- 14.04.2020
Киберкриминал COVID – 19 в цифровой среде вспышка пандемии преступности
Вирус COVID-19 (коронавирус)
Авторы:
Владимир Овчинский, советник министра внутренних дел РФ, начальник российского бюро Интерпола (1995 – 97), доктор юридических наук, генерал-майор милиции в отставке
Юрий Жданов, генерал-лейтенант милиции в отставке, президент Российской секции Международной полицейской ассоциации
Криминальный мир так устроен, что даже в кризисные периоды пытается извлечь для себя максимальную прибыль. Правоохранительные органы и спецслужбы, службы безопасности банков фиксируют во многих странах вспышку пандемии киберпреступности во время пандемии коронавируса.
По данным службы кибербезопасности Сбербанка количество фишинговых (мошеннических) писем в феврале – марте 2020 года выросло на 30%, при этом пятая часть рассылок содержит информацию о коронавирусе.
Эксперты Лаборатории Касперского в своём обзоре продемонстрировали несколько конкретных примеров фишинга периода пандемии:
Отложенная поставка
Мошенники пишут, что из-за коронавируса им пришлось отложить поставку. Поэтому они присылают новые сведения о поставке вместе с новыми инструкциями. И, что самое главное, уточняют, подходит ли время доставки, тем самым побуждая получателя незамедлительно открыть вложенный файл. Конечная цель — слежка за действиями пользователя.
Срочный заказ
Здесь мошенники утверждают, что из-за вспышки коронавируса их китайские поставщики не могут выполнить взятые на себя обязательства, что звучит достаточно убедительно. Поэтому, чтобы не подвести клиентов, они срочно заказывают некие неуточненные товары у компании, в которой работает получатель письма. Какой же бизнесмен устоит перед такой внезапно открывшейся возможностью?
На самом деле в приложенном архиве вовсе не заказ на какие-либо товары, а вредоносный код. Итог — предоставление злоумышленникам удаленного доступа к компьютеру получателя письма.
Ещё один срочный заказ
По большому счёту, это вариация на тему предыдущего письма. Опять вымышленные китайские поставщики задерживают поставки, поэтому мошенник, представляющийся Галей, запрашивает цены и условия доставки по товарам в прилагаемом файле. После его запуска скачивается и запускается. Цель — удаленный доступ к зараженной системе.
Побыстрее, пожалуйста!
Эта уловка, наоборот, рассчитана на компанию, которая сама испытывает затруднения из-за эпидемии короновируса (а таких сейчас достаточно много). Поэтому мошенники торопят получателя письма, попутно выражая надежду, что компания уже оправилась от удара и продолжает работу в нормальном режиме.
Внутри вместо заказа — вирус – троян. После запуска исполняет вредоносный код внутри легитимного процесса. Цель — опять же предоставление злоумышленникам удаленного доступа.
Группы по анализу угроз в Microsoft также активно отслеживают и реагируют на смещение фокуса в фишинговых атаках. В своём исследовании, опубликованном в апреле 2020 года они показали, что эти тематические угрозы COVID-19 представляют собой повторы существующих атак, которые были слегка изменены, чтобы связать их с этой пандемией.
Количество успешных атак на пораженные вспышкой страны растет, как и информация для нагнетания страха. Атаки проходили во всех странах мира.
На начало апреля 2020 года эксперты Microsoft насчитали 76 вариантов угроз с использованием глобальных приманок на тему COVID-19.
Из целевых сообщений, которые видны каждый день, примерно 60 000 включают вредоносные вложения, связанные с COVID-19, или вредоносные URL-адреса.
