2020/07/09 11:38:43

Фишинг
Phishing

Вид интернет-мошенничества, цель которого получение доступа к конфиденциальным данным пользователя (логинам и паролям). Пользователь думает, что переходит на заявленный сайт, однако фактически его перенаправляют на подставной сайт. Как правило, жертвами фишеров становятся клиенты банков и платежных систем.

Содержание

Хакеры использовали электронные письма для осуществления подобного рода атак, но благодаря широкому распространению социальных сетей и смартфонов с доступом в Интернет стали множится и типы фишинговых атак.

Данные электронные письма содержат ссылку, которая якобы ведет пользователя на сайт какой-то компании с высоким уровнем конфиденциальности, хотя, на самом деле, такой сайт - это всего лишь имитация оригинального сайта без какой-либо конфиденциальности.

Таким образом, самоуверенный пользователь, у которого нет надежной антивирусной защиты, может стать жертвой атаки, предназначенной для кражи персональных данных.

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

Схемы фишинга

На каких чувствах играют фишеры

Большинство киберпреступников полагается не только на технологию, но и на человеческую беспечность и доверчивость. Еще в 2011 году в отчете компании Cisco были перечислены семь человеческих слабостей, эксплуатируемых преступниками, которые используют психологические методы воздействия на людей через электронную почту, социальные сети и телефонную связь. Речь идет о:

  • сексуальности,
  • алчности,
  • тщеславии,
  • чрезмерной доверчивости,
  • лени,
  • сострадании и
  • поспешности в принимаемых решениях.

Как выглядит фишинговое письмо:

Отправители

  • Органы исполнительной власти;
  • Крупные телекоммуникационные операторы;
  • Профильные интернет-форумы;
  • Кредитно-финансовые организации;
  • Организации-партнеры;
  • Организации-клиенты.

Содержание

  • Требование, поступившее от органов исполнительной власти;
  • Рассылка изменений в нормативных актах;
  • Взыскание/погашение задолженности/штрафа, оплата услуг;
  • Поиск документов для проверки.

В начале 2017 года эксперты обратили внимание на новую фишинговую кампанию, направленную против пользователей Gmail. Письма содержат настолько хорошо завуалированные вредоносные ссылки, что даже продвинутые пользователи часто не замечают подвоха и вводят свои учетные данные на фишинговом аналоге Gmail. Как только жертва скомпрометирована, злоумышленники немедленно перехватывают доступ над ее аккаунтом и атакуют все контакты пострадавшего.

Вредоносные письма, идущие от скомпрометированных пользователей, якобы содержат PDF-документ, который можно предварительно просмотреть прямо в веб-интерфейсе почты. Однако кликнув на такое «вложение», которое на самом деле является простым встроенным в письмо изображением, пользователь инициирует переадресацию на фишинговую страницу[1].

Фишинговый URL начинается с «data:text/html,https://accounts/google.com», что может ввести пользователя в заблуждение, заставив поверить, что он все еще находится на настоящем сайте Google. На самом деле, для открытия фишинговой страницы в новой вкладке используется специальный скрипт, а страница не имеет никакого отношения к Google.

Компрометация электронной почты

Основная статья: Мошенничество с электронной почтой (business email compromise, BEC, invoice fraud)

Компрометация корпоративного e-mail (англ. business email compromise или invoice fraud) — это мошенничество, при котором преступник изображает из себя продавца или делового партнера и убеждает представителя компании перевести крупную сумму на оффшорный счет в качестве «оплаты» за услуги, которые никогда не оказывал.

Календарный фишинг

В начале 2019 года эксперты «Лаборатории Касперского» зафиксировали волну фишинговых атак на пользователей сервиса Google Календарь. На протяжении мая киберпреступники многократно рассылали жертвам мошеннические сообщения, подделывая их под автоматические уведомления в календаре на смартфоне. Этот новый способ проведения фишинговых атак потенциально предоставляет злоумышленникам больше возможностей, поскольку теоретически может ввести в заблуждение даже опытных пользователей, которые хорошо осведомлены об угрозе спама и фишинга в электронной почте или мессенджерах.

Сообщения, рассылаемые злоумышленниками, эксплуатируют функцию автоматического добавления приглашения в календарь и уведомления об этом событии. У многих пользователей эта функция включена по умолчанию. Если жертва откроет всплывающее окно на смартфоне, которое внешне очень похоже на уведомление приложения от Google, то, скорее всего, увидит ссылку на фишинговый сайт, на котором якобы проводится простой опрос за вознаграждение. Для получения денежного приза, как выяснится позднее, пользователю нужно оплатить небольшую комиссию — а для этого указать данные банковской карты и некоторую личную информацию, в частности имя, номер телефона и адрес. Разумеется, всё это отправляется напрямую к злоумышленникам.

«
«Этот „календарный фишинг` — очень эффективная схема. Многие пользователи уже привыкли к спам-сообщениям в почте и мессенджерах и зачастую просто игнорируют и удаляют их. В календаре же всё не так очевидно — ведь это приложение создано для упорядочивания информации, а не для её передачи. Так вероятность, что мошенническое сообщение в календаре будет открыто, может быть немного выше, — рассказала Мария Вергелис, старший спам-аналитик „Лаборатории Касперского`. — Пока все образцы таких фишинговых уведомлений, обнаруженные нами, содержат крайне странные предложения, и это сразу видно любому пользователю. Но каждая простая схема со временем становится сложнее и продуманнее. Есть однако во всей этой истории и хорошая новость: для того чтобы не стать жертвой такого мошенничества, не нужно никаких особенных предосторожностей и ухищрений — функцию автоматического уведомления можно легко отключить в настройках календаря».
»

«
«Условия предоставления услуг Google и политика в отношении продуктов запрещают распространение вредоносного контента, и мы усердно работаем над тем, чтобы предотвратить злоупотребления и предупредить их. Борьба со спамом — это бесконечная битва, и, хотя мы добились большого прогресса, иногда спам проходит. Мы по-прежнему глубоко привержены защите всех наших пользователей от спама: мы сканируем контент на фотографиях на предмет спама и предоставляем пользователям возможность сообщать о спаме в календаре, Google Формах, на Google Диске, в Google Фото и в Hangouts. Кроме того, мы предлагаем пользователям средства защиты, предупреждая их об известных вредоносных URL-адресах с помощью фильтров безопасного просмотра Google Chrome», — заявили в пресс-службе Google.
»

Cмишинг (SMiShing)

В течение нескольких лет хакеры использовали технику, известную как фишинг. С ее помощью они рассылали жертвам электронные письма якобы из банка, в результате чего обманным путем пытались получить регистрационные данные для доступа к банковскому счету. Т.к. люди стали более осведомленными и лучше стали распознавать фишинговые письма, в результате чего жертв фишинга стало меньше, то хакеры изменили свою тактику и сфокусировали свое внимание на наших телефонах.

Смишинг концептуально очень схож: вместо отправки электронных писем хакеры стали отправлять своим жертвам текстовые SMS-сообщения. Каждое из таких сообщений разработано для того, чтобы обманывать людей с целью получения от них крайне важной персональной информации, например, PIN-код для доступа к их онлайн-банку. Какие-то смишинговые сообщения будут направлять свои жертвы на ложный веб-сайт или попросят скачать необходимое приложение, которое на самом деле заражено вредоносной программой.

Как распознать смишинговое сообщение

Почти каждое смишинговое сообщение имеет одну общую черту: чувство срочности. Вам скажут, что Ваш банковский счет взломан и Вы должны срочно подключиться к нему с помощью прилагаемой ссылки. Или в рамках обычной проверки систем безопасности доступ к Вашему банковскому счету был заблокирован, а потому для восстановления доступа необходимо подтвердить свой пароль. Вас даже могут попросить скачать специальное приложение, чтобы повысить уровень безопасности Вашего счета, и чем раньше, тем лучше.

На самом деле, никакой банк не отправляет срочные SMS-сообщения: большинство из них для передачи важной информации используют электронную почту и обычные письма. Если Вы получили текстовое сообщение от Вашего банка, то оно не будет содержать ссылку: при первой же возможности вы просто будете перенаправлены на страницу сайта банка с формой для авторизации или с контактными данными службы обслуживания клиентов банка.

Аналогичным образом, ваш банк никогда не отправит вам ссылку на сайт для скачивания нового приложения. Они могут направить вас в официальные магазины App Store или Google Play, но большинство из них направит всплывающее уведомление через свое официальное приложение, а не через текстовое SMS-сообщение.

Если у вас есть какие-либо (пуская даже самые малейшие) сомнения относительно текстового сообщения, которое вы получили, то лучше удалите его. Если вопрос действительно является очень срочным, то ваш банк свяжется с вами повторно. Вы также можете позвонить им и получить подтверждение, существует ли проблема на самом деле[2].

Меры защиты от фишинга

Советы для частных пользователей

Проверка источника каждого получаемого вами электронного письма и переход на сайт Вашего банка не по ссылке из письма, а путем набора адреса в адресной строке браузера – вот две основные меры предосторожности, которые Вы можете предпринимать для того, чтобы не попасться «на удочку» кибер-преступников.

1. Научитесь выявлять подозрительные фишинговые письма

Есть несколько признаков, которые идентифицируют атаку по электронной почте[3]:

  • Они дублируют образ известной компании.
  • Они копируют название компании или ФИО реального сотрудника компании.
  • Они содержат сайты, которые визуально похожи на сайты реальных компаний.
  • Они предлагают подарки или пугают потерей существующего аккаунта.

2. Проверьте источник информации

Ваш банк никогда не будет просить Вас отправить Ваши пароли или персональную информацию по электронной почте. Никогда не отвечайте на подобные вопросы, а если у Вас есть хоть чуточку сомнений, то лучше позвоните в Ваш банк для получения разъяснений.

3. Никогда не переходите на веб-сайт Вашего банка, нажимая на ссылки в письмах

Не нажимайте на ссылки в письме, т.к. в результате этого Вы можете оказаться на подставном веб-сайте.

