2018/11/07 16:41:31

Фишинг
Phishing

Вид интернет-мошенничества, цель которого получение доступа к конфиденциальным данным пользователя (логинам и паролям). Пользователь думает, что переходит на заявленный сайт, однако фактически его перенаправляют на подставной сайт. Как правило, жертвами фишеров становятся клиенты банков и платежных систем.

Содержание

Хакеры использовали электронные письма для осуществления подобного рода атак, но благодаря широкому распространению социальных сетей и смартфонов с доступом в Интернет стали множится и типы фишинговых атак.

Данные электронные письма содержат ссылку, которая якобы ведет пользователя на сайт какой-то компании с высоким уровнем конфиденциальности, хотя, на самом деле, такой сайт - это всего лишь имитация оригинального сайта без какой-либо конфиденциальности.

Таким образом, самоуверенный пользователь, у которого нет надежной антивирусной защиты, может стать жертвой атаки, предназначенной для кражи персональных данных.

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

На каких чувствах играют фишеры

Большинство киберпреступников полагается не только на технологию, но и на человеческую беспечность и доверчивость. Еще в 2011 году в отчете компании Cisco были перечислены семь человеческих слабостей, эксплуатируемых преступниками, которые используют психологические методы воздействия на людей через электронную почту, социальные сети и телефонную связь. Речь идет о:

  • сексуальности,
  • алчности,
  • тщеславии,
  • чрезмерной доверчивости,
  • лени,
  • сострадании и
  • поспешности в принимаемых решениях.

Советы для предотвращения фишинговых атак

1. Научитесь выявлять подозрительные фишинговые письма

Есть несколько признаков, которые идентифицируют атаку по электронной почте[1]:

  • Они дублируют образ известной компании.
  • Они копируют название компании или ФИО реального сотрудника компании.
  • Они содержат сайты, которые визуально похожи на сайты реальных компаний.
  • Они предлагают подарки или пугают потерей существующего аккаунта.

2. Проверьте источник информации

Ваш банк никогда не будет просить Вас отправить Ваши пароли или персональную информацию по электронной почте. Никогда не отвечайте на подобные вопросы, а если у Вас есть хоть чуточку сомнений, то лучше позвоните в Ваш банк для получения разъяснений.

3. Никогда не переходите на веб-сайт Вашего банка, нажимая на ссылки в письмах

Не нажимайте на ссылки в письме, т.к. в результате этого Вы можете оказаться на подставном веб-сайте.

Лучше вручную наберите адрес сайта в адресной строке Вашего браузера или используйте ранее настроенную закладку в Избранном, если хотите перейти быстрее.

4. Повысьте уровень безопасности Вашего компьютера

Не терять чувство здравого смысла и обладать рассудительностью также важно, как и защищать свой компьютер с помощью антивируса, способного блокировать данный тип атак.

Кроме этого, Вам следует всегда устанавливать самые последние обновления Вашей операционной системы и веб-браузеров.

5. Вводите Ваши критические данные только на безопасных веб-сайтах

Чтобы узнать, является ли данный веб-сайт «безопасным», проверьте адресную строку в Вашем браузере: адрес сайта должен начинаться с «https://», а рядом с ним должна показываться иконка закрытого замочка.

6. Периодически проверяйте Ваши аккаунты

Никогда не помешает периодически проверять Ваши банковские счета, чтобы не пропустить какие-либо подозрительные действия в Ваших онлайн-транзакциях.

7. Фишинг относится не только к онлайн-банкам

Большинство фишинговых атак направлены против банков, однако для кражи персональных данных они могут использовать и другие популярные веб-сайты: eBay, Facebook, PayPal и другие.

8. Фишинг знает все языки

Фишинг не знает границ, и может настичь Вас на любом языке. В целом, они плохо написаны или переведены, а потому это может служить еще одним индикатором того, что что-то не так.

Например, если Вы никогда не были на испанском веб-сайте Вашего банка, то почему теперь информация для Вас должна быть на этом языке?

9. Если есть хоть малейшие сомнения, не стоит рисковать

Лучший способ предотвращения фишинга – это не реагировать на любые письма или новости, которые просят Вас предоставить конфиденциальные данные.

Удалите эти сообщения и позвоните в ваш банк для прояснения Ваших сомнений.

10. Периодически читайте информацию о развитии вредоносных программ

Если Вы хотите быть в курсе последних вредоносных атак, рекомендаций или советов, чтобы избежать любых опасностей в Интернете, Вы можете читать специализированные блоги о кибер-безопасности в Facebook, ВК, Twitter и др.

Как они могут вас поймать..

Проверка источника каждого получаемого Вами электронного письма и переход на сайт Вашего банка не по ссылке из письма, а путем набора адреса в адресной строке браузера – вот две основные меры предосторожности, которые Вы можете предпринимать для того, чтобы не попасться «на удочку» кибер-преступников.

Как выглядит хорошее фишинговое письмо

Отправители

  • Органы исполнительной власти;
  • Крупные телекоммуникационные операторы;
  • Профильные интернет-форумы;
  • Кредитно-финансовые организации;
  • Организации-партнеры;
  • Организации-клиенты.

Содержание

  • Требование, поступившее от органов исполнительной власти;
  • Рассылка изменений в нормативных актах;
  • Взыскание/погашение задолженности/штрафа, оплата услуг;
  • Поиск документов для проверки.

В начале 2017 года эксперты обратили внимание на новую фишинговую кампанию, направленную против пользователей Gmail. Письма содержат настолько хорошо завуалированные вредоносные ссылки, что даже продвинутые пользователи часто не замечают подвоха и вводят свои учетные данные на фишинговом аналоге Gmail. Как только жертва скомпрометирована, злоумышленники немедленно перехватывают доступ над ее аккаунтом и атакуют все контакты пострадавшего.

Вредоносные письма, идущие от скомпрометированных пользователей, якобы содержат PDF-документ, который можно предварительно просмотреть прямо в веб-интерфейсе почты. Однако кликнув на такое «вложение», которое на самом деле является простым встроенным в письмо изображением, пользователь инициирует переадресацию на фишинговую страницу[2].

Фишинговый URL начинается с «data:text/html,https://accounts/google.com», что может ввести пользователя в заблуждение, заставив поверить, что он все еще находится на настоящем сайте Google. На самом деле, для открытия фишинговой страницы в новой вкладке используется специальный скрипт, а страница не имеет никакого отношения к Google.

Меры защиты от фишинга

Чтобы не стать жертвой фишинга рекомендуется пользователям всегда поверять подлинность веб-сайта, на котором они собираются вводить финансовую информацию, и проверять, защищено ли соединение безопасным протоколом https. Кроме того, не стоит переходить по подозрительным ссылкам и выполнять все требования, изложенные в электронных письмах от имени банка, если они вызывают даже самую малую долю сомнения — лучше в этом случае связаться с финансовой организацией напрямую. И, конечно же, необходимо использовать защитное решение, включающее в себя проактивные функции распознавания и блокирования фишинга.


Что необходимо делать, чтобы избежать опасности:

  • Регулярно обновляйте антивирус и браузер.
  • Наведите курсор на ссылку, чтобы посмотреть, куда она ведет.
  • Проверьте письмо на предмет наличия следующих признаков: неправильно написанные слова, неправильные URL-домены, низкое качество графики и неизвестные отправители.
  • Вместо перехода по ссылке в письме необходимо посетить сайт компании, отправившей письмо, чтобы убедиться в достоверности информации.

