2019/09/09 12:38:42

Фишинг в России

.

Содержание

Основная статья: Фишинг

2019: Кибератака группы Silence на российские банки под видом приглашения на форум

18 января 2019 года Group-IB сообщила о масштабной волне вредоносных рассылок группы Silence в России. С начала года это самая крупная атака, насчитывающая более 80 000 получателей — сотрудников российских кредитно-финансовых организаций, среди которых основную долю занимают банки и крупные платежные системы.

Массовая атака началась с фишинговых рассылок Silence 16 января. Вредоносное вложение было замаскировано под приглашение на iFin-2019. Подробнее здесь.

2018

Хакеры под видом ЦБ атаковали российские банки через фишинг

15 ноября 2018 года хакерская группа Silence атаковала российские банки, сообщил «Коммерсантъ»[1]. Под видом ЦБ РФ злоумышленники разослали письма с вредоносным программным обеспечением. Для этого атакующие стилизовали письма и документы под те, которые рассылает Банк России. По мнению экспертов, образцы этих документов хакеры получили, взломав почтовые ящики сотрудников банков.

Хакерская группа Silence атаковала российские банки
Хакерская группа Silence атаковала российские банки

О том, что российские банки получили вредоносную рассылку якобы с почтового ящика ЦБ РФ, рассказали в Group-IB и подтвердили в «Лаборатории Касперского». Хакеры подделали адрес отправителя, но по какой-то причине не стали использовать SSL-сертификаты для прохождения проверки на подлинность. В общей сложности получателями ноябрьской рассылки, по данным Group-IB, оказались как минимум 52 банка в России и 5 банков за рубежом. Письма, озаглавленные как «Информация центрального банка Российской Федерации», предлагали банкирам ознакомиться с постановлением «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Для этого получатель должен был распаковать архив.

Распаковка архива приводила к загрузке вредоносной программы Silence.Downloader. Этот инструменты используют хакеры из Silence.

«
Стиль и оформление письма практически идентичны официальным рассылкам регулятора, — рассказали в Group-IB. Скорее всего, хакеры имели доступ к образцам подлинных сообщений.
»

В компании полагают, что для этого злоумышленники или взломали почтовые ящики сотрудников банка, либо занимались или занимающиеся легальной работой — пентестами (тестированием безопасности компьютерных систем с помощью моделирования хакерской атаки) и реверс-инжинирингом (попытками воспроизвести код каких-либо программ). Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем, полагают в Group-IB.

До этого аналогичная атака была зафиксирована 23 октября. Тогда якобы с адреса ФинЦЕРТ (структуры ЦБ, занимающейся кибербезопасностью) банки получили письмо с вложениями, стилизованными под документы регулятора, которые содержали в себе вредоносную программу — загрузчик Meterpreter Stager. Для управления этой атакой использовались самоподписанные SSL-сертификаты.

Серверная инфраструктура, используемая атакующими, ранее использовалась в атаках, за которыми предположительно стояли хакеры из группировки MoneyTaker.

«
Silence и MoneyTaker являются двумя из четырех наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций, — считает эксперт по киберразведке Рустам Миркасымов. — Хакеры из MoneyTaker используют все возможные векторы атак на банки, а Silence в свою очередь менее изобретательны и пользуются только безотказным и проверенным способом атаки — фишинговыми письмами. Но, в отличие от своих коллег, уделяют больше внимания содержанию и оформлению текста писем.
»

«
Атакующие используют известный и по-прежнему очень эффективный метод — получают доступ к внутренней банковской сети и закрепляются в ней, — пояснил «Коммерсанту» ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. — В течение долгого времени киберпреступники изучают внутреннюю инфраструктуру сети и производят запись с экранов машин сотрудников банка.
»

После анализа того, как используется внутрибанковское программное обеспечение, хакеры осуществляют перевод денежных средств из банка.

Silence — малочисленная российская хакерская группа, зафиксированная в 2016 году. Эксперты полагают, что за ними числятся атаки на системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР. Хакеры атакуют цели в основном в России, Украине, Белоруссии, Азербайджане, Польше и Казахстане.