Лучше вручную наберите адрес сайта в адресной строке Вашего браузера или используйте ранее настроенную закладку в Избранном, если хотите перейти быстрее.

4. Повысьте уровень безопасности Вашего компьютера

Не терять чувство здравого смысла и обладать рассудительностью также важно, как и защищать свой компьютер с помощью антивируса, способного блокировать данный тип атак.

Кроме этого, Вам следует всегда устанавливать самые последние обновления Вашей операционной системы и веб-браузеров.

5. Вводите Ваши критические данные только на безопасных веб-сайтах

Чтобы узнать, является ли данный веб-сайт «безопасным», проверьте адресную строку в Вашем браузере: адрес сайта должен начинаться с «https://», а рядом с ним должна показываться иконка закрытого замочка.

6. Периодически проверяйте Ваши аккаунты

Никогда не помешает периодически проверять Ваши банковские счета, чтобы не пропустить какие-либо подозрительные действия в Ваших онлайн-транзакциях.

7. Фишинг относится не только к онлайн-банкам

Большинство фишинговых атак направлены против банков, однако для кражи персональных данных они могут использовать и другие популярные веб-сайты: eBay, Facebook, PayPal и другие.

8. Фишинг знает все языки

Фишинг не знает границ, и может настичь Вас на любом языке. В целом, они плохо написаны или переведены, а потому это может служить еще одним индикатором того, что что-то не так.

Например, если Вы никогда не были на испанском веб-сайте Вашего банка, то почему теперь информация для Вас должна быть на этом языке?

9. Если есть хоть малейшие сомнения, не стоит рисковать

Лучший способ предотвращения фишинга – это не реагировать на любые письма или новости, которые просят Вас предоставить конфиденциальные данные.

Удалите эти сообщения и позвоните в ваш банк для прояснения Ваших сомнений.

10. Периодически читайте информацию о развитии вредоносных программ

Если Вы хотите быть в курсе последних вредоносных атак, рекомендаций или советов, чтобы избежать любых опасностей в Интернете, Вы можете читать специализированные блоги о кибер-безопасности в Facebook, ВК, Twitter и др.

Рекомендации для организаций

Чтобы не стать жертвой фишинга рекомендуется пользователям всегда поверять подлинность веб-сайта, на котором они собираются вводить финансовую информацию, и проверять, защищено ли соединение безопасным протоколом https. Кроме того, не стоит переходить по подозрительным ссылкам и выполнять все требования, изложенные в электронных письмах от имени банка, если они вызывают даже самую малую долю сомнения — лучше в этом случае связаться с финансовой организацией напрямую. И, конечно же, необходимо использовать защитное решение, включающее в себя проактивные функции распознавания и блокирования фишинга.


Что необходимо делать, чтобы избежать опасности:

  • Регулярно обновляйте антивирус и браузер.
  • Наведите курсор на ссылку, чтобы посмотреть, куда она ведет.
  • Проверьте письмо на предмет наличия следующих признаков: неправильно написанные слова, неправильные URL-домены, низкое качество графики и неизвестные отправители.
  • Вместо перехода по ссылке в письме необходимо посетить сайт компании, отправившей письмо, чтобы убедиться в достоверности информации.

Что нельзя делать:

  • Не нажимайте на ссылки в письмах, полученных из неизвестных или подозрительных источников.
  • Не отправляйте подозрительно выглядящее письмо друзьям или членам семьи.
  • Не загружайте контент, который ваш браузер или антивирус считает подозрительным.
  • Не оставляйте на сайте личную информацию.

Обучение персонала компании

Проект по выстраиванию процесса повышения осведомленности[4]

  • Ответственные, сроки, бюджет проекта
  • Программа обучения
  • Разработка материалов / выбор готовой системы

Проводим обучение:

  • Базовая программа для новых сотрудников
  • Периодические рассылки по отдельным темам
  • Разовые рассылки с важной информацией об актуальных угрозах

Проверяем :

  • Оценка знаний
  • Тестирование в «боевых» условиях»

Рынок систем повышения осведомленности

Имитация действия злоумышленника: фишинговые рассылки в учебных целях

Фишинговые рассылк: варианты реализации

Угрозы, связанные с использованием социальной инженерии, в ближайшем будущем никуда не денутся (а скорее всего, будут только расти)

  • Такие атаки универсальны для проникновения в любые системы, легко тиражируются
  • Достаточно одного «попавшегося» для компрометации всей сети
  • Не стоит полагаться исключительно на технические средства

Можно снизить риски, обучая сотрудников и эффективно проверяя их знания

  • Дополняем организационные меры «боевыми учениями»
  • Тестирование путем проведения фишинговых рассылок можно дополнять имитацией других действий злоумышленников: телефонное мошенничество, тесты на проникновение

Важно не то, какими именно инструментами мы пользуемся, а качественно организованный процесс обучения и тестирования

  • Все приведенные решения – всего лишь частные примеры реализации
  • Если процессов нет, то и нечего будет автоматизировать.

Фишинг в России

Основная статья: Фишинг в России

2020

Суд разрешил Microsoft захватить контроль над 6 фишинговыми доменами

В июле 2020 года компания [Microsoft] получила судебный ордер на получение контроля над шестью доменами, использовавшимися в фишинговых атаках на пользователей Office 365, в том числе с эксплуатацией темы COVID-19.

Согласно судебным документам, Microsoft нацелилась на киберпреступную группировку, «промышлявшую» фишингом и атакующую клиентов компании с декабря 2019 года. Злоумышленники рассылали электронные письма компаниям, использующим почтовые серверы и корпоративную инфраструктуру в облачном сервисе Office 365[5].

Фишинговые письма отправлялись от имени коллег по работе и доверенных партнеров по бизнесу. Вредоносная операция, о которой идет речь, отличалась от других тем, что злоумышленники не переадресовывали жертв на поддельные страницы авторизации Office 365, а использовали документы Office. При попытке открыть файл пользователи переадресовывались на страницу, требующую загрузить вредоносное поддельное приложение Office 365.

После того, как жертва установила приложение, злоумышленники получали полный доступ к ее учетной записи Office 365 (настройкам, файлам, содержимому электронной почты, спискам контактов, запискам и пр.). Другими словами, приложение позволяет киберпреступникам получать полный доступ к учетной записи без необходимости похищать пароль, лишь с помощью токенов OAuth2.

Microsoft подала гражданский иск 30 июня нынешнего года и указала в исковом заявлении шесть доменов, использовавшихся киберпреступниками для хостинга вредоносного приложения Office 365. Как считают в компании, за фишинговой операцией стоят два человека. Изначально они указывали в теме писем вопросы, касающиеся бизнеса, но быстро перешли на тему коронавируса.

Злоумышленники используют фейковые CV, чтобы распространять вредоносные программы

5 июня 2020 года компания Check Point сообщила, что по мере роста безработицы исследователи обнаруживают вредоносные файлы, маскирующиеся под CV –– особую форму резюме. Прикрепленные к электронному письму файлы в формате Microsoft Excel были с такими темами: «заявка на работу» или «по поводу работы». Когда жертвы открывали прикрепленные файлы, их просили «включить содержимое». На самом деле, после этого жертвы загружали вредоносную программу ZLoader. Это банковская вредоносная программа, предназначенную для кражи учетных данных и другой частной информации от пользователей целевых финансовых учреждений. Вредоносная программа также может похищать пароли и файлы cookie, хранящиеся в веб-браузерах жертвы. Используя украденную информацию, вредоносное ПО может позволить злоумышленникам подключиться к системе жертвы и совершать нелегальные финансовые операции с устройства банковского пользователя.

Исследователи Check Point отмечают рост числа мошеннических тем в Соединенных Штатах. За апрель-май 2020 года число вредоносных файлов, имитирующих CV, удвоилось. В целом, 1 из 450 идентифицированных вредоносных файлов был связан с CV.

Кроме того, исследователи Check Point обнаружили вредоносные медицинские формы отпусков. Документы, которые используют такие названия, как «COVID-19 FLMA CENTER.doc», заражают жертв вредоносным ПО IcedID, банковским вредоносным ПО, предназначенным для банков, поставщиков платежных карт, поставщиков мобильных услуг, а также интернет-магазинов. Вредоносное ПО направлено на то, чтобы заставить пользователей оставлять свои учетные данные на поддельной странице. Затем эти сведения отправляются на сервер злоумышленника в дополнение к сведениям об авторизации, которые можно использовать для взлома учетных записей пользователей. Документы отправлялись по электронной почте с темами: «Ниже прикреплена новая форма для запросов сотрудника об отпуске в соответствии с Законом о семейном и медицинском отпуске (FMLA)». Электронные письма были отправлены из разных доменов отправителей, таких как «medical-center.space», чтобы побудить жертв к открытию вредоносных вложений.

«
«Безработица растет, и киберпреступники не могут бездействовать в это время. Они имитируют резюме для получения ценной информации, особенно такой, которая касается денег и банковской деятельности. Я настоятельно призываю всех, кто открывает электронное письмо с резюме, подумать дважды. Вы можете сильно пожалеть об этом»,

отметил Омер Дембински, менеджер Check Point по киберисследованиям
»

Статистика Check Point на июнь 2020 года:

  • В мае 2020 года было зарегистрировано 250 доменов, содержащих слово «employment» –– занятость. 7% этих доменов были вредоносными и еще 9% подозрительными
  • 1 из каждых 450 обнаруженных вредоносных файлов –– мошенничество с использованием CV: это вдвое больше, чем за последние два месяца
  • Общее количество вредоносных атак увеличилось на 16% по сравнению с периодом с марта по апрель, когда был разгар пандемии.
  • В мае 2020 года эксперты Check Point еженедельно отмечали в среднем более 158 000 атак, связанных с коронавирусом. По сравнению с апрелем это снижение на 7%.
  • За последние 4 недели было зарегистрировано 10 704 домена, связанных с коронавирусом. 2,5% из них были вредоносными (256 доменов) и еще 16% (1744 доменов) подозрительными

По мнению Check Point чтобы оставаться в безопасности, нужно:

  1. 1. Следить за похожими доменами. Следить за орфографическими ошибками в электронных письмах и на веб-сайтах.
  2. Быть аккуратнее с неизвестными отправителями. Быть осторожнее с файлами, полученными по электронной почте от неизвестных отправителей, особенно если они запрашивают определенное действие, которое обычно не делается.
  3. Использовать достоверные источники. Убедится, что товары заказываются из подлинного источника: лучше всего не нажимать на рекламные ссылки в электронных письмах, а самим найти нужного продавца в Google, и кликнуть по ссылке на странице результатов Google.
  4. Остерегаться «специальных» предложений. «Лекарство от коронавируса за 150 долларов» –– если предлагают подобное, вряд ли это заслуживает доверия.
  5. Не использовать один и тот же пароль несколько раз. Убедиться, что используется индивидуальный пароль для каждого приложения и для каждой учетной записи.