Помимо фишинга, Служба киберзащиты Сбербанка России зафиксировала появление новых схем преступной деятельности киберкриминала:
1. Фальшивые компенсации за ущерб от вируса
Хакеры пользуются повесткой дня, предлагают получение социальных выплат и компенсаций, тем самым собирая информацию о картах и персональные данные у населения;
2. Продажи масок и наборов выживания
Пользуясь дефицитом на маски, перчатки и товары первой необходимости, хакеры создают сайты, продающие якобы последние запасы со склада;
3. Приглашение от ближайшей клиники пройти осмотр
Приходит письмо якобы из ближайшей поликлиники с просьбой пройти обследование на коронавирус. Далее мошенники просят зарегистрироваться по ссылке/установить программу и т.д. После выполнения этих действия клиенты теряют свои деньги;
4. Службы поддержки или марафоны «пожертвуй деньги на …»
Это может быть поддержка бездомных или призыв пожертвовать деньги на организацию курьерской доставки продуктов или лекарств для пенсионеров. Предлоги могут быть разными, главная цель – выманить деньги;
5. Продажа фальшивых лекарств-средств профилактики и “секретных вакцин”
Все попытки вам продать решение проблемы в таблетках – есть ни что иное, как социальный инжиниринг – когда ваш страх используют против вас, чтобы вы отдали доступ к кредитной карте и своим данным в обмен на очень желаемое. В данном случае — это продажа несуществующего товара;
6. Хакерские атаки на клиники
Атакованы могут быть даже медицинские клиники и исследовательские лаборатории, занятые поиском вакцины. Добраться до рабочих компьютеров медицинских работников, как правило, не составляет труда – их заражают и взламывают. Добравшись до ценных данных о вакцине или обездвижив оборудование, злоумышленники требуют щедрый выкуп.
Компания ESET – международный эксперт в области информационной безопасности, также сообщает о появлении новых киберугроз в связи с распространением коронавируса.
Эксперты ESET рассмотрели способы, которыми пользуются киберпреступники в настоящее время.
Злоумышленники распространяют новости от имени ВОЗ, призывая пользователей перейти по вредоносным ссылкам для получения якобы секретной и крайне важной информации о вирусе. Таким образом, они похищают личную информацию и платежные данные, получая доступ к счетам жертв. Злоумышленники также прибегают к фейковым благотворительным акциям. Создаются рассылки с призывом отправить пожертвование на поиск вакцины от коронавируса для детей в страны, где наибольшее число людей пострадало от пандемии.
Популярность набирает мошенничество с фейковыми объявлениями о продаже медицинских масок и антисептиков для рук. С их помощью злоумышленники выманивают данные кредитных карт пользователей и похищают деньги со счетов. Так, по данным Sky News за февраль 2020 года в Великобритании заработали на подобной кампании не менее 800 000 фунтов стерлингов ($1 млн).
Хакеры из-за вызванного пандемией кризиса начали снижать цены на свои услуги. К такому выводу пришли эксперты компании по кибербезопасности Group-IB. Они нашли на специальных форумах больше 500 предложений с «коронавирусными» скидками и промокодами на хакерские атаки, рассылку спама и другие услуги.
При этом число вредоносных электронных писем, которые используют панику для обмана людей, составило в период с 13 февраля по 1 апреля 2020 года только 5% от общего объема представляющей угрозу корреспонденции. Group-IB связывает это в том числе с расколом внутри хакерского сообщества. Некоторые использовали ситуацию, чтобы нажиться на пандемии, а другие выступили решительно против использования кризиса в своих целях, сообщила в своём обзоре.
Что выявил Европол
Киберпреступники стали самыми успешными в криминальном мире в использовании пандемии
COVID-19 для различных мошеннических атак и других преступлений. К этим выводам пришли исследователи Европола в новом отчёте «Выявление вируса киберпреступности, дезинформации и COVID – пандемия» от 3 апреля 2020 года.
Для справки:
Центр киберпреступности Европола специализируется на поддержке профилактики и расследовании кибератак, сексуальной эксплуатации детей через интернет, фактов мошенничества с платежами и онлайн торговле нелегальными товарами через теневой интернет.
Влияние пандемии COVID-19 на киберпреступность стало наиболее заметным и поразительно по сравнению с другими преступными действиями. Преступники, активные в киберсреде, смогли быстро адаптироваться и извлечь выгоду из тревог и страхов своих потенциальных жертв. Фишинговые и вымогательские кампании запускаются, чтобы использовать текущие кризис. Ожидается, что они будут продолжать расти в огромных масштабах.
Особенно настораживает экспертов Европола то, что разрастается криминальная деятельность по распространению материалов о сексуальной эксплуатации детей в Интернете.
Теневой интернет продолжает размещать различные платформы, такие как торговые площадки и для распространения запрещенных товаров и услуг.
