«Пользуются пандемией»: как защититься от мошенников в сети



«Zoom оказался хакерской находкой»

Случаи мошенничества с использованием брендов крупных компаний и известных сервисов значительно участились на фоне пандемии COVID-19. Об этом «Газете.Ru» сообщил директор практики информационной безопасности компании AT Consulting Тимурбулат Султангалиев.

Только 6 октября стало известно о новой мошеннической схеме с сервисом видеоконференций Zoom. Международная компания Group-IB, специализирующаяся на предотвращении кибератак, предупредила об этом Zoom Video Communications, а также сообщила подробности нового обмана.

Так, злоумышленники научились отправлять мошеннические письма непосредственно с официального адреса сервиса Zoom. Дело в том, что при регистрации в Zoom необходимо заполнить графы «Имя» и «Фамилия» — в каждой из них можно ввести до 64 символов. Однако мошенники в поле «Имя» вписывали фразу «Вам положена компенсация в связи с COVID-19», а вместо фамилии указывали ссылку на мошеннический сайт, рассказали аналитики из Group-IB.

Кроме того, после регистрации Zoom предлагает человеку пригласить до 10 новых пользователей в сервис, указывая их почтовые адреса. Мошенники же вбивали почты потенциальных жертв – те в итоге получали письма с «компенсацией в связи с COVID-19» с официальной почты компании.

Тех, кто переходил по ссылке, направляли на мошеннические ресурсы – там пользователей просили ввести четыре или шесть цифр номера банковской карты, после чего мошенники якобы рассчитывали компенсацию и обещали жертвам от 30 до 250 тыс. руб.

Но для «получения денег» нужно было заплатить 1 тыс. рублей за «юридическую помощь в заполнении анкеты». Многие получившие письмо вводили данные банковских карт (номер, имя владельца, срок действия, CVV-код), в результате чего мошенники спокойно снимали необходимые им суммы.

Защититься от так называемого «фишинга» (интернет-мошенничество, нацеленное на получение конфиденциальных данных пользователя – «Газета.Ru») можно с помощью нескольких правил, отметил глава практики информационной̆ безопасности AT Consulting Тимурбулат Султангалиев. Во-первых, при получении письма якобы от большой компании необходимо обратить внимание на адрес отправителя.

«Злоумышленники чаще всего делают адрес электронной почты максимально похожим на реальный. Могут быть изменены некоторые буквы или знаки в названии почтового домена», — пояснил эксперт.

Если этот вариант не поможет – например, как в случае с мошенниками, научившимися использовать реальный сервис с Zoom – стоит обратить внимание на содержание письма. Любые предложения о получении внезапной выгоды – денег, ценных подарков и т.д. – должны насторожить пользователей.

«Что касается ссылок в письме, то лучше вообще лишний раз не открывать подозрительные ссылки. Но если пользователь решает рискнуть, то стоит обратить внимание на адрес в строке браузера, это могут быть поддельные страницы известных сервисов. Еще одним триггером опасности должна быть просьба ввести данные банковской карты», — заявил «Газете.Ru» Султангалиев.

Однако из-за того, что многие сотрудники компаний говорят друг с другом, выключая камеры, мошенники пробрались даже в конференции пользователей, рассказал гендиректор и основатель международной компании Group-IB Илья Сачков. По его словам, во время видео-бесед некоторые граждане не понимали, что с ними говорит не коллега, а аферист. Воспользовавшись этим, мошенник просил открыть письмо на почте, которое активизировали бы вредоносное вложение. «Я думаю, что Zoom оказался хакерской находкой», — сказал эксперт РИА «Новости».

Действительно, с начала 2020 года в сети появилось 15,3 тыс. доменов, содержащих название Zoom – многие из них могут оказаться мошенническими сайтами для кражи персональной информации пользователей, предупреждает центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB.

Но и без поддельных доменов мошенникам удается получить личные данные пользователей Zoom. Так, еще в апреле несколько тысяч записей видеозвонков сервиса были опубликованы на видеохостингах YouTube и Vimeo, сообщала газета The Washington Post.

Среди обнародованных записей были как частные разговоры, так и рабочие встречи разных компаний. Газета отмечает, что хакеры получили доступ к звонкам из-за того, что Zoom присваивает конференциям открытые идентификаторы (PMI) и не шифрует подключение.