Пользователей GitHub атакуют фишеры

18 апреля 2020 года стало известно, что команда реагирования на инциденты (SIRT) платформы GitHub предупредила пользователей о фишинговой кампании, в ходе которой злоумышленники похищают учетные данные через лендинговые страницы, выдаваемые ими за страницы авторизации GitHub. Подробнее здесь.

2019

Количество фишинг-китов на рынке увеличилось более чем в два раза

15 апреля 2020 года компания Group-IB сообщила, что на рынке зафиксирован резкий подъем продаж фишинг-китов – «конструкторов» для массового создания фишинговых сайтов. За 2019-й год количество такого «товара» на андеграунд-форумах увеличилось более чем в два раза. Рост спроса на один из наиболее популярных инструментов мошенников во всем мире отразился и на средней цене: она выросла на 149%. Эксперты Group-IB объясняют рост популярности фишинг-китов низким порогом входа на этот рынок и простотой реализации схемы заработка.

Фишинговый набор (англ. Phishing Kit) — это архивный файл, содержащий скрипты, необходимые для создания и работы фишингового сайта. Такой инструмент позволяет злоумышленникам, не обладающим глубокими навыками программирования, быстро разворачивать сотни фишинговых страниц, часто используя их как «зеркала» друг друга. При блокировке одного такого сайта – мошенник активирует другой, при блокировке этого – следующий и так далее. Таким образом, фишинг-кит позволяет атакующим быстро возобновлять работу вредоносных ресурсов, обеспечивая собственную неуязвимость. Этим объясняется интерес к ним со стороны специалистов по кибербезопасности. Детектирование фишинговых наборов позволяет не только находить сотни и даже тысячи фишинговых страниц, но, что более важно, может служить отправной точкой расследований с целью идентификации их разработчиков и привлечения их к ответственности.

Количество фишинг-китов на рынке в 2019 году увеличилось более чем в два раза

По данным команды Group-IB Threat Hunting Intelligence, проанализировавшей сотни андеграунд-форумов, в 2019 году число активных продавцов фишинговых наборов увеличилось более чем на 120% по сравнению с предыдущим годом. Как и следовало ожидать, количество уникальных объявлений, размещенных на этих ресурсах также возросло более, чем в два раза.

Выросла и стоимость фишингового набора, увеличившись вдвое в 2019-м относительно прошлого года. Так, в среднем, разработчики просили $304 за фишинг-кит, а в целом цены варьировались в диапазоне от $20 до $880. Для сравнения, в 2018 году цены на фишинговые наборы находились в интервале от $10 до $824, а среднее значение составляло $122. Как правило, стоимость фишинговых наборов зависит от их сложности, а именно от качества и количества фишинговых страниц, а также наличия дополнительных сервисов, таких как, например, техническая поддержка со стороны разработчика.

Иногда фишинговые наборы предлагаются на форумах бесплатно. Это объясняется отнюдь не щедростью продавцов, а вероятным наличием в них бэкдоров, которые позволяют их авторам получать доступ к скомпрометированным данным.

В прошлом году системой Group-IB Threat Intelligence было обнаружено более 16 200 уникальных фишинговых наборов. Однако их детектирование постоянно усложняется: киберпреступники стараются скрывать использование фиш-кита, удаляют его из кода или прибегают к различным способам сокрытия. Так, лишь 113 460 из 2,7 миллионов, т.е. 4% обнаруженных фишинговых страниц позволили выявить «следы» используемых фишинговых наборов.

О росте спроса на фишинговые наборы свидетельствует и количество обнаруженных в них уникальных адресов электронной почты: согласно данным Центра реагирования на инциденты информационной безопасности (CERT-GIB Computer Emergency Response Team - Group-IB), в прошлом году этот показатель вырос на 8%. Это может свидетельствовать о росте числа их операторов.

Для привлечения покупателей разработчики фишинговых наборов используют в них известные бренды с большой аудиторией, что в теории должно облегчить реализацию мошеннических схем для будущих владельцев таких наборов. В 2019 году наиболее часто использующимися в фишинговых наборах брендами были Amazon, Google, Instagram, Office 365 и PayPal, а Топ-3 интернет-площадок для торговли фишинговыми наборами был представлен Exploit, OGUsers и Crimenetwork.

«
«Разработчики фишинговых наборов — это движущая сила фишинг-бизнеса во всем мире. Один человек может стоять за созданием сотен фишинговых страниц и зарабатывать на этом тысячи долларов, долгое время оставаясь незамеченным. Поэтому фокус специалистов по кибербезопасности должен смещаться с блокировки фишинговых страниц на поиск и идентификацию создателей фиш-китов. В практике Group-IB есть целый ряд расследований, благодаря которым удалось раскрыть личности разработчиков фишинговых наборов. Делясь подобной информацией с соответствующими правоохранительными органами и обеспечивая задержание киберпреступников, Group-IB преследует цель предотвратить дальнейшее распространение этого «заболевания» и бороться не с его проявлениями в виде фишинговых страниц, а с его возбудителями — создателями фишинговых наборов, делая их работу экономически невыгодной»,
»

За годы своей работы Group-IB аккумулировала обширную базу фишинговых наборов, что позволяет бороться с фишингом, нацеленным на конкретный бренд. Данная база регулярно обогащается: как только система Group-IB Threat Intelligence обнаруживает фишинговую страницу, соответствующий сервер сканируется на наличие фишинговых наборов.

Подложное использование названий технологических компаний и социальных сетей в фишинговых схемах

11 февраля 2020 года компания IBM опубликовала ежегодный индекс угроз IBM X-Force Threat Intelligence Index 2020, который показал, как изменились методы киберпреступников за несколько десятилетий незаконного доступа к миллиардам корпоративных и персональных записей и использования сотен тысяч уязвимостей в программном обеспечении. Согласно исследованию, 60% первичных проникновений в инфраструктуру жертвы были осуществлены при помощи ранее украденных учетных данных и известных уязвимостей ПО, что позволяло злоумышленникам меньше полагаться на обман пользователей, чтобы получить доступ к данным.

Чем больше пользователи узнают о фишинговых письмах, тем более таргетированными становятся атаки. Вместе с некоммерческой организацией Quad9 специалисты IBM выявили усиливающуюся тенденцию в сфере фишинга: преступники выдают себя за крупные потребительские технологические бренды (технологические компании, социальные сети, стриминговые сервисы) и подделывают ссылки на их сайты с целью фишинга. Подробнее здесь.

27% попыток всех фишинговых атак происходит через электронную почту

7 февраля 2020 года стало известно, что команда исследователей Check Point Research, подразделение Check Point Software Technologies, поставщика решений в области кибербезопасности по всему миру, опубликовала свой отчет о брендах, которые наиболее часто используются в попытках фишинга за 4 квартал 2019. Злоумышленники чаще всего имитировали бренды, чтобы украсть личную информацию или учетные данные пользователей в течение последнего квартала — именно он содержит самое большое количество распродаж в течение года.

При фишинговых атаках злоумышленники пытаются создать сайт-копию официального сайта известного бренда, используя доменное имя или URL-адрес, дизайн веб-страницы, аналогичные подлинному сайту. Ссылка на фальшивый веб-сайт может быть отправлена жертвам по электронной почте или в сообщениях, перенаправлена во время просмотра веб-страниц или запущена из фальшивого мобильного приложения. Поддельный веб-сайт часто содержит форму, предназначенную для кражи учетных данных пользователей, платежных реквизитов или другой личной информации.

Топ брендов, которые злоумышленники пытались использовать в попытках фишинга в 4 квартале 2019 года:

Ранжируются по количеству их общих появлений в попытках фишинга:

  1. Facebook (18% фишинговых атак в мире)
  2. Yahoo (10%)
  3. Netflix (5%)
  4. PayPal (5%)
  5. Microsoft (3%)
  6. Spotify (3%)
  7. Apple (2%)
  8. Google (2%)
  9. Chase (2%)
  10. Ray-Ban (2%)


Топ способов распространения фишинговых сообщений:

В течение четвертого квартала исследователи наблюдали различия в распространении фишинговых страниц: каждая категория брендов распространялась по-своему. Например, через мобильные устройства в основном распространялись фишинговые страницы социальных сетей и банков. Через электронную почту, как правило, распространялись фишинговые письма, приуроченные к периоду распродаж, например таких, как черная пятница в ноябре 2019 года.