Продавцы пытаются вводить новшества, предлагая продукты, связанные с COVID-19.
Дезинформация вокруг COVID-19 продолжает распространяться по всему миру, с потенциально вредными последствиями для общественного здравоохранения.
Ransomware – это разновидность вредоносного программного обеспечения, которое преступники используют для захвата файлов на устройстве, шифрования данных с последующим отказом в доступе к ним. Чтобы восстановить доступ к файлам, жертва должна заплатить преступнику выкуп. Как правило, преступники запрашивают такой платеж в форме биткойна или какой-то другой виртуальной валюте.
Преступники активизировали свои нападения на организации. Обычно преступники концентрируют свои атаки на ценных данных или активах организаций, которые особенно чувствительны к простоям.
Больницы являются таким примером, поскольку время простоя больницы потенциально может привести к гибели людей. Другие примеры включают правительственные учреждения, университеты и организации в производственном секторе. Ransomware также предлагается в теневом интернете в качестве продукта-вымогателя.
В течении пандемии COVID-19 большинство сообщений, поступивших в Европол были связаны с ранее известными структурами вымогателей.
Тем не менее, новые группы вымогателей также начали часто появляться во время пандемии.
DDoS – атаки
Лишь небольшое увеличение числа атак распределенного отказа в обслуживании (DDoS) наблюдается после начала пандемии COVID-19. Однако ожидается, что будет увеличение количества DDoS-атаки в среднесрочной перспективе. Это произойдёт из-за значительного увеличение числа людей, работающих удаленно из дома. Пропускная способность была доведена до предела, который позволяет преступникам проводить «кампании по вымогательству» против организаций. DDoS – атаки – доступный тип преступлений с ограниченными барьерами для входа, потому что это дёшево и легко доступно.
Регистрация доменного имени
После первоначального всплеска зарегистрированных доменов, связанных со словами «CORONA» и «COVID», ситуация стабилизировалась. Эти зарегистрированные доменные имена образуют костяк для многих криминальных операций.
Теневой интернет
Влияние кризиса COVID-19 на теневой интернет все еще развивается. Альтернативные платформы, такие как социальные сети, обмен мгновенными сообщениями и безопасные коммуникации приложения также могут все шире использоваться для облегчения распространения незаконных товаров, в том числе наркотиков.
Новые возможности
Кризис COVID-19 предоставил новые возможности для бизнеса, такие как предложение связанных с COVID-19 товарами. Продавцы также предоставляют скидки на свои товары в качестве средства продвижения бизнеса в том, что остаётся конкурентным рынком. Маски и тестовые наборы являются наиболее часто встречающимися предметами, которые предлагается через торговые площадки или интернет – магазины.
Анонимная продажа поддельных или некачественных товаров наиболее распространена на платформе анонимизации Tor, а также на другой децентрализованной платформе, ориентированной на конфиденциальность, Openbazaar.
Пользователи теневых веб-площадок, магазинов продавцов и других платформ включают как отдельных граждан, так и преступные группировки, стремящиеся получить незаконную продукцию.Технические барьеры для входа минимальны, и тёмная сеть находится в свободном доступе для всех, кто имеет базовое понимание онлайн-технологий.
Пока что Европол не заметил серьёзного увеличения числа пользователей, покупающих запрещённые товары онлайн. Однако можно ожидать изменения спроса и предложений.
Что касается наркотиков, перспективы будут в значительной степени зависеть от цепочек поставок.
Новое международное исследование
Новый доклад (апрель 2020) «Киберпреступность: угрозы в период пандемии COVID-19», подготовленный международной исследовательской организацией Global Initiative Against Transnational Organized crime начинается с описания кибератаки в ночь с 12–13 марта 2020 года на университетскую больницу чешского города Брно, вторую по величине в стране. Атака была совершена с помощью вредоносного ПО Ransomware (препятствует доступу пользователей к их системным или личным файлам
и требует выплаты выкупа, чтобы восстановить доступ). Хотя лечение пациентов не прерывалось, принудительное отключение информационных систем означало, что медицинские данные не могут быть использованы между структурами больницы.