Что нельзя делать:

  • Не нажимайте на ссылки в письмах, полученных из неизвестных или подозрительных источников.
  • Не отправляйте подозрительно выглядящее письмо друзьям или членам семьи.
  • Не загружайте контент, который ваш браузер или антивирус считает подозрительным.
  • Не оставляйте на сайте личную информацию.

Обучение персонала компании

Проект по выстраиванию процесса повышения осведомленности[3]

  • Ответственные, сроки, бюджет проекта
  • Программа обучения
  • Разработка материалов / выбор готовой системы

Проводим обучение:

  • Базовая программа для новых сотрудников
  • Периодические рассылки по отдельным темам
  • Разовые рассылки с важной информацией об актуальных угрозах

Проверяем :

  • Оценка знаний
  • Тестирование в «боевых» условиях»

Рынок систем повышения осведомленности

Имитация действия злоумышленника: фишинговые рассылки в учебных целях

Фишинговые рассылк: варианты реализации

Угрозы, связанные с использованием социальной инженерии, в ближайшем будущем никуда не денутся (а скорее всего, будут только расти)

  • Такие атаки универсальны для проникновения в любые системы, легко тиражируются
  • Достаточно одного «попавшегося» для компрометации всей сети
  • Не стоит полагаться исключительно на технические средства

Можно снизить риски, обучая сотрудников и эффективно проверяя их знания

  • Дополняем организационные меры «боевыми учениями»
  • Тестирование путем проведения фишинговых рассылок можно дополнять имитацией других действий злоумышленников: телефонное мошенничество, тесты на проникновение

Важно не то, какими именно инструментами мы пользуемся, а качественно организованный процесс обучения и тестирования

  • Все приведенные решения – всего лишь частные примеры реализации
  • Если процессов нет, то и нечего будет автоматизировать

Cмишинг (SMiShing)

В течение нескольких лет хакеры использовали технику, известную как фишинг. С ее помощью они рассылали жертвам электронные письма якобы из банка, в результате чего обманным путем пытались получить регистрационные данные для доступа к банковскому счету. Т.к. люди стали более осведомленными и лучше стали распознавать фишинговые письма, в результате чего жертв фишинга стало меньше, то хакеры изменили свою тактику и сфокусировали свое внимание на наших телефонах.

Смишинг концептуально очень схож: вместо отправки электронных писем хакеры стали отправлять своим жертвам текстовые SMS-сообщения. Каждое из таких сообщений разработано для того, чтобы обманывать людей с целью получения от них крайне важной персональной информации, например, PIN-код для доступа к их онлайн-банку. Какие-то смишинговые сообщения будут направлять свои жертвы на ложный веб-сайт или попросят скачать необходимое приложение, которое на самом деле заражено вредоносной программой.

Как распознать смишинговое сообщение

Почти каждое смишинговое сообщение имеет одну общую черту: чувство срочности. Вам скажут, что Ваш банковский счет взломан и Вы должны срочно подключиться к нему с помощью прилагаемой ссылки. Или в рамках обычной проверки систем безопасности доступ к Вашему банковскому счету был заблокирован, а потому для восстановления доступа необходимо подтвердить свой пароль. Вас даже могут попросить скачать специальное приложение, чтобы повысить уровень безопасности Вашего счета, и чем раньше, тем лучше.

На самом деле, никакой банк не отправляет срочные SMS-сообщения: большинство из них для передачи важной информации используют электронную почту и обычные письма. Если Вы получили текстовое сообщение от Вашего банка, то оно не будет содержать ссылку: при первой же возможности вы просто будете перенаправлены на страницу сайта банка с формой для авторизации или с контактными данными службы обслуживания клиентов банка.

Аналогичным образом, ваш банк никогда не отправит вам ссылку на сайт для скачивания нового приложения. Они могут направить вас в официальные магазины App Store или Google Play, но большинство из них направит всплывающее уведомление через свое официальное приложение, а не через текстовое SMS-сообщение.

Если у вас есть какие-либо (пуская даже самые малейшие) сомнения относительно текстового сообщения, которое вы получили, то лучше удалите его. Если вопрос действительно является очень срочным, то ваш банк свяжется с вами повторно. Вы также можете позвонить им и получить подтверждение, существует ли проблема на самом деле[4].

2018

"Лаборатория Касперского" заблокировала 137 миллионов попыток пользователей перейти на фишинговые страницы

6 ноября 2018 года «Лаборатория Касперского» сообщила, что ее решения заблокировали за третьй квартал 2018 года более 137 миллионов попыток пользователей перейти на фишинговые страницы – это на 28% больше, чем в предыдущем периоде. При этом свыше трети фишинговых атак (35%) пришлось на организации финансовой категории: банки, платёжные системы, интернет-магазины. Все эти многочисленные поддельные страницы были созданы с одной целью – получить конфиденциальные данные пользователей, которые открыли бы злоумышленникам, помимо всего прочего, доступ к частным кошелькам и банковским счетам жертв.

Впрочем, заработать на пользователях киберпреступники пытались и по-другому. В конце лета 2018 года «Лаборатория Касперского» зафиксировала в спам-трафике всплеск мошеннических рассылок, в которых от получателей требовали выкуп за неразглашение собранного на них «компромата». Эти письма даже содержали персональные данные пользователей – таким образом злоумышленники пытались убедить жертв, что они действительно обладают важной информацией. Выкуп требовался в биткойнах, а его сумма варьировалась от нескольких сотен до тысяч долларов, при этом в разных рассылках мошенники указывали разные биткойн-кошельки для перевода денег. Как выяснили аналитики «Лаборатории Касперского», только на один такой кошелёк за один месяц было сделано 17 трансакций на общую сумму около 18 тысяч долларов США.

В России мошенники, разумеется, попытались использовать в своих интересах одну из самых горячих тем последних месяцев – пенсионную реформу. К примеру, «Лаборатория Касперского» обнаружила несколько рассылок с предложениями проверить сумму пенсионных накоплений в негосударственных фондах и вывести деньги «с пенсии». Чтобы убедить получателей в легитимности писем, злоумышленники ссылались на несуществующие законы и структуры (например, на некий «Национальный отдел возврата пенсионных накоплений»). За вывод несуществующих накоплений и «доступ» к базе данных с пенсионными начислениями получателям писем предлагалось заплатить небольшую «пошлину», которая, естественно, шла в карман мошенников.

«
Объёмы фишинга продолжают расти на протяжении всего 2018 года, причём довольно быстрыми темпами. То количество атак, которое мы зафиксировали лишь в третьем квартале 2018 года, составило половину (и даже больше) той величины, которая была обнаружена нами в 2017 году. Этому способствует множество факторов. Мошенники постоянно изобретают схемы и уловки, заимствуют идеи у иностранных «коллег», задействуют различные каналы распространения спама и фишинговых ссылок, эксплуатируют популярные темы и события в качестве приманки. В общем, недостатка в поводах и инструментах у злоумышленников явно нет.
Надежда Демидова, ведущий контент-аналитик «Лаборатории Касперского»
»

Чтобы не стать жертвой фишинга, «Лаборатория Касперского» рекомендует пользователям придерживаться довольно простых правил.