Электронная почта (27% всех фишинговых атак в 4 квартале):

  1. Yahoo!
  2. Rbs (Ray-Ban Sunglasses)
  3. Microsoft
  4. DropBox


Веб-сайты (48% всех фишинговых атак в 4 квартале):

  1. Spotify
  2. Microsoft
  3. PayPal
  4. Facebook


Через мобильные устройства (25% всех фишинговых атак в 4 квартале):

  1. Chase Mobile Banking
  2. Facebook
  3. Apple
  4. PayPal
«
Киберпреступники используют разные способы атак, чтобы обманом заставить своих жертв ввести личную информацию, учетные данные или перевести деньги. Часто ссылки на фишинговые сайты приходят через спам, но иногда злоумышленники, получив учетные данные пользователя, тщательно изучают жертву в течение нескольких недель и работают над целенаправленной атакой на партнеров, клиентов компании от лица своей жертвы для кражи денег. Такой способ позволяет хакерам замаскироваться под доверенное лицо. За последние два года количество атак такого типа возросло, и в 2020 году фишинг по-прежнему будет представлять серьезную угрозу,
рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ
»

Отчет Check Point Phishing Report основан на данных ThreatCloud intelligence, совместной сети по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, проанализированных на предмет обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных веб-сайтов, а также ежедневно идентифицирует миллионы типов вредоносных программ.

Решения «Лаборатории Касперского» ежемесячно предотвращали 38 млн попыток перехода на мошеннические сайты

Согласно статистике «Лаборатории Касперского», в 2019 году значительно выросло число фишинговых атак, в ходе которых злоумышленники, как правило, пытаются заполучить личные и платёжные данные пользователей. Об этом Kaspersky сообщил 28 января 2020 года. В этот период решения «Лаборатории Касперского» ежемесячно предотвращали в среднем 38 миллионов попыток перехода пользователей на мошеннические сайты. Фишеры пристально следят за новостной повесткой и используют интерес публики к разным крупным событиям и знаменитостям, придумывая официально выглядящие приманки и хитростью вынуждая человека нажать на вредоносную ссылку или оставить личные данные. Подробнее здесь.

Хакеры со спецподготовкой атакуют госорганы по всему миру

Эксперты компании Anomali Inc. обнаружили в декабре 2019 года широкомасштабную фишинговую кампанию, нацеленную на государственные учреждения по всему миру. Предположительно ее операторов интересуют сведения о проектах по централизованным закупкам и тендерам[6].

Кампания хорошо организована и, судя по всему, довольно эффективна. Каждое фишинговое письмо уникально, формируется специально под конкретное ведомство, на которое планируется устроить атаку. Жертвы перенаправляются на специально подготовленные фишинговые сайты, на вид полностью дублирующие легитимные ресурсы. Но единственным их реальным назначением является кража реквизитов доступа.

Атакованы правительства Канады, Китая, Австралии, Швеции и США. По мнению экспертов, атаки производятся из Турции или Румынии; по крайней мере, именно там располагаются домены, используемые при атаках. Однако кто ими управляет, сказать точно пока невозможно.

Microsoft назвала самые необычные виды мошенничества в интернете

Компания Microsoft опубликовала в конце 2019 года отчет о тенденциях вредоносного ПО и кибербезопасности в 2019 году, в котором также рассказала о росте активности фишинговых атак[7][8].

По словам Microsoft, количество обнаруженных фишинговых писем выросло с 0,2% в январе 2018 года до 0,6% в октябре 2019 года. В то время как количество фишинговых атак увеличилось, общее число вымогательского ПО, криптомайнеров и других вредоносных программ сократилось.

В своем блоге компания рассказала о трех наиболее сложных фишинговых атак, выявленных в нынешнем году.

Первой является многоуровневая вредоносная кампания, в результате которой киберпреступники отравили результаты поиска Google. Мошенники сначала направляли перехваченный с законных сайтов web-трафик на собственные ресурсы. Попав в топ результатов поиска Google по ключевым словам, преступники отправляли жертвам электронные письма со ссылками на данные результаты поиска. Если пользователь нажимал на подобную ссылку, а затем на популярный результат поиска, он попадал на сайт, где его перенаправляли на фишинговую страницу.

Другая вредоносная кампания была выявлена в августе. Мошенники использовали вредоносные пользовательские страницы с ошибкой 404 для осуществления мошеннических атак. Тогда как большинство фишинговых писем содержат ссылку на мошеннический URL-адрес, в рамках данной кампании злоумышленники использовали ссылки на несуществующие страницы. Системы безопасности Microsoft во время сканирования ссылки обнаруживали ошибку 404 и считали ссылку безопасной, тогда как в действительности пользователь перенаправлялся на вредоносный сайт. Использование алгоритмов генерации поддоменов и постоянная смена домена позволяли злоумышленникам создавать большое количество фишинговых URL-адресов.

Третья фишинговая кампания заключалась в осуществлении MitM-атак. Злоумышленники собирали связанную с целевой компанией информацию (логотипы, баннеры, текст и фоновые изображения) с сайта Microsoft, и с помощью данных элементов создавали свой фишинговый сайт, который практически никак не отличался от настоящего. Далее фишеры рассылали письма с URL-адресами, имитирующими страницы авторизации. У жертв складывалось впечатление, что они находятся на легитимной странице, однако выдать подвох мог URL-адрес, отображающийся в адресной строке браузера.

Наблюдается рост фишинговых писем с сексуальным вымогательством (sextortion)

За последние несколько месяцев миллионы угрожающих писем были разосланы пользователям со всего мира. Начав с Германии, а потом перейдя на Великобританию и другие страны, преимущественно США и Канаду, анонимные кибер-преступники атаковали жителей стран Запада фишинговыми письмами. В этих сообщениях обычно утверждается, что у преступников имеется запись потенциальной жертвы, сделанной без ее согласия в ее личное время (как правило, запись носит интимный характер), и что эти записи будут распространены среди ее друзей, членов семьи и сослуживцев, если жертва не согласится заплатить определенный выкуп. Как правило, кибер-преступники предоставляют своей потенциальной жертве инструкции, как сделать платеж с использованием различных криптовалют[9].

Что делать, если вы получили такое письмо?

Самое лучшее, что вы можете сделать при получении письма, в котором вас пытаются шантажировать, - это проигнорировать его. Довольно часто, когда вы читаете подобное письмо, вы можете увидеть, что оно не персонализировано, и что это – массовая рассылка. В большинстве случаев игнорирование письма – это лучшее, что вы можете сделать. Если вы чувствуете, что письмо довольно реально, и вы этим сильно обеспокоены, то в таком случае вам лучше сообщить об этом в местные органы полиции.

Чего НЕ СЛЕДУЕТ делать при получении подобного письма?

Просто не открывайте письмо. Если вы получаете такое письмо в свой почтовый ящик, все, что вам необходимо сделать, - это удалить его и жить дальше своей жизнью. Однако, если все же вы открыли письмо, мы советуем вам не платить выкуп. Оплата выкупа преступникам может стать не единственной вашей проблемой: перевод денег незнакомцам может стать причиной обращения к вам органов государственной безопасности, т.к. такой перевод может спонсировать террористические группировки. Вы никогда точно не знаете, кто получит ваши деньги, а потому лучшее решение – это никогда НЕ платить им. Противостоять хакерам – это тоже не самая лучшая идея: говоря им имена или взаимодействуя с ними, вы просто делаете себя более легкой жертвой. Не надо привлекать к себе дополнительное внимание со стороны хакеров.

Еще один важный момент – не принимать такие сообщения лично на свой счет: ежедневно кибер-преступники отправляют миллионы сообщений. Скорее всего, они даже не знают, кто вы такой, а ваш адрес электронной почты просто присутствует в их спамовом списке. Короче говоря, старайтесь не открывать подобные письма, и если вы по какой-либо причине все же сделали это, то никогда не нажимайте на любые ссылки в тексте письма и не открывайте какие-либо вложения в них.

Кто стоит за этими письмами с вымогательствами?

На текущий момент неизвестно, спонсируется ли эта атака какими-либо государствами или за ней стоят отдельные хакеры. Впрочем, известно, что кто бы они ни были, они хотят наживы и они технически опытны для успешного проведения крупномасштабных кампаний без каких-либо последствий для себя. В наши дни мы живем в современном мире, где хакеры могут находиться либо в соседнем с вами доме, либо на далеком острове на Карибах или же в центре тропических лесов Амазонии в Бразилии.

Как они нацелились на вас?

Вопрос, который мы обычно слышим, заключается в том, как эти шантажисты смогли найти ваш адрес электронной почты и нацелились на вас. За последние несколько лет произошло несколько нарушений данных, и хакеры украли миллиарды адресов электронной почты. Часто такие базы данных электронных адресов продаются на «черном» рынке в «теневом» Интернете, и почти каждый может прийти и скачать список адресов, чтобы запустить свою кампанию по электронной почте. Несмотря на то, что эти фишинговые письма обычно легко идентифицировать, но когда преступники отправляют несколько миллионов писем, как минимум несколько людей обязательно попадаются на этом обмане. Хакеры рассчитывают на то, что даже небольшой процент людей, кто получил письмо, все же последуют инструкциям и переведут деньги на их счета.

Как не стать жертвой?

Некоторые провайдеры сервисов электронной почты, такие как Gmail и Yahoo, довольно-таки хорошо фильтруют такие письма. Поэтому можно с уверенностью сказать, что значительный процент мошеннических писем, отправленных вам, реально никогда не попадет к вам, потому что они не смогут преодолеть эти фильтры. Однако хакеры становятся все более креативными. Если вы хотите быть защищены немного лучше, то вам следует установить премиальный антивирус на все ваши устройства, которые подключены к Интернету.

Организатор фишинговых атак выплатит своим жертвам более $1,1 млн

Киберпреступник, атаковавший такие крупные компании, как Uber, Sainsbury's, Nectar, Groupon, T Mobile, AO.com и Argos, выплатит[10] более $1,1 млн в качестве компенсации жертвам фишинговых атак[11].

27-летний Грант Уэст (Grant West), известный в Сети как «Courvoisier», начал свою фишинговую кампанию в 2015 году. Он атаковал популярные компании для доступа к финансовым данным десятка тысяч клиентов, которые затем продавал в даркнете за разные криптовалюты. По результатам расследования, Уэста идентифицировали как лидера группировки Organised Crime Network, атаковавшей расположенные в Лондоне организации. Наряду с финансовыми данными он также продавал инструкции по проведению кибератак.

