Всемирная пандемия заперла людей дома: большинство компаний перевели сотрудников на удаленную работу, а студенты и школьники отправились на дистанционную учебу. Нагрузка на мировую сеть возросла в разы — популярные платформы вынуждены бороться с наплывом посетителей (так, к примеру, YouTube снизил качество видео), а небольшие и почти забытые виртуальные сервисы снова вернулись на рынок. Однако не только IT-компании рады сложившейся ситуации: данные пришедших в интернет миллионов человек привлекли мошенников и хакеров. Как киберпреступники используют глобальную катастрофу для собственного обогащения и есть ли способы не попасться на их уловки — разбиралась «Лента.ру».
Воздействие страхом
Мошенники приспосабливаются к современным реалиям намного быстрее большинства россиян: пользуясь обстоятельствами, они принялись массово рассылать фальшивые штрафы от имени МВД. Эксперты компании Group-IB сообщили, что 10 апреля злоумышленники распространили через СМС-сообщения и мессенджеры уведомления о штрафах. В послании к адресатам обращались персонально, указывая имя, фамилию и отчество, — а далее уточняли, что получатель обязан оплатить взыскание за нарушение режима самоизоляции. В противном случае авторы сообщения угрожали возбудить уголовное дело. Если жертва перезванивала по указанному номеру, — звонок переадресовывался в справочную службу Министерства внутренних дел.
В пугающем послании были и странные несостыковки: на оплату штрафа жертве давали всего сутки, а средства предлагалось перевести на номер телефона, зарегистрированный в Краснодарском крае. Кроме того, злоумышленники ссылались на некое несуществующее постановление ФСИН номер 168-322: ранее оно же упоминалось в многочисленных мошеннических письмах со «штрафами» за посещение порнографических сайтов.
Помимо этого, в сети фиксируют рост фишинговых страниц и фальшивых рассылок: представляясь сотрудниками банков и государственных учреждений, преступники предлагают потенциальным жертвам компенсации «ущербов», кредитные каникулы или помощь в получении ссуды, содействие в возврате средств за авиабилеты и множество других услуг, вплоть до фальшивых справок о перенесенной коронавирусной инфекции. Еще один распространенный прием — предложение о трудоустройстве на выгодных условиях. По сути, все они направлены лишь на выманивание платежных реквизитов и персональных данных, — в последние годы мошенники хорошо освоили методы социальной инженерии и не упускают возможность их применить.
В МВД также зафиксировали рост краж денег со счетов россиян с помощью вредоносного ПО — в топах самых активных опасных программ на всей планете вновь замечены банковские трояны Dridex и Trickbot. Используя спам-рассылки и фишинг, преступники убеждают жертву установить на телефон или компьютер троян, который собирает платежную информацию и выводит средства со счетов. По данным правоохранительных органов, мошенники нередко используют также «зеркала» банковских сайтов для кражи средств: фишинговую страницу довольно трудно отличить от настоящей — пользователя должны насторожить отсутствие оповещений о входе в личный кабинет и отказ портала в обслуживании клиента. В таких случаях в МВД порекомендовали как можно скорее заблокировать банковский счет. Согласно статистике, более половины мошенничеств в России совершаются с использованием цифровых технологий.
Руководитель отдела аналитики Positive Technologies Евгений Гнедин в беседе с «Лентой.ру» пояснил, что сам пользователь бессилен сделать безопасным интернет-ресурс, где, например, оплачивает покупку, — ответственность за противодействие атакам лежит на владельцах сайтов. Однако каждому стоит внимательно относиться к тем сайтам, где требуются данные банковских карт и персональная информация, сканы личных документов и прочее. Нужно всегда помнить, что любая информация, которую пользователи вводят на страницах сайтов, останется в интернете, а значит, может быть рано или поздно похищена и использована злоумышленниками. И конечно, необходимо устанавливать стойкие уникальные пароли для всех сервисов, а также, если возможно, дополнительно включить двухфакторную аутентификацию.
Освоили киберпреступники и новые виды атак. В конце марта стало известно о хакерах, которые, подобрав пароль к роутеру, изменяют настройки DNS. Ни о чем не подозревающий юзер, заходя в сеть, автоматически попадает на страницу фейкового информационного приложения о COVID-19, якобы разработанного Всемирной организацией здравоохранения. Поддельный ВОЗ настаивает на том, что пользователю необходима программа под названием COVID-19 Inform App, — однако вместо нее он загружает вредоносный троян Oski, который захватит все данные банковских карт, пароли и куки. Позднее полученная информация будет использоваться преступниками для кражи средств, захвата страниц и фишинга.
Пока мошенники общаются с жертвами напрямую, многие хакеры пошли войной на интернет-платформы, хранящие огромные объемы различных данных о сотнях миллионов человек, — от реквизитов карт до паспортных данных и домашних адресов. Нынешние реалии возлагают большую ответственность на сами сервисы: когда почти весь мир переместился в сеть, они не могут обмануть доверие пришедших к ним пользователей. Резкий рост активности юзеров стал для них не только поводом для дальнейшего развития, но и мощнейшим тестом на современность и безопасность. К сожалению, справились не все.