  • Всегда проверяйте подлинность адреса отправителя письма и содержащейся в нём ссылки – если не уверены в их благонадёжности, не открывайте. Если вы всё же оказались на сайте, вызывающем у вас сомнения, не оставляйте там никаких персональных данных. Если же думаете, что случайным образом вы могли передать свой пароль злоумышленникам, срочно смените его.
  • Используйте защищённое соединение, особенно когда заходите на важные сайты (например, в систему интернет-банкинга). По возможности избегайте небезопасных публичных Wi-Fi сетей. Всё это снизит риск незаметного попадания на фишинговую страницу. Для максимальной уверенности используйте специальные решения для защиты сетевых соединений – например, Kaspersky Secure Connection.
  • Используйте подходящее защитное решение с антифишинговыми технологиями – например, Kaspersky Security Cloud. Программа предупредит вас, если вы попытаетесь перейти на мошенническуюстраницу, и заблокирует её.

Ежедневное количество успешных фишинговых атак выросло до 1274

9 октября 2018 года Group-IB представила парадигму информационной безопасности.

Атаки на клиентов банков

Веб-фишинг – метод хищений, который показал рост и в России, и на международном рынке в 2018 году. Количество групп, которые создают фишинговые сайты под российские бренды выросло с 15 до 26. В России общее количество ежедневных успешных фишинговых атак выросло до 1274 (ранее – 950). С помощью web-фишинга в России было похищено 251 млн. рублей, что на 6% больше, чем в 2017 году.

На международном рынке, в отличии от прошлого периода, первую позицию заняли фишеры, нацеленные на облачные хранилища, а не на финансовый сектор. По объему фишинговых сайтов в мире США занимает 1 место (80%), 2 место – Франция, 3-е – Германия. Согласно отчету Group-IB, 73% всех фишинговых ресурсов попадают в следующие три категории:

  • облачные хранилища (28%),
  • финансовые (26%),
  • онлайн-сервисы (19%).

Мошенничество с банковскими картами остается в числе наиболее опасных угроз для физических лиц: недостаточное распространение систем поведенческого анализа при проведении транзакций приводит не только к прямому ущербу, но и к росту бизнеса кард-шопов. Ежемесячно в мире для продажи в кард-шопах загружаются около 686 тысяч текстовых данных скомпрометированных банковских карт и 1.1 млн дампов. Общий объем рынка кардинга за анализируемый период составил – $663 млн.

Снижение угроз со стороны банковских троянов для ПК в России продолжается с 2012 года. Атаки на физических лиц ушли в прошлое, а ущерб для юридических лиц по итогам отчетного периода сократился еще на 12% и составил 547 800 000 ₽ (8,3 млн).

Рынок Android-троянов после нескольких лет роста остановился в России, но продолжает развиваться на мировой арене. Количество проводимых ежедневных хищений с помощью Android-троянов в России снизилось почти в три раза. Также стоит отметить и сокращение среднего размера хищений. Если в 2017 году он был 11 тысяч рублей, то в этом году уже 7 тысяч.

На международном рынке ситуация радикально отличается: за анализируемый период было выявлено 6 дополнительных троянов для ПК, а также выложены либо проданы исходные коды еще 5 троянов.

Саботаж и шпионаж – главные цели проправительственых хакеров

Фокус перспективной разработки и инноваций в создании сложных вирусов, а также проведении многоступенчатых целевых атак сместился от финансово-мотивированных киберпреступников к проправительственных хакерам. Их действия направлены на обеспечение долговременного присутствия в сетях объектов критической инфраструктуры с целью саботажа и шпионажа за компаниями энергетического, ядерного, коммерческого, водного, авиационного и других секторов.

В топ-3 стран происхождения самых активных проправительственных хакерских групп входит Китай, Северная Корея и Иран. Шпионаж также остается ключевым направлением деятельности групп, спонсируемых государствами разных стран. Азиатско-Тихоокеанский регион (APAC) по итогам H2 2017 – H1 2018 стал самым активно атакуемым хакерами разных стран. За год здесь была зафиксирована активность 21 различных групп, что больше чем в США и Европе вместе взятых. Еще одним вектором шпионажа в Group-IB называют взлом домашних и персональных устройств должностных лиц государств.

В отчете Group-IB представлены порядка 40 активных групп, но их гораздо больше. Они спонсируются различным государствами, среди которых: Северная Корея, Пакистан, Китай, США, Россия, Иран и Украина. Страновую принадлежность части групп пока установить не удалось. Как правило, обнаруженные группы или правительственные кампании уже существовали несколько лет, но по разным причинам не были замечены. В разделе отчета Group-IB, посвященном атакам на критическую инфраструктуру делается неутешительный вывод: ландшафт APT-угроз, характерный для каждого региона постоянно меняется, хакеры стараются пользоваться широко распространенными инструментами, в том числе для тестов на проникновение, что затрудняет работу исследователей. Отсутствие данных об обнаруженных атаках в отдельной стране или секторе экономике, скорее всего, означает, что о них пока не известно, а не о том, что они отсутствуют.

Финансовый сектор вновь под угрозой

Традиционно один из самых обширных блоков отчета посвящен тактике атакующих и ущербу, нанесенному киберпреступниками финансовым организациям. В 2018 году была раскрыта хакерская группа – Silence. Помимо нее самыми опасными для банков во всем мире являются MoneyTaker, Lazarus и Cobalt. Они способны взломать банк, добраться до изолированных финансовых систем и вывести деньги. Три группы из четырех – русскоговорящие.

В среднем, каждый месяц в России успешно атакуют 1-2 банка: средний ущерб от атаки – 132 млн. руб ($2 млн). Эксперты Group-IB констатируют, что количество целенаправленных атак на банки с целью хищения через SWIFT за отчетный период увеличилось в три раза. Среднее время для обналичивания денег из банкомата дропами или мулами составляет всего около 8 минут.

Среди других наиболее вероятных регионов возникновения киберпреступных организаций – Латинская Америка, а также Азиатские страны. Скорее всего их первыми целями будут банки. Эксперты Group-IB предупреждают, что коллаборация хакерских групп, применение ими легальных инструментов и умышленное копирование тактики друг друга приведут к многочисленным ошибкам в атрибуции.


Крипто-индустрия

Около 56% всех средств, украденных с ICO, были похищены с помощью фишинговых атак. В 2017 и 2018 годах внимание хакеров возросло к атакам с целью взлома криптобирж. Всего было ограблено 14 криптовалютных бирж. Общий ущерб – более $882 млн.

Криптоджекинг (скрытый майнинг), как направление мошенничества, получило наибольшее развитие в 2017-2018 гг. После выхода ПО для скрытого майнинга Coinhive, появилось еще 7 программ подобного типа. Эксперты Group-IB прогнозируют, что крупнейшие майнеры в мире могут стать целью не только киберпреступников, но и прогосударственных атакующих. При определенной подготовке это может позволить им взять под контроль 51% мощностей для майнинга и захватить управление криптовалютой. Сразу 5 успешных «атак 51%» было зафиксировано в первой половине 2018: сумма прямого финансового ущерба составила от 0,55 млн до 18 млн долларов.