Сотрудники правоохранительных органов в ходе операции под кодовым названием «Operation Draba» конфисковали все средства преступника. Также в доме Уэста была обнаружена SD-карта с 78 млн уникальных имен пользователей и паролей, а также данными 63 тыс. банковских карт. Дальнейшее расследование выявило, что преступник организовывал атаки с ноутбука своей девушки. На устройстве был обнаружен файл с именем «fullz», содержащий финансовую информацию более 100 тыс. пользователей.

Изучив материалы дела, суд постановил продать всю конфискованную цифровую валюту Уэста (на сумму более £922 тыс.) и выплатить пострадавшим компенсацию.

Телеком-операторы в Европе блокировали в среднем 20 млн фишинговых атак ежемесячно

23 июля 2019 года компания Allot выпустила отчет из серии Telco Security Trends. Базирующийся на частных и отраслевых исследованиях, он рассматривает рост фишинговых атак, их финансовые последствия и то, как сервис-провайдеры могут помочь в борьбе с этой растущей угрозой.

В 2018 году фишинг был одним из самых распространенных видов киберпреступлений

Как сообщалось, основные выводы включают в себя:

  • Фишинг – растущая проблема для пользователей, бизнеса и сервис-провайдеров по всему миру. Потребители являются основными мишенями этих атак, и они требуют повышения безопасности своих данных и финансовой информации. Согласно Telco Security Trends Report, в течение первого квартала 2019 года телеком-операторы в Европе каждый месяц блокировали в среднем 20 миллионов фишинговых атак на устройствах семи миллионов мобильных абонентов.
  • Фишинг – глобальная миллиардная индустрия. Исследование показало, что за трехмесячный период мобильный фишинг составил 35% от числа всех активированных блокировок у клиентов, пользующихся услугой безопасности телеком-оператора. Adware заняло второе место с 34%, опередив число блокировок вредоносных программ, вымогателей и криптоджекинга.

Топ-10 стран, где зафиксировано наибольшее число фишинговых атак в 2018 году

Сервис-провайдеры имеют возможность снизить число фишинговых атак.

  • Несмотря на то, что фишинг технически зависит от того, каким источникам пользователи доверяют, сервис-провайдеры могут проактивно защищать своих подписчиков от фишинга.
  • Сервис-провайдеры должны взять на вооружение подход «Обучать, предупреждать и защищать» для защиты клиентов от киберпреступников.
  • Защита от фишинга предоставляет сервис-провайдерам возможность дифференцировать себя и создать источники дохода, одновременно защищая интернет-пользователей.

«
На протяжении многих лет клиенты сервис-провайдеров становились прямыми или косвенными жертвами фишинга, и теперь настало время действовать. На июль 2019 года хакеры стремятся обмануть пользователей и убедить их разгласить личную и конфиденциальную информацию, искусно манипулируя такими человеческими эмоциями, как жадность, страх и надежда. Благодаря проактивному подходу оповещения клиентов о фишинговых кампаниях, обучению их основам интернет-безопасности и внедрению антифишинговых технологий для защиты на сетевом уровне, сервис-провайдеры могут не только завоевать доверие потребителей, но и создать дополнительные источники получения дохода для самих себя.

рассказал Хагай Кац, вице-президент по стратегическим аккаунтам по кибербезопасности в Allot
»

2018

Электронная почта -самый популярный способ доставки вредоносного ПО

По данным CERT-GIB, электронная почта окончательно утвердилась в статусе самого популярного способа доставки вредоносного программного обеспечения в 2018 году. Соотношение доставки ВПО по email и загрузки через веб-браузер на протяжении 2018 года оставалось на уровне 12 к 1. При этом во второй половине 2018 года доля загрузок вредоносного ПО посредством веб-браузера сократилась до исторического минимума и составила порядка 3%.

По данным CERT-GIB, одной из ключевых тенденцией 2018 года стало использование публичных почтовых сервисов для отправки писем, содержащих ВПО. Так, в топ-5 наиболее активно использовавшихся злоумышленниками почтовых доменов вошли популярные в России mail.ru, yandex.ru и gmail.com. Для сравнения в 2017 году лишь один публичный почтовый сервис (mail.ru) входил в эту пятерку, остальные четыре – домены, зарегистрированные специально под вредоносные рассылки или просто поддельные адреса. Тенденция объясняется просто: с одной стороны, авторы фишинговых рассылок стремятся использовать максимально доверенные адреса – те, с которых пользователи привыкли получать электронную почту. С другой, такой способ рассылки значительно дешевле – нет необходимости регистрировать почтовый домен, можно пользоваться готовой инфраструктурой, а в случае обнаружения одним почтовым сервисом подозрительной активности, без потерь «переехать» на другой.

Как и в 2017, в 2018 году в подавляющем большинстве случаев (82%) злоумышленники предпочитали доставлять ВПО во вложении к письму. Количество фактов использования URL-ссылок в письмах, ведущих на загрузку вредоносного ПО, в 2018 году увеличилось не значительно – на 10%.

Любимым форматом упаковки ВПО в 2018 году у злоумышленников стали архивы. На протяжении всего 2018 года в архивах доставлялось больше половины всех вредоносных объектов. Наибольшей популярностью пользовались ZIP-архивы, для распаковки которых, как правило, не требуется отдельное ПО. На них приходилось 20% всех вредоносных файлов, проанализированных в рамках работы CERT-GIB.

В 2018 году по-прежнему популярными среди злоумышленников были файлы с расширением .exe, несмотря на то, что данный исполняемый формат уже должен был выработать у пользователей интернета осторожность работы с ним. На долю доставляемого ВПО при помощи .exe файлов пришлось 12% всех проанализированных вредоносных объектов.

В целях обхода традиционных систем обнаружения вредоносных рассылок злоумышленники идут на различные ухищрения, одним из которых является рассылка ВПО в архивах, требующих пароля для расшифровки содержимого. CERT-GIB фиксирует десятикратный рост количества таких архивов: в 2017 году на архивы с паролем приходилось лишь 0,08% от общего количества вредоносных объектов, а в 2018 году их количество подросло до 0,9%. В простых схемах атак пароль, как правило, указывается в письме с вредоносным вложением. Многоэтапные атаки с использованием социальной инженерии, используют выдачу пароля на этапе входа в коммуникацию с пользователем, для создания доверительных отношений, цель которых – заставить жертву открыть архив с вредоносным ПО.

Другим известным методом обхода традиционных систем обнаружения является отправка вредоносных ссылок с отложенной активацией. На протяжении 2018 года CERT-GIB фиксировал незначительно отличающие сценарии таргетированных атак, когда письма доставлялись адресатам в нерабочее время, и на момент антивирусной проверки ссылка из письма была недоступна, благодаря чему вредоносное письмо успешно доставлялось. Злоумышленники активировали вредоносную ссылку исключительно в рабочее время жертвы, когда антивирусный сканер уже «разрешил» доставку письма.

«
«Все больше киберпреступников располагают инструментами, позволяющими убедиться, что рассылаемый экземпляр не детектируется популярными традиционными антивирусными средствами. Но класс защиты, основанный на поведенческом анализе, позволяет детектировать поведение, ранее неизвестных экземпляров вредоносного ПО и заблокировать подозрительную активность, которую может пропустить антивирус»,

отметил Ярослав Каргалев, заместитель руководителя CERT-GIB
»

49% фишинговых сайтов используют SSL для создания иллюзии защищенности

По данным CERT-GIB, соотношение фишинговых ресурсов, использующих безопасное соединение (SSL/TLS) к общему количеству фишинговых сайтов показывает, что злоумышленники все чаще эксплуатируют ложное чувство защищенности у пользователей, делающих ставку на HTTPS. Статистика показывает, что в 4 квартале 2018 года почти половина всех фишинговых ресурсов использует именно «безопасное соединение».

Group-IB сообщила, что российская доменная зона достигла рекордных показателей по снижению объема токсичных сайтов
«
«Пользователям не стоит полагаться на тип соединения используемый сайтом в качестве критерия его безопасности. Получить HTTPS сертификат для злоумышленников стало также просто, как и любой другой. В онлайне можно обнаружить большое количество сервисов, которые позволяют это сделать быстро и бесплатно»,

отметил Ярослав Каргалев, заместитель руководителя CERT-GIB
»

"Лаборатория Касперского" заблокировала 137 миллионов попыток пользователей перейти на фишинговые страницы

6 ноября 2018 года «Kaspersky (ранее Лаборатория Касперского)» сообщила, что ее решения заблокировали за третьй квартал 2018 года более 137 миллионов попыток пользователей перейти на фишинговые страницы – это на 28% больше, чем в предыдущем периоде. При этом свыше трети фишинговых атак (35%) пришлось на организации финансовой категории: банки, платёжные системы, интернет-магазины. Все эти многочисленные поддельные страницы были созданы с одной целью – получить конфиденциальные данные пользователей, которые открыли бы злоумышленникам, помимо всего прочего, доступ к частным кошелькам и банковским счетам жертв.

Впрочем, заработать на пользователях киберпреступники пытались и по-другому. В конце лета 2018 года «Лаборатория Касперского» зафиксировала в спам-трафике всплеск мошеннических рассылок, в которых от получателей требовали выкуп за неразглашение собранного на них «компромата». Эти письма даже содержали персональные данные пользователей – таким образом злоумышленники пытались убедить жертв, что они действительно обладают важной информацией. Выкуп требовался в биткойнах, а его сумма варьировалась от нескольких сотен до тысяч долларов, при этом в разных рассылках мошенники указывали разные биткойн-кошельки для перевода денег. Как выяснили аналитики «Лаборатории Касперского», только на один такой кошелёк за один месяц было сделано 17 трансакций на общую сумму около 18 тысяч долларов США.

