Фото: Getty Images
Все начинается с невинной гиперссылки, присланной по почте. Все чаще она обещает немедленное излечение от коронавируса, который распространяется по миру. На самом же деле за рассылкой стоят хакеры, все более изощренными способами эксплуатирующие страхи и сумятицу, которые несет с собой пандемия.
Специалисты в области кибербезопасности отмечают резкий рост таких сообщений, которые рассылаются сотнями преступных организаций с миллионов подставных адресов.
По их оценкам, такого вала дезинформации в категории фишинга до сих пор не бывало.
Преступники рассылают сообщения на английском, французском, итальянском и турецком языках как по индивидуальным адресам, так и на имейлы компаний в сфере страхования, транспорта, здравоохранения и туризма.
Трудно оценить подлинный масштаб этой кампании, однако мы приведем несколько примеров наиболее убедительных из таких сообщений.
"Пройдите по ссылке на способ лечения коронавируса"
Ссылки в таких письмах обычно ведут на сайты, загружающие вредоносные программы / PROOFPOINT
Еще в феврале специалисты из компании Proofpoint обратили внимание на странные сообщения, которые стали получать ее клиенты. Это письмо от таинственного врача, который утверждает, что располагает документом о вакцине против коронавируса, которая якобы скрывается властями Китая и Британии.
Щелкнув по гиперссылке в этом письме, любознательный пользователь попадает на онлайн-документ на сайте, неотличимом от популярного хранилища Docusign, однако в реальности это поддельный сайт злоумышленников, которые таким образом собирают учетные данные и пароли. После этого любой ваш файл или документ попадает в их распоряжение.
Эксперты из Proofpoint говорят, что такие имейлы рассылаются пачками по 200 тысяч за раз.
"Мы видим, что эта фишинговая кампания с использованием угрозы коронавируса ведется уже более месяца. Ее размах непрерывно нарастает, и ясно, что она имеет успех с точки зрения преступников", - говорит Шеррод ДеГриппо, сотрудник фирмы.
Специалисты по кибербезопасности из компании Digital Shadows отмечают также, что коронавирус стал темой оживленных обсуждений на форумах киберпреступников. Например, в феврале этого года такая фишинг-схема обсуждалась на престижном российском форуме XSS.
Начавший эту тему пользователь рекламировал способ доставки вредоносных программ под видом почтового приложения, имеющего вид карты распространения вируса с реальными данными ВОЗ. Такие приложения предлагались к продаже за 200 долларов и за 700 долларов с сертификатом Java CodeSign.
"ВОЗ: этот совет может спасти вас"
Всемирная организация здравоохранения часто фигурирует в фейковых электронных письмах / PROOFPOINT
Хакеры действовали под видом ВОЗ с самых первых дней вспышки коронавируса, но этот трюк выглядит особенно отвратительным.
По мнению экспертов, пользователи, которые загружают вложенный в письмо файл, рискуют тем, что их компьютеры будут заражены кейлоггером AgentTesla - вредоносной программой, фиксирующей все данные, введенные с клавиатуры пользователя и отсылающей их преступникам.
Чтобы избежать такой опасности, они рекомендуют игнорировать все подобные сообщения якобы от ВОЗ и вместо этого заходить на официальный сайт этой организации или ее страницы в соцсетях.
Почта от налоговой службы
Вариант подобной классической кампании фишинга - сообщения якобы от британской налоговой службы.
Фото: MIMECAST
Сотрудники компании Mimecast отмечают, что стали получать сигналы о таких весьма убедительных почтовых отправлениях несколько недель назад.
Подобное сообщение обычно обещает рекомендации, как получить возврат налогов в случае заражения вирусом. Предлагаемая злоумышленниками ссылка ведет на фальшивый сайт налоговой службы, где пользователям предлагается ввести персональные данные.
"Не стоит отвечать ни на какие электронные письма, в которых предлагается денежная компенсация, и, разумеется, не надо идти по предлагаемым ссылкам. Налоговая служба никогда не сообщает о возможных выплатах с помощью таких писем", - говорит Карл Вирн, глава компании.
"Вирус переносится по воздуху"
Хакеры успешно эксплуатируют страх перед заражением вируса / COFENSE
Появляется все больше сообщений, которые явно эксплуатируют страх перед вирусом. Обычно в теме письма говорится что-то вроде: "Вирус Covid-19 теперь переносится по воздуху". Само такое письмо замаскировано под сообщение Центра по контролю и предотвращению заболеваний и выглядит весьма убедительно.
Фирма Cofense, которая первой заметила подобные сообщения, указывает, что содержащаяся в письме гиперссылка ведет на фейковую страницу Microsoft, где пользователям предлагается ввести свой адрес и пароль. После того, как данные введены, происходит переадресация на настоящую страницу Центра по контролю и предотвращению заболеваний, что еще больше маскирует проведенную манипуляцию. Однако дело сделано: хакеры получили прямой доступ к вашей электронной почте и могут распоряжаться ею по своему усмотрению.
"Несмотря на странное написание некоторых слов с заглавной буквы, это довольно качественная подделка, которая в состоянии убедить многих пользователей, особенно в состоянии стресса из-за вируса, и побудить их не задумываясь перейти по ссылке", - говорят сотрудники фирмы.
Центры по контролю за заболеваниями никогда не просят о пожертвованиях, тем более в крптовалюте / KASPERSKY
Некоторые из подобных сообщений содержат даже призывы жертвовать деньги на создание вакцины, правда, при этом предлагается переводить суммы в криптовалюте Bitcoin.
Эксперты из компании Касперского говорят, что к настоящему времени им удалось обнаружить почти 3000 вредоносных программ с упоминанием слова "коронавирус".
Однако, по их мнению, это только начало более широкого распространения этой преступной кампании, которая будет нарастать по мере распространения пандемии коронавируса.