Технологии взлома

Если в 2017 году основное внимание специалистов по безопасности было связано с эпидемиями WannaCry, NotPetya, BadRabbit, то начало 2018 года показало, что очередной источник глобальной угрозы информационной безопасности – это side-channel атаки и уязвимости микропроцессоров разных вендоров. В отчете Group-IB анализируется множество примеров, показывающих реальную опасность «брешей» аппаратного обеспечения и их ключевую проблему: все эти уязвимости невозможно быстро и эффективно закрыть при помощи программных обновлений. Именно поэтому исследовательская активность, посвященная поиску уязвимостей в BIOS/UEFI усиливается с каждым годом пропорционально возросшему количеству угроз, которые используются в реальных целенаправленных атаках. При этом о них становится известно благодаря утечкам, а не исследованию атак: на рынке нет решений, которые могли бы эффективно выявить такие угрозы.

В Group-IB констатируют, что исследования, посвященные поиску уязвимостей в BIOS/UEFI, а также разработка реальных эксплойтов – достаточно трудоемкие и дорогие процессы: не так много хакеров способны выполнять такие атаки, но эта ситуация может измениться, что в корне изменит подход к кибербезопасности в ближайшие годы.

Кибермошенники рассылают фишинговые письма под видом турнирной таблицы ЧМ-2018

Компания Check Point Software Technologies, поставщик решений в области кибербезопасности, 19 июня 2018 года сообщила о выявлении фишинговой кампании, связанной с началом Чемпионата мира по футболу 2018. Кибермошенники рассылают зараженный файл под видом расписания игр и турнирной таблицы.

Во вложении фишинговых писем скрывается вредоносное ПО под названием «DownloaderGuide», который известен как загрузчик потенциально нежелательных программ. Чаще всего его используют в качестве установщика приложений, таких как панель инструментов, рекламное ПО или утилиты для оптимизации. Исследователи Check Point обнаружили, что фишинговая рассылка включает различные исполняемые файлы, все из которых были отправлены по электронной почте с использованием темы: «World_Cup_2018_Schedule_and_Scoresheet_V1. ## _ CB-DL-Manager».

Кампания была впервые обнаружена 30 мая 2018 года и достигла пика 5 июня, однако в десятых числах июня исследователи Check Point зафиксировали очередной всплеск, который связывают с началом турнира.

В компании ожидают новые всплески онлайн-мошенничеств и фишинг-атак во время Чемпионата мира по футболу 2018 и призывают интернет-пользователей сохранять бдительность, а организациям рекомендуют применять многоуровневую стратегию безопасности, которая защищает как от известного вредоносного ПО, так и угроз нулевого дня.

Фишинг — в числе самых серьезных угроз для пользователей Office 365

Корпорация Microsoft опубликовала в апреле 2018 года отчет об угрозах информационной безопасности Security Intelligence Report за период с февраля 2017 года. Он базируется на данных, полученных защитными программами и сервисами компании (Данные о количестве обнаруженных угроз, а не о случаях заражения). Информация была предоставлена корпоративными и частными пользователями, которые согласились делиться ей с привязкой к геолокации.

Широкое распространение ботнетов и вирусов-вымогателей привело к тому, что количество устройств в России, столкнувшихся с киберугрозами в период с февраля 2017 года по январь 2018 года, достигло 25-30% в среднем в месяц, тогда как аналогичный показатель в первом квартале 2017 года был почти в два раза меньше – 15%. Самые высокие показатели были зафиксированы в Пакистане, Непале, Бангладеше и Украине (33,2% или выше), самые низкие – в Финляндии, Дании, Ирландии и США (11,4% или ниже).

В 2017 году методы получения «легкой добычи», такие как фишинг, использовались для того, чтобы получить учетные данные и другую конфиденциальную информацию от пользователей. Согласно данным Microsoft Advanced Threat Protection (ATP) фишинг был в числе самых серьезных угроз в почтовых ящиках пользователей Office 365 во втором полугодии 2017 года (53%), 180-200 миллионов фишинговых писем обнаруживались ежемесячно. В России, в частности, было обнаружено 7,01 (в мире – 5,85) фишинговых сайтов на каждую 1000 хостов. Следующими по распространенности угрозами стали загрузчики вредоносного ПО (29%) и Java-бэкдоры (11%).

Другой мишенью для злоумышленников являются облачные приложения с низким уровнем безопасности. В ходе исследования выяснилось, что 79% SaaS-приложений для облачного хранения данных и 86% SaaS-приложений для совместной работы не обеспечивают шифрование ни хранящейся, ни передаваемой информации. Для защиты корпоративной инфраструктуры организации должны ограничивать использование пользователями облачных приложений, не использующих шифрование, и контролировать это с помощью брокера безопасности облачного доступа (Cloud Access Security Broker, CASB).

Еще одна тенденция второй половины 2017 года – киберпреступники используют легитимные встроенные средства системы, чтобы распространить зараженный документ (например, документ Microsoft Office), содержащийся в фишинговом письме, и загрузить программу-вымогатель. Лучшим способом избежать такого вида угрозы является своевременное обновление операционной системы и программного обеспечения.

2017

Google: Фишинговые атаки опаснее кейлоггеров и утечек данных

Специалисты Google совместно с учеными Калифорнийского университета в Беркли и Международного института компьютерных наук (International Computer Science Institute) опубликовали результаты исследования современных киберугроз. Согласно докладу, фишинговые атаки представляют для пользователей более серьезную опасность, чем кейлоггеры и повторное использование пароля[5][6].

К данному выводу исследователи пришли, проанализировав несколько черных рынков по продаже учетных записей и учетных данных. В исследовании рассматривались данные за период с марта 2016 года по март 2017 года.

Эксперты обнаружили более 788 тыс. учетных данных, похищенных с помощью кейлоггеров, 12,4 млн учетных данных, украденных посредством фишинга, и 1,9 млрд учетных данных, попавших в Сеть в ходе утечек. При этом 12% скомпрометированных в ходе утечек учетных записей были зарегистрированы через сервис Gmail. В 7% случаев пользователи повторно использовали свой пароль от Google для доступа к другому аккаунту, поставив таким образом обе учетные записи под угрозу взлома.

По словам представителей Google, от 12% до 25% обнаруженных паролей все еще применялись пользователями. Google заявила, что результаты исследования будут использованы в том числе для сброса паролей в скомпрометированных аккаунтах.

«Оценивая риски, мы обнаружили, что фишинг представляет наибольшую угрозу для пользователей. Далее следуют кейлоггеры и утечки данных. Вероятность того, что учетная запись жертвы фишинга будет взломана в 400 раз больше по сравнению со средним пользователем Google. Данный показатель в 10 раз меньше у жертв утечек данных и примерно в 40 раз меньше у жертв кейлоггеров», - отметили эксперты.

Помимо этого, исследователи также обратили внимание на растущую тенденцию включать в кейлоггеры и фишинговое ПО инструменты для регистрирации IP-адресов и других данных для обхода геолокационных фильтров. Более сложные варианты вредоносного ПО также регистрируют телефонные номера и данные user-agent.

Центробанк выявил 481 мошеннический сайт

В отчете Центра мониторинга и реагирования на компьютерные атаки в финансовой сфере (ФинЦЕРТ) отмечается, что «с 1 января по 1 сентября 2017 года Центр отправил информацию о 481 домене различной мошеннической тематики, подлежащем разделегированию».

