайты с поддельной информацией или статистикой, которая просит вас пожертвовать мощностью вашего компьютера на борьбу с коронавирусом, разработку вакцины, обеспечение медицинскими средствами социально уязвимых слоев населения и скачать программу. Естественно, программа является вредоносной. Подобные сайты могут также собирать ваши данные и деньги.
На текущий момент в день регистрируются около 100 доменов с использованием слов COVID-19 или coronavirus. Можно уверенно предположить, что больший процент этих доменов будет использоваться под мошеннические действия.
Если в случаях с рассылкой в почтовом ящике жертва еще как-то может пренебречь письмом, то при переходе из поисковика пользователи уверены, что сайты легитимные. Тут надежда только на ваш антивирус, на то, что вы ставите обновления вовремя, и на вашу киберграмотность.
Фишинговые рассылки, спекулирующие на страхе и панике людей из-за угрозы коронавируса, были зафиксированы еще в середине января. Атаки производили нерусскоговорящие хакеры. Я смею предполагать, что атаки будут нарастать, так как злоумышленники из стран СНГ, скорее всего, тоже воспользуются инфоповодом. Плюс ко всему ВОЗ признала факт пандемии вируса, что, безусловно, не останется без внимания у мошенников.
Кроме того, мы смогли зафиксировать активизацию мошеннических сервисов, копии платформ для видеоконференций, онлайн-кинотеатры и фейковые приложения по доставке продуктов.
Все это связано с тем, что многие выходят на удаленную работу. В соседних странах была замечена активность таргетированной рекламы, ориентированной на пенсионеров и пожилых людей. В основном это предложения лекарств и тестов на COVID-19 и, соответственно, их доставка. Также заметно усиление мошеннической активности в туристической индустрии (возврат денежных средств за несостоявшийся перелет и т. д.).
Что касается форумов профессиональных киберпреступников, то обсуждения вредоносных программ на тему коронавируса там уже есть. Однако четкие схемы никто не выкладывает на всеобщее обозрение. Никто не будет в паблик кидать информацию, на которой еще можно делать деньги.
Чаще эти следы ведут к индийским, пакистанским и турецким хакерам. Пока “официальной” торговли программами на тему коронавируса не было замечено. Однако обычные хакеры могут использовать любой инфостиллер или вредоносный софт для проведения подобных атак.
Чем рискуют пользователи, которые загружают, открывают эти хакерские электронные письма на тему коронавируса? Утечкой любой хранимой информации у вас в телефоне или на компьютере. Также можно стать частью ботнета. Проще говоря, это когда ваше устройство может использоваться в хакерских атаках.
Стоит понимать одну простую истину: нельзя проходить по сомнительным ссылкам от незнакомых вам людей. Есть сервисы, которые позволяют проверить ссылки на вредоносность. Однако их результаты не всегда точные.
Что я посоветую казахстанцам, чтобы организовать себе безопасную удаленную работу на домашних компьютерах?
В первую очередь руководители ИТ- или ИБ-отделов должны проинструктировать своих сотрудников о безопасной работе во время удаленки. Мы даем такие рекомендации.
1. Проверить, что электронная почта защищена двухфакторной аутентификацией.
2. Проверить все сервисы и оборудование, которые используются для удаленного доступа, на наличие обновлений и патчей безопасности.
3. Сегментировать сети и разделить права доступа.
4. Не использовать для доступа в корпоративную сеть сторонние сервисы, которые подключаются через промежуточные серверы и самостоятельно проводят авторизацию и аутентификацию.
5. Использовать удаленный доступ в сеть организации строго с двухфакторной аутентификацией.
6. Использовать антивирусы на домашних ПК.
Письма от незнакомых вам лиц или источников сразу должны насторожить. Обращайте внимание на название сайта в ссылке или адресной строке: если там содержатся различные символы или буквы, которые не соответствуют оригинальному названию сайта или бренда, то вас пытаются развести.
Медет ТУРИН, эксперт по кибер-безопасности Центра анализа и расследования кибератак