По нашим оценкам, фишинг по-прежнему остается одним из главных методов атак, используемых злоумышленниками. Количество атак на частных лиц с использованием методов социальной инженерии заметно увеличилось: если в III квартале 2020 года доля таких атак составляла 67%, то за тот же квартал 2021 года она выросла до 83%. Злоумышленники не стоят на месте и постоянно совершенствуют методы обмана жертв. Объемы атак растут, а последствия наносят все больший ущерб. Фишинг считается второй по значимости причиной утечки данных ― по данным IBM, последствия успешной фишинговой атаки обходятся предприятиям в среднем в 4,65 миллиона долларов.
В нашей статье мы поделимся самыми распространенными и интересными, на наш взгляд, темами атак, используемыми в 2021 году.
Продолжение пандемии COVID-19
Пока вирус активен и представляет угрозу для жизни и здоровья людей, тема пандемии будет оставаться актуальной и пользоваться популярностью среди злоумышленников. Если в 2020 году были больше распространены рассылки, связанные с получением новой информации о коронавирусе, методах лечения и планах по возвращению в офисы, то в 2021 году, как мы и предполагали, главной темой стала вакцинация и различные варианты фишинговых сценариев на ее основе: к примеру, продажа поддельных QR-кодов и сертификатов о вакцинации, поддельные опросы о прохождении вакцинации от фармацевтических компаний и клиник, сбор информации о вакцинированных сотрудниках.
Сбор данных о вакцинации
Ситуация с пандемией оказывает большое влияние на различные организации, потому темы, связанные с вирусом, часто возникали в корпоративных рассылках. Злоумышленники часто маскируют свои письма под рабочую переписку, и такие методы обычно оказываются успешны, что подтверждается результатами наших работ по оценке осведомленности.
Особенно эффективным сценарием фишинговой атаки оказались опросы о прохождении вакцинации среди сотрудников, отправленные якобы от HR-службы. По результатам 2021 года, в среднем 65% сотрудников переходили по ссылке из такого письма, и 48% вводили свои корпоративные учетные данные в поддельную форму аутентификации.
Поддельные сертификаты о вакцинации
После введения определенных преимуществ для привитых граждан злоумышленники начали продавать поддельные сертификаты о вакцинации, появились сервисы, на которых люди вводят свои персональные данные, необходимые для «генерации сертификата». Так, например, во время обострения ситуации с COVID-19 осенью было зафиксировано появление десятков поддельных сайтов Госуслуг, на которых посетителям предлагалось оформить фальшивые QR-коды о вакцинации.
Корпоративные рассылки
Фишинговые рассылки часто выглядят как обычные письма от партнеров или других сотрудников компании, уведомления от сервисов и рабочих инструментов, используемых в организации. Например, можно наблюдать письма и напоминания от продуктов Microsoft, письма от отдела кадров, службы технической поддержки.
Результаты наших работ по анализу защищенности показали особую успешность следующих сценариев:
- изменения в выплатах премий и заработной платы: в среднем, 28% сотрудников запускали файлы, содержащие такую информацию.
- обновление социального пакета, например изменения в программе ДМС: в среднем, 54% сотрудников открывали приложенный к такому письму файл.
- вложения из писем об изменении тарифов и цен за банковское обслуживание были запущены в среднем в 59% случаев.
В случае реальной атаки эти файлы содержали бы вредоносное ПО, запуск которого в итоге мог бы привести к недопустимым последствиям для организации.
Премьеры сериалов и фильмов
Выход новых сериалов и фильмов сериала – удачный повод для проведения злоумышленниками фишинговых атак на пользователей стриминговых сервисов, таких как Netflix. При авторизации на поддельных сайтах, имитирующих популярные сервисы, настоящие учетные данные пользователей будут скомпрометированы. Также фишинговые сайты могут запрашивать оформление новой подписки либо продление текущей – в случае «оплаты» данные банковской карты останутся у мошенников. Такие приемы использовались, например, при выходе спецвыпуска культового сериала «Друзья».
Есть и другие интересные случаи, связанные с выходом популярных сериалов. Например, при выходе известного южнокорейского сериала Squid Game злоумышленники создавали поддельные интернет-магазины с товарами по мотивам сериала, распространяли вредоносное ПО под видом игровых приложений для смартфонов и даже печатали карточки из игры, на которых содержались QR-коды со ссылками на ресурсы мошенников.
Спортивные мероприятия
Злоумышленники продолжают использовать крупные события для проведения фишинговых атак. Так, тема чемпионата мира по футболу стала появляться еще за год до проведения самого чемпионата (это событие назначено на 2022 год). Примечательно, что фишинговые письма в основном содержали приглашения к участию в торгах по контрактам, на поставку товаров или услуг для чемпионата.
Также в 2021 году злоумышленники эксплуатировали темы Олимпийских игр в Токио, Чемпионата Европы по футболу. Для последнего, например, помимо фишинговых рассылок злоумышленники создавали поддельные сайты по продаже билетов.
Клиенты банков под прицелом
В 2021 году было заблокировано множество поддельных ресурсов, имитирующих сайты известных банков. Используя репутацию популярных брендов, злоумышленники заманивают пользователей обещанием каких-либо выплат, к примеру, компенсаций пострадавшим от мошенничества, предлагают бонусы при прохождении опросов или выдачу кредитов на выгодных условиях, и просят ввести учётные данные для входа в личный кабинет.