Ежедневное количество успешных фишинговых атак в России выросло до 1274

9 октября 2018 года Group-IB представила парадигму информационной безопасности.

Атаки на клиентов банков

Веб-фишинг – метод хищений, который показал рост и в России, и на международном рынке в 2018 году. Количество групп, которые создают фишинговые сайты под российские бренды выросло с 15 до 26. В России общее количество ежедневных успешных фишинговых атак выросло до 1274 (ранее – 950). С помощью web-фишинга в России было похищено 251 млн. рублей, что на 6% больше, чем в 2017 году.

На международном рынке, в отличии от прошлого периода, первую позицию заняли фишеры, нацеленные на облачные хранилища, а не на финансовый сектор. По объему фишинговых сайтов в мире США занимает 1 место (80%), 2 место – Франция, 3-е – Германия. Согласно отчету Group-IB, 73% всех фишинговых ресурсов попадают в следующие три категории:

  • облачные хранилища (28%),
  • финансовые (26%),
  • онлайн-сервисы (19%).

Мошенничество с банковскими картами остается в числе наиболее опасных угроз для физических лиц: недостаточное распространение систем поведенческого анализа при проведении транзакций приводит не только к прямому ущербу, но и к росту бизнеса кард-шопов. Ежемесячно в мире для продажи в кард-шопах загружаются около 686 тысяч текстовых данных скомпрометированных банковских карт и 1.1 млн дампов. Общий объем рынка кардинга за анализируемый период составил – $663 млн.

Снижение угроз со стороны банковских троянов для ПК в России продолжается с 2012 года. Атаки на физических лиц ушли в прошлое, а ущерб для юридических лиц по итогам отчетного периода сократился еще на 12% и составил 547 800 000 ₽ (8,3 млн).

Рынок Android-троянов после нескольких лет роста остановился в России, но продолжает развиваться на мировой арене. Количество проводимых ежедневных хищений с помощью Android-троянов в России снизилось почти в три раза. Также стоит отметить и сокращение среднего размера хищений. Если в 2017 году он был 11 тысяч рублей, то в этом году уже 7 тысяч.

На международном рынке ситуация радикально отличается: за анализируемый период было выявлено 6 дополнительных троянов для ПК, а также выложены либо проданы исходные коды еще 5 троянов.

Саботаж и шпионаж – главные цели проправительственых хакеров

Фокус перспективной разработки и инноваций в создании сложных вирусов, а также проведении многоступенчатых целевых атак сместился от финансово-мотивированных киберпреступников к проправительственных хакерам. Их действия направлены на обеспечение долговременного присутствия в сетях объектов критической инфраструктуры с целью саботажа и шпионажа за компаниями энергетического, ядерного, коммерческого, водного, авиационного и других секторов.

В топ-3 стран происхождения самых активных проправительственных хакерских групп входит Китай, Северная Корея и Иран. Шпионаж также остается ключевым направлением деятельности групп, спонсируемых государствами разных стран. Азиатско-Тихоокеанский регион (APAC) по итогам H2 2017 – H1 2018 стал самым активно атакуемым хакерами разных стран. За год здесь была зафиксирована активность 21 различных групп, что больше чем в США и Европе вместе взятых. Еще одним вектором шпионажа в Group-IB называют взлом домашних и персональных устройств должностных лиц государств.

В отчете Group-IB представлены порядка 40 активных групп, но их гораздо больше. Они спонсируются различным государствами, среди которых: Северная Корея, Пакистан, Китай, США, Россия, Иран и Украина. Страновую принадлежность части групп пока установить не удалось. Как правило, обнаруженные группы или правительственные кампании уже существовали несколько лет, но по разным причинам не были замечены. В разделе отчета Group-IB, посвященном атакам на критическую инфраструктуру делается неутешительный вывод: ландшафт APT-угроз, характерный для каждого региона постоянно меняется, хакеры стараются пользоваться широко распространенными инструментами, в том числе для тестов на проникновение, что затрудняет работу исследователей. Отсутствие данных об обнаруженных атаках в отдельной стране или секторе экономике, скорее всего, означает, что о них пока не известно, а не о том, что они отсутствуют.

