Сегодня 22 февраля 2018
18+
Теги → киберпреступность
Быстрый переход

Фишинг в Интернете становится всё более изощрённым

Исследование, проведённое «Лабораторией Касперского», говорит о том, что поддельные мошеннические сайты в Интернете становится всё сложнее отличить от настоящих.

Киберпреступники в течение прошлого года продолжили совершенствовать методы обмана пользователей. Фишинг становится всё более изощрённым и продвинутым, а поэтому на удочку злоумышленников могут попасться даже довольно внимательные пользователи.

Так, если год назад одним из важных советов по распознаванию фишинговой страницы была проверка наличия SSL-сертификата (присутствие HTTPS в адресной строке), то сегодня это точно не гарантирует безопасность. Дело в том, что SSL-сертификаты всё чаще встречаются и на мошеннических сайтах. Например, это могут быть бесплатные 90-дневные сертификаты центров Let’s Encrypt и Comodo, получить которые не составляет особого труда.

Кроме того, киберпреступники искусно подделывают написание доменов, так что даже проверка имени сайта не всегда может помочь. «Фишеры активно эксплуатируют кодировку Punycode, которая используется браузерами для представления символов Unicode в адресной строке. Однако если все символы имени домена принадлежат набору символов одного языка, браузер отобразит их не в формате Punycode, а на указанном языке. Мошенники подбирают символы, максимально похожие на латинские, и составляют из них доменное имя, похожее на домен известной компании», — отмечает «Лаборатория Касперского».

В 2018 году, по мнению экспертов, фишеры, атакующие российских пользователей, будут активно эксплуатировать темы зимних Олимпийских игр, Чемпионата мира по футболу, а также выборов президента РФ. 

Ростех и ФСБ объединят усилия в борьбе с киберпреступниками

Госкорпорация Ростех и Федеральная служба безопасности Российской Федерации (ФСБ), по сообщениям интернет-источников, заключили соглашение о сотрудничестве в сфере информационной безопасности.

Речь идёт о борьбе с киберпреступниками, а также о выявлении хакерских атак на российскую IT-инфраструктуру и телекоммуникационные системы.

Сообщается, что дочерняя компания Ростеха — «РТ-ИНФОРМ» — получила официальный статус корпоративного центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА).

Исследования показывают, что сетевые преступники проявляют повышенный интерес к государственным организациям, финансовой отрасли, оборонным предприятиям и промышленным компаниям. Центры ГосСОПКА как раз и призваны обеспечить безопасность критической информационной инфраструктуры (КИИ).

Добавим, что закон о безопасности КИИ вступил в силу с 2018 года. Объектами КИИ являются информационные системы и телекоммуникационные сети госорганов, автоматизированные системы управления технологическими процессами в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике, топливной промышленности, атомной промышленности, ракетно-космической промышленности, горнодобывающей промышленности, металлургической промышленности и химической промышленности. 

Более четверти пользователей сайтов знакомств сталкиваются с мошенниками

Компания ESET опубликовала результаты исследования, в ходе которого оценивались риски, связанные с посещением сайтов знакомств.

Опрос проводился в феврале нынешнего года среди пользователей Интернета из России и СНГ. Выяснилось, что большинство респондентов — 43 % — используют сайты знакомств с целью поиска пары для серьёзных отношений. Ещё 17 % опрошенных хотят приятно провести время, а 10 % стараются внести разнообразие в семейную жизнь.

Любопытно, что 14 % респондентов используют сайты знакомств не по их прямому назначению. Так, 10 % опрошенных общаются с целью улучшить знания иностранных языков, а 4 % респондентов заходят на такие ресурсы в рабочих целях — например, чтобы рекламировать те или иные товары и сервисы.

Исследование показало, что пользователи сайтов знакомств часто сталкиваются с различными рисками и угрозами. Так, 43 % респондентов общались с неадекватными собеседниками, а 37 % пожаловались на поддельные аккаунты.

С интернет-мошенниками столкнулись 28 % респондентов: они утверждают, что собеседники на сайтах знакомств отправляли им подозрительные ссылки. Ещё 18 % пострадали материально — им по той или иной причине пришлось расстаться с некоторой суммой денег. Еще 8 % респондентов пожаловались на попытки шантажа, угрозы и другие проявления агрессии. 

У жертв шифровальщика Cryakl появилась возможность восстановить файлы

Бельгийская федеральная полиция и «Лаборатория Касперского» провели кибероперацию, результатом которой стало создание утилиты для восстановления файлов, закодированных новыми версиями вымогателя Cryakl.

Вредоносная программа Cryakl, также известная как «Фантомас», атакует пользователей ещё с 2014 года. Сначала зловред распространялся через вложения-архивы в письмах, якобы отправленных арбитражным судом в связи с правонарушениями. Позже письма стали приходить и от других инстанций, в частности, от ТСЖ.

В процессе шифрования файлов Cryakl создаёт длинный ключ, который отправляет на командный сервер. Без таких ключей восстановить файлы, испорченные зловредом, практически невозможно. За восстановление данных злоумышленники требуют выкуп.