Также злоумышленники могут рассылать по электронной почте письма о проблемах с мобильным банком. Как правило, в таких письмах ставится акцент на срочности решения проблемы, а в совокупности со страхом за сохранность средств это рождает панику, из-за чего получатель может не заметить подозрительные несоответствия в письме: например, некорректный адрес отправителя.
Почтовые службы
Еще одна из популярных тем – фишинговые письма от сервисов доставки. Как правило, получателю сообщается о необходимости внесения небольших сумм: это может быть оплата таможенной пошлины или же доставки. Опасность попадания в такую ловушку кроется не только в потере средств с карты, но и в краже персональных данных.
Другой популярный сценарий заключается в том, что сообщения побуждали пользователей проверить статус доставки их посылки, перейдя по ссылке, содержащейся в письме. Как правило, такие ссылки ведут на мошеннические ресурсы.
Отпуска и поездки: письма и сайты, предлагающие забронировать места для отдыха и билеты
Интерес мошенников к теме отпусков и путешествий существует уже довольно давно. Злоумышленники создают поддельные ресурсы, на которых якобы можно забронировать номера в гостиницах, авиабилеты и туры. Ссылки на вредоносные сайты могут рассылаться по электронной почте, при этом получателей могут заманивать выгодными акциями и скидками. Например, в этом году министерство торговли Турции предупреждало российских туристов о фейковых акциях на отели.
Подобные схемы применяются и относительно покупки железнодорожных и авиабилетов, причем жертвы могут не только потерять деньги, но и раскрыть мошенникам персональные данные.
Опасные знакомства
Из-за массового перехода в режим онлайн люди стали все больше использовать приложения для знакомств. Но этими приложениями пользуются и мошенники, которые регистрируют поддельные профили. После они могут писать другим пользователям сети с целью получения денежных средств, либо личной информации. Например, злоумышленник может попросить жертву оплатить совместный поход в кино или скинуть ссылку на свой профиль в другой соцсети. Разумеется, это лишь уловки: деньги за билеты в кино и учетные данные от соцсети уйдут к мошенникам.
Подписки на сервисы
В современном мире люди ежедневно пользуются множеством сервисов, оформляя на них подписки: приложения для прослушивая музыки и просмотра фильмов, стриминговые и облачные сервисы.
Мошенники пользуются этим, присылая жертвам письма на тему оформления или продления подписок на различные платформы. Об одном таком сценарии мы писали в нашей недавней аналитике: жертве присылалось письмо по электронной почте, где сообщалось об окончании пробного периода, после которого якобы начнутся сниматься деньги за подписку. Для отмены подписки нужно было позвонить по определенному номеру телефона. В этой кампании помимо фишинговой рассылки используется необычный прием — фальшивые кол-центры. После звонка по номеру пользователь согласно указаниям оператора скачивал вредоносный файл.
Инвестиции в криптовалюту, нефть и газ
Тема инвестиций становится все более популярной среди обычных людей, большинство из которых не знакомы с правилами информационной безопасности, так что мошенники не упускают возможности использовать этот тренд.
Злоумышленники создают фальшивые сайты, имитирующие ресурсы известных компаний, после чего предлагают пользователям зарабатывать, например, на криптовалюте, нефти и газе. Для получения денежных средств преступники даже могут создавать целые инвестиционные платформы, на которые необходимо внести определенную сумму, чтобы иметь возможность вести торги. Также были случаи, когда мошенники под видом известного банка предлагали получить независимые начисления от инвесторов. Для этого необходимо было, опять же, заполнить небольшое заявление, после чего сообщить данные банковской карты для проверки счета.
Прогнозы
Стоит отметить, что большинство из перечисленных тем остаются актуальны из года в год, злоумышленники лишь обновляют детали.
В 2022 году мы вновь ожидаем увидеть большое количество фишинговых атак, объединенных темой значимых событий, в том числе массовые рассылки на тему чемпионата мира по футболу или Зимних Олимпийских игр.
В продолжение существующих на данный момент трендов, велика вероятность атак на пользователей в связи с выходом новых фильмов и сериалов, например, в 2022 году планируется запуск сериала по мотивам произведений Дж. Р. Р. Толкина. Произведения этого автора имеют широкую аудиторию, что делает выход сериала одним из значимых событий проката следующего года.
Также, в связи с выпуском прототипа цифрового рубля злоумышленники могут создавать поддельные сайты, предлагая купить цифровую валюту. И, продолжая финансовую тему, нельзя не отметить дальнейшее развитие тренда на мошенничества с использованием социальной инженерии в теме инвестиций. Жертвами в этом случае становятся частные инвесторы, которым настойчиво предлагают сейчас и будут предлагать в ближайшем будущем свои услуги мошенники под личиной инвесторов, авторов обучающих курсов, поддельных платформ для инвестирования.
В целом, мы ожидаем все большее развитие и распространение модели Phishing-as-a-Service. Эта модель основана на сотрудничестве злоумышленников, покупке и продаже готовых решений, таких как мошеннические сайты или вредоносные скрипты.
Чтобы избежать серьезных последствий фишинга, достаточно понимать, на что следует обращать внимание и придерживаться простых правил информационной безопасности: необходимо всегда проверять адрес отправителя, не переходить по подозрительным ссылкам, не вводить учетные и платежные данные, не убедившись в легитимности ресурса. Оформлять бронирование отелей и билетов следует только на проверенных ресурсах. То же касается и подписок на используемые сервисы. Для предотвращения заражения вредоносным ПО нужно проверять все полученные файлы, в корпоративной среде для этого рекомендуется использовать песочницы.