Финансовый сектор вновь под угрозой

Традиционно один из самых обширных блоков отчета посвящен тактике атакующих и ущербу, нанесенному киберпреступниками финансовым организациям. В 2018 году была раскрыта хакерская группа – Silence. Помимо нее самыми опасными для банков во всем мире являются MoneyTaker, Lazarus и Cobalt. Они способны взломать банк, добраться до изолированных финансовых систем и вывести деньги. Три группы из четырех – русскоговорящие.

В среднем, каждый месяц в России успешно атакуют 1-2 банка: средний ущерб от атаки – 132 млн. руб ($2 млн). Эксперты Group-IB констатируют, что количество целенаправленных атак на банки с целью хищения через SWIFT за отчетный период увеличилось в три раза. Среднее время для обналичивания денег из банкомата дропами или мулами составляет всего около 8 минут.

Среди других наиболее вероятных регионов возникновения киберпреступных организаций – Латинская Америка, а также Азиатские страны. Скорее всего их первыми целями будут банки. Эксперты Group-IB предупреждают, что коллаборация хакерских групп, применение ими легальных инструментов и умышленное копирование тактики друг друга приведут к многочисленным ошибкам в атрибуции.


Крипто-индустрия

Около 56% всех средств, украденных с ICO, были похищены с помощью фишинговых атак. В 2017 и 2018 годах внимание хакеров возросло к атакам с целью взлома криптобирж. Всего было ограблено 14 криптовалютных бирж. Общий ущерб – более $882 млн.

Криптоджекинг (скрытый майнинг), как направление мошенничества, получило наибольшее развитие в 2017-2018 гг. После выхода ПО для скрытого майнинга Coinhive, появилось еще 7 программ подобного типа. Эксперты Group-IB прогнозируют, что крупнейшие майнеры в мире могут стать целью не только киберпреступников, но и прогосударственных атакующих. При определенной подготовке это может позволить им взять под контроль 51% мощностей для майнинга и захватить управление криптовалютой. Сразу 5 успешных «атак 51%» было зафиксировано в первой половине 2018: сумма прямого финансового ущерба составила от 0,55 млн до 18 млн долларов.

Технологии взлома

Если в 2017 году основное внимание специалистов по безопасности было связано с эпидемиями WannaCry, NotPetya, BadRabbit, то начало 2018 года показало, что очередной источник глобальной угрозы информационной безопасности – это side-channel атаки и уязвимости микропроцессоров разных вендоров. В отчете Group-IB анализируется множество примеров, показывающих реальную опасность «брешей» аппаратного обеспечения и их ключевую проблему: все эти уязвимости невозможно быстро и эффективно закрыть при помощи программных обновлений. Именно поэтому исследовательская активность, посвященная поиску уязвимостей в BIOS/UEFI усиливается с каждым годом пропорционально возросшему количеству угроз, которые используются в реальных целенаправленных атаках. При этом о них становится известно благодаря утечкам, а не исследованию атак: на рынке нет решений, которые могли бы эффективно выявить такие угрозы.

В Group-IB констатируют, что исследования, посвященные поиску уязвимостей в BIOS/UEFI, а также разработка реальных эксплойтов – достаточно трудоемкие и дорогие процессы: не так много хакеров способны выполнять такие атаки, но эта ситуация может измениться, что в корне изменит подход к кибербезопасности в ближайшие годы.