После этого скандала основатель и гендиректор компании Эрик Юань признал, что Zoom был не готов к такому наплыву пользователей из-за перехода работников по всему миру на онлайн-формат. «Мы признаем, что не оправдали ожиданий сообщества — и наших собственных — в отношении конфиденциальности и безопасности», — сказал он. По данным Zoom, в марте число пользователей сервиса выросло в 20 раз — до 200 млн.

Тем не менее еще через месяц русскоязычный хакер из Telegram начал продавать экспертам по кибербезопасности компании Cyble взломанные аккаунты пользователей Zoom, писала газета The Sunday Times. Аналитики купили у злоумышленника около 500 тыс. страниц по одному пенсу (0,9 руб. – «Газета.Ru») за штуку. Среди проданной хакером информации были электронные адреса, логины и пароли, ссылки на чаты, а также пин-коды для управления видеоконференциями, сообщал портал BleepingComputer.

Уговаривают перевести деньги в Skype

Еще одним излюбленным сервисом видеоконференций у мошенников стал Skype – там аферисты в период пандемии также стали активнее обкрадывать пользователей, свидетельствует из материалов российских кредитных организаций, оказавшихся в распоряжении РИА «Новости».

В компании МКБ рассказали, что под видом сотрудников контакт-центров известных банков мошенники звонят пользователям через Skype и обманным путем узнают у них данные карты или ложные коды из СМС. А в банке «ФК Открытие» отмечают, что «злоумышленники могут действовать как от имени финансовых организаций, так и госорганов, близкого окружения клиента».

Иногда жертвы могут и сами наткнуться на афериста в Skype, пытаясь связаться со своим банком. Так, в мае при вводе номера телефона «Альфа-Банка» в поиске сервиса появлялся аккаунт, замаскированный под официальную страницу банка с логотипом и надписью «Дистанционное банковское обслуживание», писало агентство «Банки.ру». На самом деле, у банка не было аккаунта в Skype – в сервисе действовали мошенники, которые уже известным способом крали деньги с карт пользователей.

«Они уговаривали меня перевести сумму денег на другой счет, чтобы потом вернуть их мне на правильный. Я бы никогда в жизни не повелась на такую схему, если бы мне с таким предложением позвонил сам Альфа-Банк. Но тут звонила я сама — и звонила я по номеру «Альфы», — рассказывала пострадавшая от аферистов пользовательница.

В итоге девушка перевела мошенникам крупную сумму. О том, что это обман, она узнала только после того, как банк прислал ей уведомление о блокировке карты. Сейчас страница аферистов удалена.

Атаки через Skype случались и раньше, однако их стало больше, в связи с тем, что «в карантин число посещений этого мессенджера выросло в два раза», отметил начальник отдела информбезопасности «СерчИнформ» Алексей Дрозд.

Вредоносные файлы Microsoft Office

Ежедневно блокировать 240 млн спам-писем с упоминанием COVID-19 приходится и Microsoft. В большинстве из них, по данным компании, содержится сообщение якобы от представителей официальных ведомств – они предлагают пользователям пройти по ссылке и получить бесплатный тест на COVID-19. Однако в итоге открытие домена провоцирует скачивание вредоносной программы ПО TrickBot, которая ворует банковские данные.

Иным способом мошенники использовали Microsoft, чтобы обмануть сотрудников компаний. Через почту Microsoft Office 365 аферисты отправляли им сообщения, якобы написанные коллегой или деловым партнером.

В Microsoft отметили, что этот вариант фишинга был необычным, так как злоумышленники использовали не ложный домен, а документ Office, которой при нажатии запускал вредоносное стороннее приложение. В итоге хакеры получали полный доступ к учетной записи пользователя в Office 365, настройкам, файлам, содержимому электронных писем, спискам контактов, заметкам и т.д.

«Количество успешных атак в странах, пострадавших от пандемии, увеличивается по мере роста страха и стремления к информации. Наша телеметрия показывает, что сильнее всего пострадали Китай, США и Россия. Модные и широко распространенные вредоносные программы Trickbot и Emotet очень активны и проводят ребрендинг своих приманок, чтобы воспользоваться преимуществами пандемии», — заявил вице-президент Microsoft 365 Security Роб Леффертс.