В ходе проведённой кибероперации бельгийской полиции удалось обезвредить несколько командных серверов, на которые заражённые машины отправляли ключи. Специалисты «Лаборатории Касперского», в свою очередь, проанализировали полученные данные и извлекли ключи для дешифровки закодированных файлов.

Функции для восстановления данных, зашифрованных новыми версиями зловреда Cryakl, уже добавлены в дешифратор RakhniDecryptor, доступный на сайте проекта No More Ransom.

Добавим, что проект No More Ransom существует с июля 2016 года. Он помог бесплатно расшифровать файлы, приведённые в негодность вымогателями, десяткам тысяч людей и лишил злоумышленников как минимум 10 млн евро потенциальной прибыли. 

Новый майнер атакует смарт-телевизоры и Android-устройства

«Доктор Веб» сообщает о появлении новой вредоносной программы, главной задачей которой является скрытый майнинг криптовалют.

Зловред получил обозначение Android.CoinMine.15, но он известен также как ADB.miner. Заражению подвержены Android-устройства с открытым портом 5555, который используется интерфейсом отладчика Android Debug Bridge (ADB). В ОС Android отладчик ADB по умолчанию отключен, однако некоторые производители всё же оставляют его включенным. Кроме того, ADB по каким-либо причинам может быть включен самим пользователем.

Сообщается, что под ударом оказались не только смартфоны и планшеты, но и «умные» телевизоры, телевизионные приставки, роутеры, медиаплееры и ресиверы.

В процессе работы зловред в непрерывном цикле случайным образом генерирует IP-адрес и пытается подключиться к порту 5555. В случае успеха троян предпринимает попытку заразить обнаруженное устройство с использованием интерфейса отладчика ADB. В отдельном потоке Android.CoinMine.15 запускает приложение-майнер.

Таким образом, вредоносная программа способна распространяться самостоятельно — без участия пользователя. Майнинговая функциональность зловреда может привести к заметному снижению быстродействия устройства, его нагреву, а также быстрому расходованию ресурса аккумулятора.

Более подробную информацию о вредоносной программе можно найти здесь

Интенсивность DDoS-атак в мировом масштабе снизилась

«Лаборатория Касперского» проанализировала основные тенденции развития DDoS-атак (распределённых атак типа «отказ в обслуживании») в глобальном масштабе в последней четверти 2017 года.

Сообщается, что в октябре–декабре наблюдалось относительное затишье: по сравнению с предыдущим кварталом уменьшились и число, и продолжительность DDoS-атак. Отчасти это объясняется тем, что в последнее время были раскрыты и выведены из строя крупные ботнеты. Так, в начале декабря совместными усилиями ФБР, Microsoft и Европола был уничтожен ботнет Andromeda, существовавший с 2011 года.

Распределение DDoS-атак по странам

Распределение DDoS-атак по странам

В четвертом квартале 2017 года DDoS-атаки затронули 84 страны. Для сравнения: кварталом ранее таким нападениям подверглись 98 государств.

Больше всего атак привычно пришлось на Китай — 59,18 %. На втором и третьем местах находятся США и Южная Корея с результатом 16,00 % и 10,21 % соответственно. Россия находится на шестой позиции: показатель нашей страны — 1,25 %.

Первая тройка стран по количеству командных серверов осталась прежней: Южная Корея (46,43 %), США (17,26 %) и Китай (5,95 %). При этом Поднебесной пришлось разделить третье место с Россией.

Распределение командных серверов ботнетов по странам

Распределение командных серверов ботнетов по странам

В четвертом квартале продолжился рост количества Linux-ботнетов: теперь их доля составляет 71,19 % по сравнению с 69,62 % в предыдущем квартале. Вместе с тем доля Windows-ботнетов уменьшилась с 30,38 % до 28,81 %.

Более подробно с результатами исследования можно ознакомиться здесь

С интернет-рисками сталкивались три четверти россиян

Корпорация Microsoft обнародовала результаты ежегодного исследования, посвящённого культуре общения во Всемирной сети.

В рамках работы изучен негативный опыт взаимодействия пользователей в интернет-среде с точки зрения культуры и личной безопасности, а также последствия такого взаимодействия. По итогам исследования составлен рейтинг стран по уровню цифровой культуры — Digital Civility Index (DCI).

В рейтинг вошли 23 государства, при этом Россия оказалась на 19 месте. Уровень онлайн-рисков в нашей стране не изменился по сравнению с 2016 годом, но показатели РФ хуже общемировых. В частности, примерно три четверти россиян — 75 % — хотя бы раз в жизни сталкивались с интернет-угрозами.

Опрос продемонстрировал, что в России по сравнению с другими странами пользователи гораздо чаще подвержены поведенческим рискам — 54 % против 39 %. Тем не менее, в этом году респонденты из России сталкивались с «плохим обращением» на 12 % реже, чем годом ранее (35 % в 2017 году против 47 % в 2016-м). «Оскорбления в Интернете», по мнению россиян, сократились на 4 % — до 39 %.