Снижение доли Рунета в общем числе сайтов с фишингом или вредоносным ПО

5 июля 2019 года компания Group-IB сообщила о том, что российская доменная зона, по итогам 2018 года достигла рекордных показателей по снижению объема токсичных сайтов. Об этом сообщил Центр реагирования на инциденты кибербезопасности CERT-GIB. При росте на 30% в 2018 году числа потенциально опасных ресурсов, содержащих фишинг или вредоносное программное обеспечение (ВПО), на долю Рунета пришлось менее 20% таких сайтов, тогда как в 2017 доля токсичных ресурсов в зоне РУ составляла почти 50% среди всех заблокированных специалистами CERT-GIB. Кроме того, специалисты отмечают, что фишинг становится более дешевым и изощренным, но злоумышленники постепенно уходят из РУ. Пользователи по-прежнему открывают вредоносные exe-файлы, а HTTPS больше не синоним безопасности.

В Group-IB отметили, что несмотря на 30-процентное увеличение количества опасных веб-сайтов, содержащих фишинг или вредоносное ПО, обнаруженных и заблокированных CERT-GIB (c 4264 веб-сайтов в 2017 до 6217 в 2018 году), использование доменов в зоне РУ стало менее привлекательным для злоумышленников: количество опасных доменов, заблокированных CERT-GIB в Рунете, уменьшилось на 40% по сравнению с 2017 годом. Злоумышленники все чаще отдают предпочтение зоне .com: количество токсичных ресурсов там увеличилось почти в 3 раза в 2018 году. Также злоумышленники стали чаще выбирать домены верхнего уровня «New gTLD» (.online; .website; .space и т.д.).

Group-IB сообщила, что российская доменная зона достигла рекордных показателей по снижению объема токсичных сайтов

Такой тренд объясняется в том числе активной работой команд по мониторингу и реагированию на компьютерные инциденты и усилиями Координационного центра доменов .RU/.РФ по созданию благоприятных условий для работы компетентных организаций. Благодаря расширению международной партнерской сети и автоматизации процессов обнаружения вредоносного контента, среднее время от момента реагирования CERT-GIB до нейтрализации вредоносного контента сократилось на 20% в 2018 году по сравнению с прошлым годом.

Общее количество фишинговых ресурсов, располагающихся в различных доменных зонах, включая РУ, выявленных и заблокированных CERT-GIB в 2018 году, увеличилось на 44% по сравнению с 2017 годом. Каждый квартал, в среднем, рост составлял 15%. Так, 2018 году в рамках работы CERT-GIB была приостановлена деятельность 4494 сайтов, использующихся в целях фишинга.

Group-IB сообщила, что российская доменная зона достигла рекордных показателей по снижению объема токсичных сайтов

Однако, только 10% из этого количества пришлось на домены в российской зоне – 458, в то время как в 2017 году на их долю приходилось 27%. Количество ресурсов, распространяющих или управляющих вредоносным ПО в российской зоне в 2018 году также сократилось на 44% по сравнению с 2017 годом. Общее же количество таких ресурсов, выявленных и заблокированных CERT-GIB, осталось на уровне 2017 года – 1736 веб-ресурсов в 2017 и 1723 сайта в 2018 году соответственно.

2017

По инициативе Сбербанка за год в России выявлено свыше 600 фишинговых доменов и 1300 сайтов с вирусами

По инициативе Службы кибербезопасности Сбербанка с начала года в российском интернет-пространстве было выявлено и закрыто свыше 600 доменных имён, использовавшихся для фишинговых атак, около 200 мошеннических площадок и более 1300 сайтов, распространявших вредоносное программное обеспечение. Об этом 15 сентября 2017 года заявили в Сбербанке.

«
Мы уделяем самое пристальное внимание вопросам борьбы с фишингом, — заявил заместитель председателя Правления Станислав Кузнецов. — Однако выявить и провести необходимые действия по сайтам преступников — полдела. На «удочку» мошенников попадаются люди доверчивые, не обладающие должными навыками защиты от киберфрода. Именно поэтому приоритеты Сбербанка сдвигаются в сторону профилактических мер по повышению финансовой грамотности населения.
»

По информации Сбербанка, одна из самых распространённых схем фишеров следующая: жертве приходит сообщение заманчивого или, наоборот, пугающего содержания с предложением либо направить персональные данные (логины, пароли банковских карт), либо перейти по ссылке на некий сайт, на котором опять же нужно ввести свои данные. Более 48% интернет-пользователей, получающих фишинговые письма, откликаются на них и становятся жертвами преступников.