В России мошенники, разумеется, попытались использовать в своих интересах одну из самых горячих тем последних месяцев – пенсионную реформу. К примеру, «Лаборатория Касперского» обнаружила несколько рассылок с предложениями проверить сумму пенсионных накоплений в негосударственных фондах и вывести деньги «с пенсии». Чтобы убедить получателей в легитимности писем, злоумышленники ссылались на несуществующие законы и структуры (например, на некий «Национальный отдел возврата пенсионных накоплений»). За вывод несуществующих накоплений и «доступ» к базе данных с пенсионными начислениями получателям писем предлагалось заплатить небольшую «пошлину», которая, естественно, шла в карман мошенников.

«
Объёмы фишинга продолжают расти на протяжении всего 2018 года, причём довольно быстрыми темпами. То количество атак, которое мы зафиксировали лишь в третьем квартале 2018 года, составило половину (и даже больше) той величины, которая была обнаружена нами в 2017 году. Этому способствует множество факторов. Мошенники постоянно изобретают схемы и уловки, заимствуют идеи у иностранных «коллег», задействуют различные каналы распространения спама и фишинговых ссылок, эксплуатируют популярные темы и события в качестве приманки. В общем, недостатка в поводах и инструментах у злоумышленников явно нет.
Надежда Демидова, ведущий контент-аналитик «Лаборатории Касперского»
»

Чтобы не стать жертвой фишинга, «Лаборатория Касперского» рекомендует пользователям придерживаться довольно простых правил.

  • Всегда проверяйте подлинность адреса отправителя письма и содержащейся в нём ссылки – если не уверены в их благонадёжности, не открывайте. Если вы всё же оказались на сайте, вызывающем у вас сомнения, не оставляйте там никаких персональных данных. Если же думаете, что случайным образом вы могли передать свой пароль злоумышленникам, срочно смените его.
  • Используйте защищённое соединение, особенно когда заходите на важные сайты (например, в систему интернет-банкинга). По возможности избегайте небезопасных публичных Wi-Fi сетей. Всё это снизит риск незаметного попадания на фишинговую страницу. Для максимальной уверенности используйте специальные решения для защиты сетевых соединений – например, Kaspersky Secure Connection.
  • Используйте подходящее защитное решение с антифишинговыми технологиями – например, Kaspersky Security Cloud. Программа предупредит вас, если вы попытаетесь перейти на мошенническуюстраницу, и заблокирует её.

Бум ICO стимулирует новую волну фишинговых атак

По данным исследования Qrator Labs, наиболее часто компании из финансового сектора сталкиваются с фишингом (30%) и DDoS-атаками (26%). Сохранение внимания к DDoS-атакам со стороны банковского сектора на достаточно высоком уровне обусловлено волной массированных DDoS-атак на ряд крупных российских банков: в 2016 году были атакованы веб-сайты многих известных финансовых организаций из топ-10, а 28 января 2018 года произошла самая большая за последние годы DDoS-атака на мировой финансовый сектор с помощью ботнета Mirai.

«
За последний год почти половина опрошенных испытывала по крайней мере одну DDoS-атаку. Среди основных причин, ведущих к попаданию финансовой организации в фокус организаторов DDoS-атак, можно назвать как размеры организации и её популярность на рынке, так и отсутствие внедрённых адекватных контрмер для борьбы с DDoS-атаками, вследствие чего организация может стать лёгкой добычей для кибервымогателей, - отмечает Артем Гавриченков, технический директор Qrator Labs.
»

Согласно опросу Qrator Labs, если раньше финансовые организации стремились строить решения целиком in-house, то сегодня большинство опрошенных компаний (68%) уже считают самым эффективным средством противодействия DDoS гибридные решения (на стороне клиента с участием операторского решения, либо распределенной сети). Однако у этого метода также существует ряд нюансов, которые необходимо учитывать. Гибридные решения не компенсируют недостатки друг друга, а комбинируют преимущества и отрицательные свойства в тех или иных пропорциях, что может негативно сказаться на уровне защиты.

«
В индустрии еще не сложилось четкое понимание подобных рисков: многие до сих пор полагаются на гибридные решения. Однако с ростом угроз можно ожидать, что в дальнейшем рынок отнесется к этой ситуации более серьезно, осознав, что комбинированные системы не могут обеспечить защиту от целых классов атак, - говорит Артем Гавриченков.
»

Угроза фишинга существенно возросла в том числе в связи с компаниями, выходящими на ICO. Неутихающий ажиотаж вокруг ICO привел к высокому риску мошенничества, и среднестатистические пользователи не имеют точного представления, как обеспечить собственную защиту, и склонны не замечать интернет-мошенничество.

«
В сфере ICO фишинг стал серьезной проблемой, и это позволяет судить о том, что и в смежных отраслях, например, в финансовом секторе, фокус злоумышленников также смещается в сторону такого метода получения доступа к конфиденциальным данным пользователей, - отмечает технический директор Qrator Labs.
»

Среднее количество атак на веб-приложения в финансовой сфере, по данным Валарм, составляет 1500 в день. Основная часть из них – это автоматизированные инструменты и сканеры. Такая активность автоматизированных средств создает большой информационный фон и усложняет выявление реальных инцидентов. Несмотря на то, что число взломов в единицу времени в целом за последние годы сохраняется на одном уровне, финансовые организации уже не всегда могут своевременно обнаруживать и точно фиксировать подобные инциденты.

Кибермошенники рассылают фишинговые письма под видом турнирной таблицы ЧМ-2018

Компания Check Point Software Technologies, поставщик решений в области кибербезопасности, 19 июня 2018 года сообщила о выявлении фишинговой кампании, связанной с началом Чемпионата мира по футболу 2018. Кибермошенники рассылают зараженный файл под видом расписания игр и турнирной таблицы.

Во вложении фишинговых писем скрывается вредоносное ПО под названием «DownloaderGuide», который известен как загрузчик потенциально нежелательных программ. Чаще всего его используют в качестве установщика приложений, таких как панель инструментов, рекламное ПО или утилиты для оптимизации. Исследователи Check Point обнаружили, что фишинговая рассылка включает различные исполняемые файлы, все из которых были отправлены по электронной почте с использованием темы: «World_Cup_2018_Schedule_and_Scoresheet_V1. ## _ CB-DL-Manager».

Кампания была впервые обнаружена 30 мая 2018 года и достигла пика 5 июня, однако в десятых числах июня исследователи Check Point зафиксировали очередной всплеск, который связывают с началом турнира.

В компании ожидают новые всплески онлайн-мошенничеств и фишинг-атак во время Чемпионата мира по футболу 2018 и призывают интернет-пользователей сохранять бдительность, а организациям рекомендуют применять многоуровневую стратегию безопасности, которая защищает как от известного вредоносного ПО, так и угроз нулевого дня.

Фишинг — в числе самых серьезных угроз для пользователей Office 365

Корпорация Microsoft опубликовала в апреле 2018 года отчет об угрозах информационной безопасности Security Intelligence Report за период с февраля 2017 года. Он базируется на данных, полученных защитными программами и сервисами компании (Данные о количестве обнаруженных угроз, а не о случаях заражения). Информация была предоставлена корпоративными и частными пользователями, которые согласились делиться ей с привязкой к геолокации.

Широкое распространение ботнетов и вирусов-вымогателей привело к тому, что количество устройств в России, столкнувшихся с киберугрозами в период с февраля 2017 года по январь 2018 года, достигло 25-30% в среднем в месяц, тогда как аналогичный показатель в первом квартале 2017 года был почти в два раза меньше – 15%. Самые высокие показатели были зафиксированы в Пакистане, Непале, Бангладеше и Украине (33,2% или выше), самые низкие – в Финляндии, Дании, Ирландии и США (11,4% или ниже).

В 2017 году методы получения «легкой добычи», такие как фишинг, использовались для того, чтобы получить учетные данные и другую конфиденциальную информацию от пользователей. Согласно данным Microsoft Advanced Threat Protection (ATP) фишинг был в числе самых серьезных угроз в почтовых ящиках пользователей Office 365 во втором полугодии 2017 года (53%), 180-200 миллионов фишинговых писем обнаруживались ежемесячно. В России, в частности, было обнаружено 7,01 (в мире – 5,85) фишинговых сайтов на каждую 1000 хостов. Следующими по распространенности угрозами стали загрузчики вредоносного ПО (29%) и Java-бэкдоры (11%).

Другой мишенью для злоумышленников являются облачные приложения с низким уровнем безопасности. В ходе исследования выяснилось, что 79% SaaS-приложений для облачного хранения данных и 86% SaaS-приложений для совместной работы не обеспечивают шифрование ни хранящейся, ни передаваемой информации. Для защиты корпоративной инфраструктуры организации должны ограничивать использование пользователями облачных приложений, не использующих шифрование, и контролировать это с помощью брокера безопасности облачного доступа (Cloud Access Security Broker, CASB).

Еще одна тенденция второй половины 2017 года – киберпреступники используют легитимные встроенные средства системы, чтобы распространить зараженный документ (например, документ Microsoft Office), содержащийся в фишинговом письме, и загрузить программу-вымогатель. Лучшим способом избежать такого вида угрозы является своевременное обновление операционной системы и программного обеспечения.

2017

Google: Фишинговые атаки опаснее кейлоггеров и утечек данных

Специалисты Google совместно с учеными Калифорнийского университета в Беркли и Международного института компьютерных наук (International Computer Science Institute) опубликовали результаты исследования современных киберугроз. Согласно докладу, фишинговые атаки представляют для пользователей более серьезную опасность, чем кейлоггеры и повторное использование пароля[12][13].

К данному выводу исследователи пришли, проанализировав несколько черных рынков по продаже учетных записей и учетных данных. В исследовании рассматривались данные за период с марта 2016 года по март 2017 года.

Эксперты обнаружили более 788 тыс. учетных данных, похищенных с помощью кейлоггеров, 12,4 млн учетных данных, украденных посредством фишинга, и 1,9 млрд учетных данных, попавших в Сеть в ходе утечек. При этом 12% скомпрометированных в ходе утечек учетных записей были зарегистрированы через сервис Gmail. В 7% случаев пользователи повторно использовали свой пароль от Google для доступа к другому аккаунту, поставив таким образом обе учетные записи под угрозу взлома.