Старый враг
Наиболее востребованным весной 2020 года оказался сегмент видеосвязи, и особенно — продуктов, позволяющих организовывать конференции. Так, к примеру, объем видеозвонков, совершенных в Microsoft Teams, только в марте увеличился на 1000 процентов по сравнению с предыдущими ежемесячными показателями. Многократным ростом могут также похвастаться Skype и Zoom. При таком наплыве пользователей немало преступников вспомнили о старом добром оружии, которое не успело себя показать в прежние времена.
В марте в десятке самых активных опасных программ в России оказался вирус Pykspa, который распространяется через сообщения в Skype. Червь может получить личную информацию пользователей и данные об их контактах. По данным экспертов из компании Check Point Software Technologies, он заставляет приложение рассылать всем адресатам фишинговое сообщение с ссылкой, перейдя по которой новые жертвы скачают Pykspa на свои личные устройства. Под угрозой оказались миллионы пользователей Skype: по состоянию на конец 2019 года мессенджер входил в топ наиболее популярных сервисов среди россиян, уступая лишь WhatsApp, Telegram и Viber.
В последний раз широкая хакерская кампания с использованием этого червя произошла пять лет назад — в 2015-м году. Современную активность вируса можно объяснить лишь новым витком популярности программ для проведения конференций и видеозвонков. Сейчас такие массовые атаки скорее направлены на домашних, а не на корпоративных пользователей, но положение дел может измениться в любой момент. Тем более, что число переходящих на удаленку россиян постоянно растет, — только за несколько недель рекомендованной самоизоляции число работающих дистанционно россиян возросло на 14 процентов.
Крупные сервисы нередко становятся объектами атак. Однако существуют и такие, которые оказались небезопасными и без участия преступников: они оказались не готовы к огромному потоку новых пользователей и не успели вовремя отреагировать. Хакерам осталось лишь эксплуатировать существующие уязвимости.
По ту сторону экрана
Наибольший интерес пользователей всего мира сейчас вызывает сервис Zoom. Его прорыв на рынке нынешней весной кажется почти фантастическим: согласно отчету международной консалтинговой компании IDC (International Data Corporation), число новых пользователей, использующих приложение во всем мире в марте 2020 года, превысило годовой прирост юзеров в 2019-м. Если в декабре ежедневная аудитория программы едва перешагнула порог в 10 миллионов пользователей, то сейчас эта цифра возросла в 20 раз. В марте капитализация Zoom Video Communications выросла за неделю почти вполовину: тогда весь мир, покинув офисы, принялся проводить совещания удаленно.
С этим связана комическая история: в этот период инвесторы случайно в несколько раз подняли цену акций малоизвестного китайского производителя оборудования Zoom Technologies — более чем на 500 процентов. Это произошло потому, что во время биржевых торгов они перепутали краткие биржевые обозначения двух компаний (Zoom для видеоконференций имеет тикер ZM, а китайская компания со штатом всего в 10 человек — Zoom) и купили не те акции. Год назад произошло то же самое: когда Zoom Video Communications вышла на биржу, инвесторы накупили акций Zoom Technologies, подняв их в цене на 47 тысяч процентов.
Первое время перешедшие на удаленную работу сотрудники радовались сложившимся обстоятельствам: вести дела дистанционно казалось несложным. Многих восхищали заново открытые функции: к примеру, в Zoom можно было записать конференцию, чтобы позднее всегда иметь ее под рукой, — на устройстве или в облаке. Программа автоматически присваивала шаблонные названия сохраненным файлам. Аналитики прогнозировали продолжение стремительного роста сервиса, однако на пути восхождения встали проблемы с безопасностью данных.
В конце марта и начале апреля исследователи в области кибербезопасности указали на ряд уязвимостей, которые позволили злоумышленникам украсть информацию о входе пользователя в систему, получить доступ к сообщениям, а также взять под контроль камеры и микрофоны собеседников. Тысячи записей видеозвонков попали в открытый доступ — как рабочие корпоративные конференции, так и частные разговоры. Журналисты издания The Washington Post пообщались с несколькими людьми, чьи разговоры были слиты в сеть, и ни один из них не знал, как это произошло. Предполагалось, что по шаблонным названиям автоматически сохраняющихся разговоров их можно было вручную найти в хранилищах. В похожей ситуации оказалась и безопасность текущих разговоров: ранее сотрудники компании Check Point выяснили, что любой человек мог дистанционно подключиться к случайной конференции, подобрав номер, который сервис ей присвоил. Из-за этого позднее были введены подключения по паролю.
Генеральный директор и основатель Zoom Эрик Юань признался, что его компания оказалась не готова к резкому росту посетителей. Утечки были связаны с тем, что видеозвонкам присваивались открытые идентификаторы, а подключение не было зашифровано. Шифрование данных — одна из слабостей сервиса: видеозвонки не защищены по принципам E2E (end to end, «сквозное» шифрование — в таком случае получить доступ к диалогу могут только его участники), которое реализуется в ряде популярных мессенджеров или в некоторых сервисах видеосвязи, — например, FaceTime. Большинство объясняет это особенностями работы сервиса. При этом на сайте компании указано, что связь в Zoom защищена end-to-end. Американские журналисты выяснили, что в прочтении сотрудников сервиса «сквозное шифрование» означает защиту данных, передающихся между собственными серверами, однако никто не мешает перехватить информацию в момент ее передачи от пользователя на сервер. То есть такие заявления по сути являются ложными, однако привлекают пользователей громкими обещаниями. К тому же многих пользователей смущает, что сотрудники сервиса работают с существующими проблемами лишь после того, как им указывают на эти промахи.