По итогам рассмотрения 367 доменов были заблокированы регистраторами. Среди них такие ресурсы, как 84 сайта с Р2Р переводами, собирающие данные платежных карт пользователей (имя владельца, номер, срок действия, код подлинности карты) в противоправных целях, 44 ресурса лжебанков, 45 «страховых компаний» и 39 финансовых пирамид.

Также блокируется от 20 до 30 сайтов «авиакомпаний», интернет-магазинов, «микрофинансовых организаций», ресурсы с вредоносным ПО и площадки, посвященные мошенничеству в финансовой сфере и продажам дампов (копий) банковских карт.

За 2017 год выявлено свыше 600 фишинговых доменов и 1300 сайтов с вирусами

По инициативе Службы кибербезопасности Сбербанка с начала года в российском интернет-пространстве было выявлено и закрыто свыше 600 доменных имён, использовавшихся для фишинговых атак, около 200 мошеннических площадок и более 1300 сайтов, распространявших вредоносное программное обеспечение. Об этом 15 сентября 2017 года заявили в Сбербанке.

«
Мы уделяем самое пристальное внимание вопросам борьбы с фишингом, — заявил заместитель председателя Правления Станислав Кузнецов. — Однако выявить и провести необходимые действия по сайтам преступников — полдела. На «удочку» мошенников попадаются люди доверчивые, не обладающие должными навыками защиты от киберфрода. Именно поэтому приоритеты Сбербанка сдвигаются в сторону профилактических мер по повышению финансовой грамотности населения.
»

По информации Сбербанка, одна из самых распространённых схем фишеров следующая: жертве приходит сообщение заманчивого или, наоборот, пугающего содержания с предложением либо направить персональные данные (логины, пароли банковских карт), либо перейти по ссылке на некий сайт, на котором опять же нужно ввести свои данные. Более 48% интернет-пользователей, получающих фишинговые письма, откликаются на них и становятся жертвами преступников.

Поскольку целью номер один для фишеров являются финансовые сервисы, большинство из которых составили онлайн-банки, Сбербанк разработал для представителей сферы специальную программу повышения уровня киберграмотности, включающую интерактивные курсы и последующее определение признаков фишинговых атак на практике.

Facebook выплатит $100 тыс. исследователям за разработку техники обнаружения целенаправленного фишинга

В августе 2017 года социальная сеть Facebook объявила победителя конкурса «2017 Internet Defense Prize». Команда исследователей из Калифорнийского университета в Беркли и Национальной лаборатории Лоуренса Беркли заработала награду в размере $100 тысяч за изобретение новой техники обнаружения целенаправленных фишинговых атак (spear-phishing) в корпоративной среде.

Метод, представленный в рамках USENIX Security Symposium, совмещает новую технику оценки аномалий для построения рейтинга уведомлений безопасности и функционал анализа целенаправленных фишинговых email-сообщений.

Для тестирования своего метода исследователи проанализировали более 370 млн email сообщений, полученных сотрудниками крупных компаний в период с марта 2013 до января 2017.

Первая часть обнаружения целенаправленного фишинга полагается на анализ двух основных составляющих: репутации домена и репутации отправителя. Репутация домена осуществляется путем проверки репутации ссылки в письме. Ссылка считается опасной, если она не посещалась многими сотрудниками компании, или если активность по ссылке началась совсем недавно.

Функционал проверки репутации отправителя пытается выяснить, не являются ли поля письма поддельными, например, имя отправителя и заголовок From.

После проведения анализа система должна принять решение на основе собранных данных и, в случае необходимости, создать уведомление об опасности. Система, предложенная учеными, называется непосредственной оценкой аномалий - `Directed Anomaly Scoring (DAS)`. Состоит она в определении подозрительности каждого события по отношению к другим событиям. После анализа всех событий, DAS выбирает события, получившие самую высокую оценку и сообщает о них службе безопасности.

По заявлению экспертов, новая технология способна обнаружить 17 из 19 фишинговых писем, а число ложных срабатываний составляет всего 0.005%[7].

Мошенники атакуют пользователей Apple-устройств под видом сотрудников iTunes

17 июля компания Eset предупредила пользователей продукции Apple о новой афере. Мошенники собирают данные банковских карт и другую личную информацию, рассылая письма о несуществующей покупке в iTunes Store.

Потенциальная жертва получает от лица онлайн-магазина письмо, в котором сообщается, что Apple ID использовался на неизвестном устройстве для покупки альбома Рианны. Пользователю предлагают игнорировать сообщение, подтвердив тем самым покупку, или отменить транзакцию, перейдя по ссылке.

Поддельное письмо об использовании Apple ID


Если пользователь не обратит внимание на грамматические ошибки в письме и тот факт, что адрес отправителя не имеет отношения к Apple, он попадает на фишинговый сайт, где предлагается ввести Apple ID и пароль, а затем заполнить анкету «для подтверждения личности».


По информации Eset, мошенники запрашивают исчерпывающие данные: имя, фамилию, почтовый адрес, телефон, дату рождения и данные банковских карт. «Принимаются» карты всех распространенных платежных систем, включая Visa, MasterCard, American Express и др.

После ввода данных на странице появится сообщение о том, что учетная запись успешно прошла проверку. Пользователь будет перенаправлен на главную страницу настоящего iTunes Store, а его персональные данные окажутся у злоумышленников.

В Eset рекомендуют игнорировать спам-рассылки и использовать комплексные антивирусные продукты с функциями антиспама и антифишинга.

КЦ: Среди типов вредоносной активности лидирует фишинг

В мае 2017 года компетентными организациями, сотрудничающими с Координационным центром доменов .RU/.РФ, в адрес регистраторов было направлено 329 обращений о снятии с делегирования доменных имен.

Анализ доменов-нарушителей по типу выявленной вредоносной активности в отчетном периоде показал, что лидирующее место по-прежнему принадлежит доменным именам, связанным с фишингом (257 обращений). Далее следует распространение вредоносного ПО (65 обращений) и контроллеры бот-сетей (7). Стоит отметить, что фишинг остается лидером по количеству обращений уже на протяжении 10 месяцев – за исключением марта, когда на долю фишинга пришлось «лишь» 49% всех обращений.

За отчетный период по обращениям компетентных организаций с делегирования были сняты 313 доменных имен. Для 15 доменных имен снятия делегирования не потребовалось, так как причины блокировки были оперативно устранены (или ресурс был заблокирован хостинг-провайдером).

"Лаборатория Касперского" выяснила, кто стоит за фишинговыми атаками на промышленные компании

Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT) сообщил в июне2017 года о всплеске числа фишинговых атак на промышленные компании со стороны нигерийских злоумышленников. Только за три месяца исследований эксперты центра обнаружили более 500 атакованных предприятий в более чем 50 странах мира: доля индустриальных компаний среди них превысила 80%.

Рассылаемые при атаках письма были составлены таким образом, чтобы получивший письмо сотрудник счел его легитимным и открыл вредоносное вложение. Сообщения рассылались в том числе от имени компаний — контрагентов потенциальных жертв: поставщиков, заказчиков, коммерческих организаций и служб доставки. В них получателям предлагалось срочно проверить информацию по счету, уточнить расценки на продукцию или получить груз по накладной. При этом во всех письмах содержались вредоносные вложения, предназначенные для кражи конфиденциальных данных, а также установки скрытых средств удаленного администрирования систем.