По словам представителей Google, от 12% до 25% обнаруженных паролей все еще применялись пользователями. Google заявила, что результаты исследования будут использованы в том числе для сброса паролей в скомпрометированных аккаунтах.

«Оценивая риски, мы обнаружили, что фишинг представляет наибольшую угрозу для пользователей. Далее следуют кейлоггеры и утечки данных. Вероятность того, что учетная запись жертвы фишинга будет взломана в 400 раз больше по сравнению со средним пользователем Google. Данный показатель в 10 раз меньше у жертв утечек данных и примерно в 40 раз меньше у жертв кейлоггеров», - отметили эксперты.

Помимо этого, исследователи также обратили внимание на растущую тенденцию включать в кейлоггеры и фишинговое ПО инструменты для регистрирации IP-адресов и других данных для обхода геолокационных фильтров. Более сложные варианты вредоносного ПО также регистрируют телефонные номера и данные user-agent.

Facebook выплатит $100 тыс. исследователям за разработку техники обнаружения целенаправленного фишинга

В августе 2017 года социальная сеть Facebook объявила победителя конкурса «2017 Internet Defense Prize». Команда исследователей из Калифорнийского университета в Беркли и Национальной лаборатории Лоуренса Беркли заработала награду в размере $100 тысяч за изобретение новой техники обнаружения целенаправленных фишинговых атак (spear-phishing) в корпоративной среде.

Метод, представленный в рамках USENIX Security Symposium, совмещает новую технику оценки аномалий для построения рейтинга уведомлений безопасности и функционал анализа целенаправленных фишинговых email-сообщений.

Для тестирования своего метода исследователи проанализировали более 370 млн email сообщений, полученных сотрудниками крупных компаний в период с марта 2013 до января 2017.

Первая часть обнаружения целенаправленного фишинга полагается на анализ двух основных составляющих: репутации домена и репутации отправителя. Репутация домена осуществляется путем проверки репутации ссылки в письме. Ссылка считается опасной, если она не посещалась многими сотрудниками компании, или если активность по ссылке началась совсем недавно.

Функционал проверки репутации отправителя пытается выяснить, не являются ли поля письма поддельными, например, имя отправителя и заголовок From.

После проведения анализа система должна принять решение на основе собранных данных и, в случае необходимости, создать уведомление об опасности. Система, предложенная учеными, называется непосредственной оценкой аномалий - `Directed Anomaly Scoring (DAS)`. Состоит она в определении подозрительности каждого события по отношению к другим событиям. После анализа всех событий, DAS выбирает события, получившие самую высокую оценку и сообщает о них службе безопасности.

По заявлению экспертов, новая технология способна обнаружить 17 из 19 фишинговых писем, а число ложных срабатываний составляет всего 0.005%[14].

Мошенники атакуют пользователей Apple-устройств под видом сотрудников iTunes

17 июля компания Eset предупредила пользователей продукции Apple о новой афере. Мошенники собирают данные банковских карт и другую личную информацию, рассылая письма о несуществующей покупке в iTunes Store.

Потенциальная жертва получает от лица онлайн-магазина письмо, в котором сообщается, что Apple ID использовался на неизвестном устройстве для покупки альбома Рианны. Пользователю предлагают игнорировать сообщение, подтвердив тем самым покупку, или отменить транзакцию, перейдя по ссылке.

Поддельное письмо об использовании Apple ID


Если пользователь не обратит внимание на грамматические ошибки в письме и тот факт, что адрес отправителя не имеет отношения к Apple, он попадает на фишинговый сайт, где предлагается ввести Apple ID и пароль, а затем заполнить анкету «для подтверждения личности».


По информации Eset, мошенники запрашивают исчерпывающие данные: имя, фамилию, почтовый адрес, телефон, дату рождения и данные банковских карт. «Принимаются» карты всех распространенных платежных систем, включая Visa, MasterCard, American Express и др.

После ввода данных на странице появится сообщение о том, что учетная запись успешно прошла проверку. Пользователь будет перенаправлен на главную страницу настоящего iTunes Store, а его персональные данные окажутся у злоумышленников.

В Eset рекомендуют игнорировать спам-рассылки и использовать комплексные антивирусные продукты с функциями антиспама и антифишинга.

"Лаборатория Касперского" выяснила, кто стоит за фишинговыми атаками на промышленные компании

Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT) сообщил в июне2017 года о всплеске числа фишинговых атак на промышленные компании со стороны нигерийских злоумышленников. Только за три месяца исследований эксперты центра обнаружили более 500 атакованных предприятий в более чем 50 странах мира: доля индустриальных компаний среди них превысила 80%.

Рассылаемые при атаках письма были составлены таким образом, чтобы получивший письмо сотрудник счел его легитимным и открыл вредоносное вложение. Сообщения рассылались в том числе от имени компаний — контрагентов потенциальных жертв: поставщиков, заказчиков, коммерческих организаций и служб доставки. В них получателям предлагалось срочно проверить информацию по счету, уточнить расценки на продукцию или получить груз по накладной. При этом во всех письмах содержались вредоносные вложения, предназначенные для кражи конфиденциальных данных, а также установки скрытых средств удаленного администрирования систем.

Также специалисты обнаружили, что большая часть доменов, используемых для командных серверов вредоносного ПО, была зарегистрирована на лиц, проживающих в Нигерии. Выбрав из готовящихся транзакций наиболее перспективную для себя, атакующие регистрировали домены, имена которых были очень похожи на имена компаний-продавцов. Затем они перехватывали сообщения со счетами от этих компаний и пересылали их покупателям, заменив реквизиты на свои собственные.

Описанные атаки относятся к хорошо известному типу Business Email Compromise (BEC). Нацелены такие угрозы обычно не только на промышленные предприятия, но на бизнес в целом. По оценкам ФБР, ущерб от подобных атак за последние несколько лет превысил 3 миллиарда долларов США, а количество пострадавших составило 22 143 компании в 79 странах мира.

Однако в случае с промышленными компаниями финансовые потери — не единственный риск от подобных атак. Поскольку часть вредоносного ПО, используемого в атаках, дает возможность удаленного доступа к зараженному компьютеру, злоумышленники могут использовать это для проникновения из офисной сети в промышленную. Последствия этого совершенно непредсказуемы: известны случаи, когда атакующие меняли какие-либо технологические параметры даже без очевидного злого умысла — просто из любопытства. Кроме того, в процессе атаки злоумышленники получают доступ к огромному количеству информации об индустриальных компаниях: данным о контрактах и проектах, сметам работ, чертежам, планам зданий, схемам электрических и информационных сетей. Как фишеры распоряжаются этой информацией, эксперты пока не выяснили, однако очевидно, что в плохих руках она представляет серьезную опасность.

Аферист из Литвы ограбил Google и Facebook на $100 млн

В марте 2017 года в СМИ прошла информация о том, что две ведущие американские интернет-компании пострадали от фишинговой атаки, организованной мошенником из Литвы. Названия компаний не раскрывались, но отмечалось, что злоумышленнику удалось обманом получить более $100 млн. Подробнее здесь.

2016

APWG: Количество фишинг-инцидентов выросло на 65%

2016 год поставил рекорд по количеству фишинговых атак, - сообщила в своем отчете Рабочая группа по борьбе с фишингом (The Anti-Phishing Working Group): 1 220 523 инцидента. Это на 65% больше, чем в 2015 г.

Наиболее атакуемым сектором стал ритейл (почти 42%); на втором месте оказался финансовый сектор, на третьем и четвертом местах, соответственно, оказались интернет-провайдеры и платежные сервисы.

Большая часть (более 6 тыс.) фишинговых доменов стабильно располагается в доменной зоне .com.

Стоит отметить, что в статистику APWG не вошли «спиэр-фишинговые», то есть узконаправленные мошеннические атаки: речь идет только о традиционном фишинге.

Согласно исследованию APWG, в IV квартале 2016 г. каждый месяц составляло 92 564 инцидентов. В 2004 г. за тот же период количество фишинговых инцидентов составляло всего лишь 1609. Таким образом, мошеннический бизнес показал рост более чем в 50 раз за 12 лет.

Цель каждой второй фишинговой атаки — деньги пользователей

Распределение различных типов финансовых фишинговых атак в 2016 году

Почти половина фишинговых атак в 2016 году была нацелена на прямую кражу денег у пользователей — к такому выводу пришли эксперты «Лаборатории Касперского», проанализировав финансовые угрозы 2016 года (учитывалось число срабатываний эвристической компоненты системы «Антифишинг» в защитных продуктах компании). По сравнению с показателем 2015 г., число финансовых фишинговых атак увеличилось на 13 процентных пунктов и составило 47%. За всю историю изучения компанией финансового фишинга этот показатель самый высокий.

Основной целью злоумышленников при таких атаках является сбор конфиденциальной информации, открывающей доступ к чужим деньгам. Фишеры охотятся за номерами банковских счетов или карт, номерами социального страхования, логинами и паролями от систем онлайн-банкинга или платежных систем.

Излюбленной мишенью фишеров традиционно оказались банки: в каждой четвертой атаке они использовали поддельную банковскую информацию. Таким образом, доля атак на эти финансовые организации по сравнению с 2015 г. увеличилась на 8 процентных пунктов. Кроме того, приблизительно каждая восьмая фишинговая атака была направлена на пользователей платежных систем, а каждая десятая — на покупателей интернет-магазинов.

«Фишинг, направленный на пользователей финансовых сервисов, является для киберпреступников одним из самых эффективных способов украсть деньги. Атаки с использованием методов социальной инженерии не требуют от преступника высокой технической квалификации и больших инвестиций. Пользуясь невнимательностью своих жертв и их технической неграмотностью, мошенники получают доступ к персональной финансовой информации пользователей и, в дальнейшем, к их деньгам, — рассказала Надежда Демидова, старший контент-аналитик «Лаборатории Касперского». — Разумеется, подавляющее большинство фишинговых атак легко распознать. Но статистика говорит о том, что очень много людей продолжают проявлять беспечность в интернете, даже когда дело касается денег».