Поскольку целью номер один для фишеров являются финансовые сервисы, большинство из которых составили онлайн-банки, Сбербанк разработал для представителей сферы специальную программу повышения уровня киберграмотности, включающую интерактивные курсы и последующее определение признаков фишинговых атак на практике.

Центробанк за 8 месяцев выявил 481 мошеннический сайт

В отчете Центра мониторинга и реагирования на компьютерные атаки в финансовой сфере (ФинЦЕРТ) отмечается, что «с 1 января по 1 сентября 2017 года Центр отправил информацию о 481 домене различной мошеннической тематики, подлежащем разделегированию».

По итогам рассмотрения 367 доменов были заблокированы регистраторами. Среди них такие ресурсы, как 84 сайта с Р2Р переводами, собирающие данные платежных карт пользователей (имя владельца, номер, срок действия, код подлинности карты) в противоправных целях, 44 ресурса лжебанков, 45 «страховых компаний» и 39 финансовых пирамид.

Также блокируется от 20 до 30 сайтов «авиакомпаний», интернет-магазинов, «микрофинансовых организаций», ресурсы с вредоносным ПО и площадки, посвященные мошенничеству в финансовой сфере и продажам дампов (копий) банковских карт.

КЦ: Среди типов вредоносной активности лидирует фишинг

В мае 2017 года компетентными организациями, сотрудничающими с Координационным центром доменов .RU/.РФ, в адрес регистраторов было направлено 329 обращений о снятии с делегирования доменных имен.

Анализ доменов-нарушителей по типу выявленной вредоносной активности в отчетном периоде показал, что лидирующее место по-прежнему принадлежит доменным именам, связанным с фишингом (257 обращений). Далее следует распространение вредоносного ПО (65 обращений) и контроллеры бот-сетей (7). Стоит отметить, что фишинг остается лидером по количеству обращений уже на протяжении 10 месяцев – за исключением марта, когда на долю фишинга пришлось «лишь» 49% всех обращений.

За отчетный период по обращениям компетентных организаций с делегирования были сняты 313 доменных имен. Для 15 доменных имен снятия делегирования не потребовалось, так как причины блокировки были оперативно устранены (или ресурс был заблокирован хостинг-провайдером).

«АльфаСтрахование» предотвратила работу двух поддельных сайтов по продаже Е-ОСАГО

В 2016-2017 гг. «АльфаСтрахование» дважды сталкивалась с попытками создать фишинговые сайты, которые выдавали свой калькулятор по ОСАГО за калькулятор компании с целью сбора информации о платежных картах клиентов и дальнейшего мошенничества с ними. Компания полностью поддерживает решение ФинЦЕРТ Центрального Банка России и Российского союза автостраховщиков (РСА) отслеживать сайты, предлагающие фальшивые полисы Е-ОСАГО. Подробнее здесь.

2016

ЦБ получил право блокировки сайтов с вредоносным контентом

Интернет-сайты с вредоносным контентом, относящимся к сфере финансовых рынков и национальной платежной системе, будут блокироваться на основе данных, полученных от Центробанка. Об этом сообщило ТАСС[2].

Такие действия предусмотрены в соглашении между Банком России и Координационным центром национального домена интернета – администратором национальных доменов верхнего уровня «.рф» и «.ru».

ЦБ получил статус компетентной организации, наделенной правом выявлять сайты-нарушители, которые распространяют вредоносные программы, ресурсы с противоправным содержанием, фишинговые сайты, и предоставлять эти сведения координационному центру и аккредитованным регистраторам доменных имен для блокировки таких ресурсов.

Кроме того, Банк России призвал граждан информировать регулятора о недобросовестных сайтах, находящихся в отечественном доменном пространстве.

Российские киберпреступники отказываются от фишинга в пользу скимминга

В связи с принимаемыми мерами по усилению безопасности мобильных и online-сервисов растет популярность кардинга. Как сообщает издание «Известия» со ссылкой на экспертов компании Zecurion, злоумышленники все чаще похищают данные банковских карт с помощью не фишинга, а установленных в банкоматах скиммеров.