Также специалисты обнаружили, что большая часть доменов, используемых для командных серверов вредоносного ПО, была зарегистрирована на лиц, проживающих в Нигерии. Выбрав из готовящихся транзакций наиболее перспективную для себя, атакующие регистрировали домены, имена которых были очень похожи на имена компаний-продавцов. Затем они перехватывали сообщения со счетами от этих компаний и пересылали их покупателям, заменив реквизиты на свои собственные.

Описанные атаки относятся к хорошо известному типу Business Email Compromise (BEC). Нацелены такие угрозы обычно не только на промышленные предприятия, но на бизнес в целом. По оценкам ФБР, ущерб от подобных атак за последние несколько лет превысил 3 миллиарда долларов США, а количество пострадавших составило 22 143 компании в 79 странах мира.

Однако в случае с промышленными компаниями финансовые потери — не единственный риск от подобных атак. Поскольку часть вредоносного ПО, используемого в атаках, дает возможность удаленного доступа к зараженному компьютеру, злоумышленники могут использовать это для проникновения из офисной сети в промышленную. Последствия этого совершенно непредсказуемы: известны случаи, когда атакующие меняли какие-либо технологические параметры даже без очевидного злого умысла — просто из любопытства. Кроме того, в процессе атаки злоумышленники получают доступ к огромному количеству информации об индустриальных компаниях: данным о контрактах и проектах, сметам работ, чертежам, планам зданий, схемам электрических и информационных сетей. Как фишеры распоряжаются этой информацией, эксперты пока не выяснили, однако очевидно, что в плохих руках она представляет серьезную опасность.

Аферист из Литвы ограбил Google и Facebook на $100 млн

В марте 2017 года в СМИ прошла информация о том, что две ведущие американские интернет-компании пострадали от фишинговой атаки, организованной мошенником из Литвы. Названия компаний не раскрывались, но отмечалось, что злоумышленнику удалось обманом получить более $100 млн.

27 апреля стало известно, что жертвами афериста были компании Facebook и Google. Это выяснило издание Fortune по результатам собственного расследования, сообщает BBC News.[8]

Google стала жертвой фишинговой атаки мошенника из Литвы

В обмане интернет-гигантов с использованием электронных сообщений от лица подставной компании обвиняется 48-летний Эвалдас Римасаускас (Evaldas Rimasauskas). Известно, что он применял свою мошенническую схему на протяжении как минимум двух лет, с 2013 по 2015 годы.

«
Мошеннические фишинговые письма отправлялись сотрудникам и агентам компаний-жертв, которые регулярно проводили многомиллионные транзакции с [азиатской] компанией, — говорится в сообщении Министерства юстиции США, распространенном в марте.
»

Письма, якобы написанные сотрудниками расположенной в Азии фирмы, отправлялись с адресов электронной почты и выглядели так, будто их действительно прислала указанная компания, но на самом деле были подложными.

Также Минюст США обвиняет Римасаускаса в том, что он подделал счета-фактуры и контракты, подписывая их от имени руководителей атакованных им компаний.

В конце марта агентству Reuters стало известно, что для своей аферы мошенник воспользовался именем Quanta Computer, тайваньской компании, являющейся одним из крупнейших в мире контрактных производителей компьютеров. Информацию публично подтвердила представитель Quanta Кэрол Ху (Carol Hu).[9]

Теперь, в ответ на запросы Fortune, представители Facebook и Google сообщили, что они и были жертвами литовского мошенника. В обеих компаниях отметили, что вернули средства, однако не уточнили сколько именно денег ими было переведено и впоследствии возвращено.[10]

ФНС защитила свой почтовый домен

ФНС России стала одной из первых государственных организаций, которая совместно со специалистами Почты Mail.Ru применила современные средства защиты, настроив SPF, DKIM и DMARC для своего почтового домена. В результате проведённой работы злоумышленники больше не смогут использовать имя почтового домена nalog.ru для отправки фишинговых писем на любые крупные почтовые сервисы, использующие спецификацию DMARC для проверки подлинности отправителей писем.

Применяемый в настоящее время базовый протокол передачи электронной почты SMTP Simple Mail Transfer Protocol - Простой протокол передачи почты не позволяет на должном уровне проводить аутентификацию внешних отправителей. То есть при отправке письма в поле From: можно подставить любой адрес. Подделку электронного адреса может распознать специалист: необходимо сверять заголовки, служебную информацию, сервер и IP, с которых поступило письмо. При использовании стандарта DMARC проверка будет автоматически проводиться почтовым сервером получателя. Настроив DMARC, владельцы почтовых серверов могут блокировать приём писем с доменов, не прошедших авторизацию. Таким образом, DMARC позволяет выявлять и пресекать подмену обратного адреса отправителя, которую используют спамеры для поддельных рассылок от имени авторитетной компании.

«АльфаСтрахование» предотвратила работу двух поддельных сайтов по продаже Е-ОСАГО

В 2016-2017 гг. «АльфаСтрахование» дважды сталкивалась с попытками создать фишинговые сайты, которые выдавали свой калькулятор по ОСАГО за калькулятор нашей компании с целью сбора информации о платежных картах клиентов и дальнейшего мошенничества с ними. Компания полностью поддерживает решение ФинЦЕРТ Центрального Банка России и Российского союза автостраховщиков (РСА) отслеживать сайты, предлагающие фальшивые полисы Е-ОСАГО.

С начала 2017 г. страховые компании обязаны продавать электронные полисы Е-ОСАГО на своих сайтах. Вместе с началом продаж электронных полисов обязательного страхования транспортных средств появились и мошеннические сайты, которые под видом сайтов страховщиков предлагают оплатить полис онлайн с целью хищения средств граждан.

«С начала года наша компания дважды сталкивалась с фишинговыми сайтами, которые выдавали свой калькулятор по ОСАГО за калькулятор нашей компании, - говорит Александр Прокопчук, директор департамента электронной коммерции «АльфаСтрахование». – Данный вопрос удалось решить через службу безопасности «АльфаСтрахование». Мы приветствуем сотрудничество РСА и ФинЦЕРТ и верим, что это поможет свести к минимуму появление мошеннических сайтов и обезопасить как автовладельцев, так и страховщиков».

Информационный обмен между ФинЦЕРТ и РСА поможет вести борьбу с фишинговыми сайтами путем передачи данных РСА в Банк России. Как имеющий статус компетентной организации у администраторов доменов верхнего и второго уровней, регулятор сможет добиться закрытия таких сайтов.

Украина: Число мошеннических сайтов, собирающих банковские реквизиты, увеличилось в 4,5 раза в 2016 году

За 2016 год в Украине в 4,5 раза выросло количество фишинговых сайтов. Если в 2015 году веб-ресурсов, которые заставляли пользователей оставлять данные платежных карточек под предлогом оказания несуществующих услуг, было обнаружено 38, то уже в 2016 году специалисты Украинской межбанковской ассоциации членов платежных систем (EMA) выявили 174 таких сервиса в интернете[11].

2016

APWG: Количество фишинг-инцидентов выросло на 65%

2016 год поставил рекорд по количеству фишинговых атак, - сообщила в своем отчете Рабочая группа по борьбе с фишингом (The Anti-Phishing Working Group): 1 220 523 инцидента. Это на 65% больше, чем в 2015 г.