Срочные операции пришлось отложить, а пациентов перенаправить в другие больницы. Особенно зловещим это нападение сделало то, что оно произошло менее чем через две недели после того, как Чешская Республика сообщила о своем первом случае COVID-19.
В докладе приводятся другие резонансные кибернападения в первые месяцы пандемии:
– Жители Японии получают фишинговые письма с зараженными вложениями;
– Министерство здравоохранения и социальных служб США подвергается фишинговой атаке;
– Киберпреступники крадут информацию из государственных органов, используя приманки для электронной почты COVID-19;
– Вредоносные программы для опытных мошенников с картами и обновлениями продаются на форумах по киберпреступности;
– Поддельные медицинские рекомендации используются для кражи компьютерных данных во всем мире;
– Мошенническая реклама маски для лица, дезинфицирующего средства для рук и COVID-19 “лекарства” распространяется онлайн. Значительное внимание в указанном докладе уделено фишинговым атакам на организации, механизм которых описан выше.
Увеличение использования домашних офисов
С массовым переходом на домашние офисы в феврале – марте 2020 года, цунами киберпреступности, направленной на небезопасные персональные сети Wi-Fi и незащищённые компьютеры привели к серьезным нарушениям или потере данных.
Удаленная конференц-связь, технология, использующая Zoom, спрос на который значительно увеличился в марте 2020 года, оказалась особенно уязвимой для захвата видео. Хакеры в ряде случаев смогли получить доступ к веб-камерам и микрофонам на отдельных компьютерах и вебинарах для их прерывания.
Зависимость от дистанционного банковского обслуживания и платежные приложения
Блокировки, введенные в некоторых странах, вынудили многие домохозяйства больше полагаться на удаленные банковские операции и платежи. Поскольку использование этих систем становится более удобным, оно может стать все более привычным и рутинным, даже после отмены карантинных мероприятий, ограничений на передвижение и общественные собрания. Это открывает новые пути для фишинга и других видов киберпреступности.
Не менее важная задача
Эксперты Всемирного Экономического Форума в своих публикациях на сайте ВЭФ постоянно подчеркивают, что задача противодействия пандемии киберпреступности в настоящий момент не менее важна, чем борьба с пандемией коронавируса.
Стратегии для сдерживания кибербезопасности включают в себя обеспечение хорошей кибергигиены, проверку источников и получение последних официальных обновлений.
Вот три причины, из – за которых эксперты ВЭФ считают, что надежные меры кибербезопасности важны как никогда.
1. Повышенная зависимость от цифровой инфраструктуры повышает стоимость её отказа.
В пандемии нынешнего масштаба Интернет почти мгновенно стал главным каналом для эффективного человеческого взаимодействия и основным способом нашей работы, общения и поддержки друг друга.
В сегодняшнем беспрецедентном контексте кибератака, которая лишает организации или семьи доступа к своим устройствам, данным или Интернету, может быть разрушительной и даже смертельной.
2. Киберпреступность эксплуатирует страх и неуверенность
Киберпреступники используют человеческую слабость для проникновения в системную защиту. В кризисной ситуации люди, как правило, совершают ошибки, которые они не сделали бы иначе. Онлайновая ошибка, с которой вы можете кликнуть или кому вы доверяете свои данные, может дорого обойтись.
Подавляющее большинство кибератак – по некоторым оценкам, 98% – используют методы социальной инженерии. Киберпреступники чрезвычайно креативны в разработке новых способов использования пользователей и технологий для доступа к паролям, сетям и данным, часто извлекая выгоду из популярных тем и тенденций в небезопасное поведение в Интернете.
Стресс может побудить пользователей предпринять действия, которые в противном случае считались бы нерациональными.
3. Увеличение времени в сети может привести к более рискованным последствиям
Например, по оценкам экспертов ВЭФ, пользователи могут получить «бесплатный» доступ к скрытым веб-сайтам или пиратским шоу, открывая дверь для потенциальных вредоносных программ и атак.
Эксперты ВЭФ делают вывод: точно так же, как решение проблемы пандемии COVID-19 требует изменения наших социальных привычек и процедур для снижения уровня инфицирования, изменение нашего поведения в Интернете может помочь поддерживать высокий уровень кибербезопасности.