За период с января по июнь 2016 года на долю кардинга пришлось 87% от всех похищенных средств россиян. Остальные 13% киберпреступники «заработали» с помощью фишинга. Как сообщают эксперты, количество преступлений, осуществляемых в интернете, по сравнению с прошлым годом сократилось на 3%. Ровно на столько же возросла доля offline-преступлений.

В январе–июне 2016 года скимминг принес злоумышленникам доход в размере 900 млн руб., в то время как фишинг — 140 млн руб.

Банк России хочет получить право отключать домены фишинговых сайтов

Центробанк РФ и Координационный центр национального домена сети интернет (КЦ) ведут переговоры о предоставлении организации FinCert право отключать в национальных зонах .ru и .рф домены, через сайты которых осуществляется хищение средств. Соответствующий договор стороны планируют подписать до конца нынешнего лета, сообщают СМИ.

Речь идет об отключении фишинговых сайтов, позволяющих злоумышленникам получить доступ к номерам кредитных карт клиентов банков и другой конфиденциальной информации. После подписания соглашения FinCert получит полномочия разделигировать домены, используемые для фишинга, хищения данных кредитных карт или подделки страниц финансово-кредитных организаций. По информации издания, в настоящее время Центробанк проводит работы по снятию с делегирования доменов, через сайты которых осуществляются фишинговые атаки.

По мнению интернет-омбудсмена Дмитрия Мариничева, предоставление ЦБ права отключать фишинговые сайты является правильной инициативой, поскольку регулятор владеет актуальной информацией о хищении средств через интернет. Назначение Центробанка компетентной организацией снизит риск, что кто-то «попадет на деньги», считает Мариничев.

2014: APWG: Количество фишинг-инцидентов в РФ снижается

По данным отчета Anti-Phishing Working Group за 1й квартал 2014 года, на территории РФ отмечается снижение инцидентов, связанных с фишингом. Доля ip адресов, располагающихся на территории РФ, с которых осуществлялись мошеннические действия, существенно снизилась и составила в среднем 1,6 % в первом квартале 2014 против 15,3% в аналогичном квартале 2013.

Очевидно, что киберпреступления, связанные с фишингом, поменяли свою географическую принадлежность, встретив на территории РФ сильный отпор. В настоящий момент всплеск инцидентов по географической принадлежности приходится на США, Турцию и КНР. Однако, в компании Group-IB считают, что это временное явление и киберпреступники готовятся вскоре нанести новый удар.

О том, что компания Group-IB отправила киберпреступников в нокдаун, напрямую говорит аналитика работы CERT-GIB за первое полугодие 2013 и 2014 годов. Так, в первом полугодии 2014 специалистами CERT-GIB было обработано на 52% меньше заявок: 1537 в 2013 году против 800 заявок за аналогичный период 2014 года. Фишинг удалось снизить на 70%. 762 инцидента за первое полугодие 2013 года к 235 инцидентам за тот же период 2014 года. Таким образом, связь с количества входящих заявок с долей инцидентов фишинга более чем очевидна. В Group-IB подчеркивают, что это временное явление. Финансовый сектор в России по прежнему является объектом повышенного интереса со стороны киберпреступников.

Объем финансовых средств в платежных системах стабильно растет. Банки, в свою очередь, постоянно совершенствуют онлайн-сервисы, тем самым привлекая все большее число пользователей, а это все новые и новые персональные данные, которые нужны злоумышленникам как воздух. В компании предостерегают не снижать бдительности в вопросах информационной безопасности. То, что киберпреступники готовят нанести новый удар очевидно и вполне предсказуемо. Стоит отметить, что победа в выигранном раунде в борьбе с киберпреступностью многим обязана компетенциям Group-IB, наделенным Координационным центром национального домена сети Интернет, в которые входят противодействие фишингу, вредоносному ПО и ботнет-контроллерам.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность




Примечания