Наиболее атакуемым сектором стал ритейл (почти 42%); на втором месте оказался финансовый сектор, на третьем и четвертом местах, соответственно, оказались интернет-провайдеры и платежные сервисы.

Большая часть (более 6 тыс.) фишинговых доменов стабильно располагается в доменной зоне .com.

Стоит отметить, что в статистику APWG не вошли «спиэр-фишинговые», то есть узконаправленные мошеннические атаки: речь идет только о традиционном фишинге.

Согласно исследованию APWG, в IV квартале 2016 г. каждый месяц составляло 92 564 инцидентов. В 2004 г. за тот же период количество фишинговых инцидентов составляло всего лишь 1609. Таким образом, мошеннический бизнес показал рост более чем в 50 раз за 12 лет.

Цель каждой второй фишинговой атаки — деньги пользователей

Распределение различных типов финансовых фишинговых атак в 2016 году

Почти половина фишинговых атак в 2016 году была нацелена на прямую кражу денег у пользователей — к такому выводу пришли эксперты «Лаборатории Касперского», проанализировав финансовые угрозы 2016 года (учитывалось число срабатываний эвристической компоненты системы «Антифишинг» в защитных продуктах компании). По сравнению с показателем 2015 г., число финансовых фишинговых атак увеличилось на 13 процентных пунктов и составило 47%. За всю историю изучения компанией финансового фишинга этот показатель самый высокий.

Основной целью злоумышленников при таких атаках является сбор конфиденциальной информации, открывающей доступ к чужим деньгам. Фишеры охотятся за номерами банковских счетов или карт, номерами социального страхования, логинами и паролями от систем онлайн-банкинга или платежных систем.

Излюбленной мишенью фишеров традиционно оказались банки: в каждой четвертой атаке они использовали поддельную банковскую информацию. Таким образом, доля атак на эти финансовые организации по сравнению с 2015 г. увеличилась на 8 процентных пунктов. Кроме того, приблизительно каждая восьмая фишинговая атака была направлена на пользователей платежных систем, а каждая десятая — на покупателей интернет-магазинов.

«Фишинг, направленный на пользователей финансовых сервисов, является для киберпреступников одним из самых эффективных способов украсть деньги. Атаки с использованием методов социальной инженерии не требуют от преступника высокой технической квалификации и больших инвестиций. Пользуясь невнимательностью своих жертв и их технической неграмотностью, мошенники получают доступ к персональной финансовой информации пользователей и, в дальнейшем, к их деньгам, — рассказала Надежда Демидова, старший контент-аналитик «Лаборатории Касперского». — Разумеется, подавляющее большинство фишинговых атак легко распознать. Но статистика говорит о том, что очень много людей продолжают проявлять беспечность в интернете, даже когда дело касается денег».

Российские киберпреступники отказываются от фишинга в пользу скимминга

В связи с принимаемыми мерами по усилению безопасности мобильных и online-сервисов растет популярность кардинга. Как сообщает издание «Известия» со ссылкой на экспертов компании Zecurion, злоумышленники все чаще похищают данные банковских карт с помощью не фишинга, а установленных в банкоматах скиммеров.

За период с января по июнь 2016 года на долю кардинга пришлось 87% от всех похищенных средств россиян. Остальные 13% киберпреступники «заработали» с помощью фишинга. Как сообщают эксперты, количество преступлений, осуществляемых в интернете, по сравнению с прошлым годом сократилось на 3%. Ровно на столько же возросла доля offline-преступлений.

В январе–июне 2016 года скимминг принес злоумышленникам доход в размере 900 млн руб., в то время как фишинг — 140 млн руб. По причине недостаточной осведомленности в вопросах безопасности чаще всего жертвами кардеров становятся пенсионеры. Как пояснил глава аналитического центра Zecurion Ульянов Владимир, помимо данных с магнитных полос их карт злоумышленники зачастую также могут получит PIN-код (например, подсмотрев из-за плеча или даже спросив).

По словам эксперта компании «Инфосистемы Джет» Алексея Сизова, кардинг привлекает преступников тем, что, в отличие от online-мошенничества, между похищением данных до непосредственного получения денег проходит очень мало времени. Установка скиммера занимает считанные минуты или даже секунды, и около пяти минут уходит на клонирование карты. Процесс получения средств с помощью фишинга занимает гораздо больше времени. Узнать только учетные данные недостаточно, необходимо еще получить дубликат SIM-карты, поскольку SMS-сообщения с одноразовыми паролями для проведения операций приходят на мобильное устройство.

Банк России получит право отключать домены фишинговых сайтов

Центробанк РФ и Координационный центр национального домена сети интернет (КЦ) ведут переговоры о предоставлении организации FinCert право отключать в национальных зонах .ru и .рф домены, через сайты которых осуществляется хищение средств. Соответствующий договор стороны планируют подписать до конца нынешнего лета, сообщают СМИ.

Речь идет об отключении фишинговых сайтов, позволяющих злоумышленникам получить доступ к номерам кредитных карт клиентов банков и другой конфиденциальной информации. После подписания соглашения FinCert получит полномочия разделигировать домены, используемые для фишинга, хищения данных кредитных карт или подделки страниц финансово-кредитных организаций. По информации издания, в настоящее время Центробанк проводит работы по снятию с делегирования доменов, через сайты которых осуществляются фишинговые атаки.

По мнению интернет-омбудсмена Дмитрия Мариничева, предоставление ЦБ права отключать фишинговые сайты является правильной инициативой, поскольку регулятор владеет актуальной информацией о хищении средств через интернет. Назначение Центробанка компетентной организацией снизит риск, что кто-то «попадет на деньги», считает Мариничев.

2015

Intel Security: 97% людей во всем мире не способны распознать фишинг

Intel Security опубликовала летом 2015 года результаты своего теста проверки знаний пользователей и их умения распознавать электронные письма, отправленные мошенниками с целью получения доступа к логинам, паролям и другим конфиденциальным данным.

В исследовании приняли участие около 19 000 человек из 144 стран. Им было предложено изучить 10 сообщений, специально подготовленных Intel Security. Некоторые образцы содержали угрозы кражи информации, т.е. фишинговые атаки. Только 3% из всех опрошенных смогли точно определить, можно ли доверять тому или иному посланию, тогда как 80% респондентов посчитали безопасным как минимум одно из писем с угрозой.

Киберпреступники рассылают фишинговые электронные письма для того, чтобы получатели перешли по содержащимся в письмах ссылкам на сайты, созданные с целью похищения персональных данных пользователей. Мошенники обманом заставляют людей указывать свои имена и фамилии, адреса, пароли и/или информацию о кредитных картах на фальшивых ресурсах, которые выглядят так, как будто принадлежат реальным компаниям. В отдельных случаях даже переход по ссылке в письме приводит к автоматической загрузке вредоносных программ на устройство пользователя. Так злоумышленники могут легко похитить информацию без ведома жертвы

В рамках исследования Intel Security лучше всех с заданием справилась группа респондентов в возрасте от 35-ти до 44-х лет. В среднем они ответили правильно на 68% вопросов. Самые большие трудности с выявлением фишинговых писем в почте испытывают женщины младше 18 и старше 55 лет, они смогли определить лишь 6 из 10 писем. Мужчины лучше женщин защищают себя от хакеров (67% точности в определении вредоносных сообщений против 63%).