Украина: Число мошеннических сайтов, собирающих банковские реквизиты, увеличилось в 4,5 раза в 2016 году

За 2016 год в Украине в 4,5 раза выросло количество фишинговых сайтов. Если в 2015 году веб-ресурсов, которые заставляли пользователей оставлять данные платежных карточек под предлогом оказания несуществующих услуг, было обнаружено 38, то уже в 2016 году специалисты Украинской межбанковской ассоциации членов платежных систем (EMA) выявили 174 таких сервиса в интернете[15].

Число фишинговых сайтов в Украине за год увеличилось в 4,5 раза. В 2016 году специалистами Украинской межбанковской ассоциации членов платежных систем (EMA) было обнаружено 174 мошеннических ресурса, хотя год назад было зафиксировано 38 ресурсов такого рода.

Цель этих лжесервисов одна – пользователь должен оставить данные своей карточки на сайте. Достигают ее мошенники различными способами. Как отмечают в ЕМА, 90 из 174 мошеннических ресурсов предлагали «пополнить» счет мобильного телефона, 54 якобы осуществляли «перевод» денег с карты на карту, а 28 фишинговых сайтов позволяли выполнить и ту, и другую операцию одновременно. Были замечены и такие сервисы, на которых в платежной форме происходил подмен номера карты получателя на номер карты мошенников, платеж при этом осуществлялся, но деньги переводились на карту преступника.

Рассылка фишингового спама от имени украинских банков

14 июля 2016 года украинский ОПТ Банк сообщил о вирусной рассылке писем, маскированных под уведомления о задолженности по кредитам. Открывая вложенный файл, пользователи рискуют утечкой своих данных. Подробнее здесь.

2015: Intel Security: 97% людей во всем мире не способны распознать фишинг

Intel Security опубликовала летом 2015 года результаты своего теста проверки знаний пользователей и их умения распознавать электронные письма, отправленные мошенниками с целью получения доступа к логинам, паролям и другим конфиденциальным данным.

В исследовании приняли участие около 19 000 человек из 144 стран. Им было предложено изучить 10 сообщений, специально подготовленных Intel Security. Некоторые образцы содержали угрозы кражи информации, т.е. фишинговые атаки. Только 3% из всех опрошенных смогли точно определить, можно ли доверять тому или иному посланию, тогда как 80% респондентов посчитали безопасным как минимум одно из писем с угрозой.

Киберпреступники рассылают фишинговые электронные письма для того, чтобы получатели перешли по содержащимся в письмах ссылкам на сайты, созданные с целью похищения персональных данных пользователей. Мошенники обманом заставляют людей указывать свои имена и фамилии, адреса, пароли и/или информацию о кредитных картах на фальшивых ресурсах, которые выглядят так, как будто принадлежат реальным компаниям. В отдельных случаях даже переход по ссылке в письме приводит к автоматической загрузке вредоносных программ на устройство пользователя. Так злоумышленники могут легко похитить информацию без ведома жертвы

В рамках исследования Intel Security лучше всех с заданием справилась группа респондентов в возрасте от 35-ти до 44-х лет. В среднем они ответили правильно на 68% вопросов. Самые большие трудности с выявлением фишинговых писем в почте испытывают женщины младше 18 и старше 55 лет, они смогли определить лишь 6 из 10 писем. Мужчины лучше женщин защищают себя от хакеров (67% точности в определении вредоносных сообщений против 63%).

Из 144 стран, принявших участие в опросе, лучше всего киберугрозы в электронной почте увидели жители Франции, Швеции, Венгрии, Нидерландов и Испании (они дали более 70% правильных ответов). Российские пользователи смогли точно определить наличие или отсутствие фишинга в 62,5% случаев.

Оказалось, что участники тестирования чаще всего неправильно определяли безопасные письма. И именно те, в которых была просьба «забрать свои призы». Люди часто ассоциируют бесплатные призы со спамом, это, видимо, и стало причиной того, что респонденты неправильно определили статус писем. «В реальности же электронные послания, содержащие угрозу кражи информации, часто выглядят так, как будто они действительно отправлены с настоящих сайтов, – рассказывает Гари Дэвис, главный специалист по вопросам безопасности Intel Security. – Необходимо крайне внимательно изучать такие письма и обращать внимание на грамматические ошибки, а также на плохое качество изображений».

2014: Треть фишинговых атак направлены на кражу денег

Согласно проведенному «Лабораторией Касперского» исследованию, злоумышленники стали чаще стали создавать онлайн-ресурсы, копирующие внешний вид сайтов финансовых компаний, для получения конфиденциальной информации и кражи денег со счетов интернет-пользователей. Статистика показывает, что доля фишинговых атак с использованием имен популярных банков, платежных систем или интернет-магазинов в 2013 году составила 31,45%, что на 8,5 процентных пунктов больше, чем годом ранее.

В 2013 году продукты «Лаборатории Касперского» защитили от фишинга 39,6 миллиона человек. По данным облачной инфраструктуры Kaspersky Security Network, самые быстрые темпы роста показали атаки, эксплуатирующие названия банков: на их долю пришлось 70,6% всего финансового фишинга против 52% в 2012 году. При этом в общей массе всех подобных атак банковских брендов стало в два раза больше — 22,2%.

Согласно полученным данным, злоумышленники чаще всего прикрываются именами крупных компаний: примерно 60% фишинговых атак использовали названия 25 брендов. Среди сферы платежных систем статистика более однозначна: в случае 88,3% атак из этой группы преступники имитировали сайты всего четырех организаций: PayPal, American Express, Master Card и Visa. Что касается интернет-магазинов, имя Amazon уже несколько лет остается самым эксплуатируемым: за исследуемый период название компании использовалось в 61% фишинговых атак, связанных с онлайн-торговлей. С большим отставанием от Amazon в тройке лидеров — сетевые магазины Apple и интернет-аукцион eBay. Наряду с веб-ресурсами финансовых организаций злоумышленники часто подделывают сайты социальных сетей. В 2013 году доля атак с использованием страниц, имитирующих Facebook и подобные ему ресурсы, выросла на 6,8 пунктов до 35,4%.

«Популярность фишинговых атак среди злоумышленников обусловлена относительной простотой их проведения вкупе с достаточной эффективностью. Мошеннические сайты, тщательно копирующие вид официальных, бывает непросто отличить от легитимных даже опытным интернет-пользователям, что лишний раз подчеркивает важность использования специализированных защитных продуктов. В решениях „Лаборатории Касперского` для домашних пользователей и малого бизнеса стандартные механизмы блокировки фишинга дополнены технологией „Безопасные платежи`, которая надежно защищает персональные данные при работе с онлайн-банкингом и платежными системами», — прокомментировал Сергей Ложкин, антивирусный эксперт «Лаборатории Касперского».

Для более крупных компаний, стремящихся оградить своих клиентов от кибермошенников и защитить свою репутацию, «Kaspersky (ранее Лаборатория Касперского)» предлагает комплексную платформу Kaspersky Fraud Prevention. Платформа создана для многоуровневой защиты электронных операций и включает программные средства для конечных пользователей, серверное решение для проверки транзакций и набор компонентов для разработки защищенных мобильных приложений.

2013: 72 тыс фишинговых атак в 1-м полугодии

Антифишинговая рабочая группа провела осенью 2013 года исследования на предмет того, как развивается ситуация с фишингом в мире. В первом полугодии 2013 года количество атак составило более 72 тыс. Это меньше, чем во втором полугодии 2012 года (124 тыс.), что обусловлено использованием одних и тех же доменов для разных атак[16].

На более чем 53 тыс. доменов были зарегистрированы фишинговые атаки. Из них около 12 тыс. были намеренно зарегистрированы злоумышленниками, остальные 40 тыс. были взломаны или использованы незаконно из-за ненадежности веб-хостинга.

Случаи фишинга наблюдались в 195 доменах верхнего уровня, однако 82% атак были совершены на специально зарегистрированных доменах .COM, .TK и .INFO. Самым слабозащищенным от атак оказалась зона .PW, которая была перезапущена 25 марта 2013 года.

В 2013 году антифишинговая рабочая группа насчитала 720 институтов, которые стали целями фишеров, в то время, как в 2012 году их насчитывалось около 611.Самым востребованным у злоумышленников остался сектор платежных услуг — Система электронных платежей PayPal стала целью более 13 тыс. атак.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания

  1. Против пользователей Gmail развернута хитроумная фишинговая кампания
  2. SMS-мошенничество и вредоносные программы для смартфонов
  3. 10 советов для предотвращения фишинговых атак
  4. Из доклада "Снижение рисков, связанных с человеческим фактором" Алябьев Андрей, Отдел информационной безопасности, Глобэксбанк, 2016
  5. Суд разрешил Microsoft захватить контроль над 6 фишинговыми доменами
  6. Хакеры со спецподготовкой атакуют госорганы по всему миру
  7. The quiet evolution of phishing
  8. Microsoft рассказала о самых сложных фишинговых атаках 2019 года
  9. Наблюдается рост фишинговых писем с сексуальным вымогательством (sextortion)
  10. More than £900,000 confiscated from from cyber hacker
  11. Организатор фишинговых атак выплатит своим жертвам более $1,1 млн
  12. Google: Фишинговые атаки опаснее кейлоггеров и утечек данных
  13. Data Breaches, Phishing, or Malware? Understanding the Risks of Stolen Credentials
  14. Facebook выплатит $100 тыс. исследователям за разработку техники обнаружения целенаправленного фишинга
  15. Украина: Число мошеннических сайтов, собирающих банковские реквизиты, увеличилось в 4,5 раза в 2016 году
  16. Проведено исследование фишинга