Из 144 стран, принявших участие в опросе, лучше всего киберугрозы в электронной почте увидели жители Франции, Швеции, Венгрии, Нидерландов и Испании (они дали более 70% правильных ответов). Российские пользователи смогли точно определить наличие или отсутствие фишинга в 62,5% случаев.

Оказалось, что участники тестирования чаще всего неправильно определяли безопасные письма. И именно те, в которых была просьба «забрать свои призы». Люди часто ассоциируют бесплатные призы со спамом, это, видимо, и стало причиной того, что респонденты неправильно определили статус писем. «В реальности же электронные послания, содержащие угрозу кражи информации, часто выглядят так, как будто они действительно отправлены с настоящих сайтов, – рассказывает Гари Дэвис, главный специалист по вопросам безопасности Intel Security. – Необходимо крайне внимательно изучать такие письма и обращать внимание на грамматические ошибки, а также на плохое качество изображений».

2014

APWG: Количество фишинг-инцидентов в РФ снижается

По данным отчета Anti-Phishing Working Group за 1й квартал 2014 года, на территории РФ отмечается снижение инцидентов, связанных с фишингом. Доля ip адресов, располагающихся на территории РФ, с которых осуществлялись мошеннические действия, существенно снизилась и составила в среднем 1,6 % в первом квартале 2014 против 15,3% в аналогичном квартале 2013.

Очевидно, что киберпреступления, связанные с фишингом, поменяли свою географическую принадлежность, встретив на территории РФ сильный отпор. В настоящий момент всплеск инцидентов по географической принадлежности приходится на США, Турцию и КНР. Однако, в компании Group-IB считают, что это временное явление и киберпреступники готовятся вскоре нанести новый удар.

О том, что компания Group-IB отправила киберпреступников в нокдаун, напрямую говорит аналитика работы CERT-GIB за первое полугодие 2013 и 2014 годов. Так, в первом полугодии 2014 специалистами CERT-GIB было обработано на 52% меньше заявок: 1537 в 2013 году против 800 заявок за аналогичный период 2014 года. Фишинг удалось снизить на 70%. 762 инцидента за первое полугодие 2013 года к 235 инцидентам за тот же период 2014 года. Таким образом, связь с количества входящих заявок с долей инцидентов фишинга более чем очевидна. В Group-IB подчеркивают, что это временное явление. Финансовый сектор в России по прежнему является объектом повышенного интереса со стороны киберпреступников.

Объем финансовых средств в платежных системах стабильно растет. Банки, в свою очередь, постоянно совершенствуют онлайн-сервисы, тем самым привлекая все большее число пользователей, а это все новые и новые персональные данные, которые нужны злоумышленникам как воздух. В компании предостерегают не снижать бдительности в вопросах информационной безопасности. То, что киберпреступники готовят нанести новый удар очевидно и вполне предсказуемо. Стоит отметить, что победа в выигранном раунде в борьбе с киберпрступностью многим обязана компетенциям Group-IB, наделенным Координационным центром наоционального домена сети Интернет, в которые входят противодействие фишингу, вредоносному ПО и ботнет-контроллерам.

Треть фишинговых атак направлены на кражу денег

Согласно проведенному «Лабораторией Касперского» исследованию, злоумышленники стали чаще стали создавать онлайн-ресурсы, копирующие внешний вид сайтов финансовых компаний, для получения конфиденциальной информации и кражи денег со счетов интернет-пользователей. Статистика показывает, что доля фишинговых атак с использованием имен популярных банков, платежных систем или интернет-магазинов в 2013 году составила 31,45%, что на 8,5 процентных пунктов больше, чем годом ранее.

В 2013 году продукты «Лаборатории Касперского» защитили от фишинга 39,6 миллиона человек. По данным облачной инфраструктуры Kaspersky Security Network, самые быстрые темпы роста показали атаки, эксплуатирующие названия банков: на их долю пришлось 70,6% всего финансового фишинга против 52% в 2012 году. При этом в общей массе всех подобных атак банковских брендов стало в два раза больше — 22,2%.

Согласно полученным данным, злоумышленники чаще всего прикрываются именами крупных компаний: примерно 60% фишинговых атак использовали названия 25 брендов. Среди сферы платежных систем статистика более однозначна: в случае 88,3% атак из этой группы преступники имитировали сайты всего четырех организаций: PayPal, American Express, Master Card и Visa. Что касается интернет-магазинов, имя Amazon уже несколько лет остается самым эксплуатируемым: за исследуемый период название компании использовалось в 61% фишинговых атак, связанных с онлайн-торговлей. С большим отставанием от Amazon в тройке лидеров — сетевые магазины Apple и интернет-аукцион eBay. Наряду с веб-ресурсами финансовых организаций злоумышленники часто подделывают сайты социальных сетей. В 2013 году доля атак с использованием страниц, имитирующих Facebook и подобные ему ресурсы, выросла на 6,8 пунктов до 35,4%.

«Популярность фишинговых атак среди злоумышленников обусловлена относительной простотой их проведения вкупе с достаточной эффективностью. Мошеннические сайты, тщательно копирующие вид официальных, бывает непросто отличить от легитимных даже опытным интернет-пользователям, что лишний раз подчеркивает важность использования специализированных защитных продуктов. В решениях „Лаборатории Касперского` для домашних пользователей и малого бизнеса стандартные механизмы блокировки фишинга дополнены технологией „Безопасные платежи`, которая надежно защищает персональные данные при работе с онлайн-банкингом и платежными системами», — прокомментировал Сергей Ложкин, антивирусный эксперт «Лаборатории Касперского».

Для более крупных компаний, стремящихся оградить своих клиентов от кибермошенников и защитить свою репутацию, «Лаборатория Касперского» предлагает комплексную платформу Kaspersky Fraud Prevention. Платформа создана для многоуровневой защиты электронных операций и включает программные средства для конечных пользователей, серверное решение для проверки транзакций и набор компонентов для разработки защищенных мобильных приложений.

2013

Антифишинговая рабочая группа провела осенью 2013 года исследования на предмет того, как развивается ситуация с фишингом в мире. В первом полугодии 2013 года количество атак составило более 72 тыс. Это меньше, чем во втором полугодии 2012 года (124 тыс.), что обусловлено использованием одних и тех же доменов для разных атак[12].

На более чем 53 тыс. доменов были зарегистрированы фишинговые атаки. Из них около 12 тыс. были намеренно зарегистрированы злоумышленниками, остальные 40 тыс. были взломаны или использованы незаконно из-за ненадежности веб-хостинга.

Случаи фишинга наблюдались в 195 доменах верхнего уровня, однако 82% атак были совершены на специально зарегистрированных доменах .COM, .TK и .INFO. Самым слабозащищенным от атак оказалась зона .PW, которая была перезапущена 25 марта 2013 года.

В 2013 году антифишинговая рабочая группа насчитала 720 институтов, которые стали целями фишеров, в то время, как в 2012 году их насчитывалось около 611.Самым востребованным у злоумышленников остался сектор платежных услуг — Система электронных платежей PayPal стала целью более 13 тыс. атак.

Смотрите также





Примечания