Репутационные риски всё ещё распространены в России, однако жертв доксинга (раскрытия сведений о личной жизни) среди россиян за год стало на 6 % меньше (11 %).

С сексуальными рисками россияне сталкиваются реже, чем жители других стран: при общемировом среднем показателе 31 %, у России — только 20 % (на 3 процентных пункта ниже показателя 2016 года).

Угрозы в виртуальном пространстве часто оборачиваются неприятностями в реальной жизни. Среди наиболее распространённых последствий онлайн-инцидентов опрошенные назвали уменьшение доверия к людям — как при общении в сети (54 % в России и 40 % в мире), так и при офлайн-общении (34 % и 28 % соответственно), а также увеличение стресса (34 % и 24 %).

Опрос также показал, что с агрессивным поведением чаще всего сталкиваются подростки (77 %). Они «опережают» все остальные возрастные группы по среднему количеству рисков. Так, в группе 18–34 лет этот показатель составляет 75%, в группе 35–49 лет70 %.

Около 17 % респондентов сообщили, что не испытывают сложностей при столкновении с онлайн-рисками. Это на 8 % ниже, чем годом ранее, и почти на 30 % ниже общемирового уровня (46 %). Треть опрошенных знают, куда обратиться за помощью при подобных инцидентах. 

Школа информационной безопасности «Яндекса» распахнёт двери в апреле

Открыт набор в Школу информационной безопасности «Яндекса» в Москве: российский IT-гигант предлагает пройти обучение студентам старших курсов и начинающим специалистам.

Главная задача проекта заключается в том, чтобы помочь учащимся понять, как использовать теоретические знания по информационной безопасности в реальных ситуациях.

Чтобы поступить в школу, нужно подать заявку, выполнить тестовое задание и пройти собеседование с преподавателями. Учащимся нужно знать хотя бы один язык программирования (JS, Python, C++, Java), на начальном уровне разбираться в принципах построения и работы веб-приложений, знать принципы работы операционных систем и сетевой инфраструктуры, а также основные типы атак и виды уязвимостей.

Важно отметить, что обучение в школе будет бесплатным. Лекции и практические занятия будут вести сотрудники службы безопасности «Яндекса». Слушателей ждут задания по инфраструктурной и продуктовой безопасности.

Заявки принимаются до 28 февраля. Программа рассчитана на один месяц: занятия будут проходить в будни по вечерам со 2 по 27 апреля 2018 года в московском офисе «Яндекса».

Отмечается, что лучшие студенты смогут попасть на стажировку в команду безопасности российского поискового гиганта. 

Многоцелевой троян Mezzo: угроза для реальных денег и криптовалют

«Лаборатория Касперского» обнаружила новую вредоносную программу, появление которой, возможно, говорит о готовящейся масштабной кибератаке в финансовой сфере.

Зловред носит имя Mezzo. Этот троян способен подменять реквизиты в файлах обмена между бухгалтерскими и банковскими системами.

Mezzo распространяется с помощью сторонних программ-загрузчиков. Основной интерес для зловреда представляют текстовые файлы популярного бухгалтерского ПО, созданные менее двух минут назад. После обнаружения таких документов троян ждёт, последует ли открытие диалогового окна для обмена информацией между бухгалтерской системой и банком. Если это произойдёт, зловред может подменить реквизиты счёта в файле непосредственно в момент передачи данных. В противном случае — если диалоговое окно так и не будет открыто — Mezzo подменяет весь файл поддельным.

Анализ говорит о том, что Mezzo может быть связан с другим трояном — CryptoShuffler, который охотится за криптовалютами. Таким образом, новый зловред теоретически может применяться для кражи реальных и цифровых денег.

«Лаборатория Касперского» подчёркивает, что сейчас Mezzo просто отправляет собранную с заражённого компьютера информацию на сервер злоумышленникам. Это может говорить о том, что киберпреступники подготавливают почву для будущей кампании.

Более подробно о финансовой угрозе Mezzo можно узнать здесь

Acronis выпустила бесплатное решение для защиты от программ-шифровальщиков

Компания Acronis объявила о выпуске бесплатного продукта Ransomware Protection, предназначенного для защиты от вредоносных программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы для возвращения доступа к ценной информации.

В основу Acronis Ransomware Protection положена технология Active Protection, распознающая нетипичные модели поведения приложений при доступе к файлам и нейтрализующая атаки программ-шифровальщиков. При этом для выявления аномалий в работе системных процессов используются не только эвристические механизмы, но и дополнительные функции, в том числе технологии машинного обучения и искусственного интеллекта на базе нейронных сетей.

В случае атаки программы-вымогателя Ransomware Protection блокирует вредоносный процесс и уведомляет об этом пользователя через сообщение во всплывающем окне. Если какие-то файлы были зашифрованы или повреждены во время атаки, приложение Acronis автоматически восстанавливает их из резервных копий.

Скачать установочный дистрибутив Active Protection можно по этой ссылке на сайте компании-разработчика. На данный момент решение доступно только для ОС Windows. Всем пользователям приложения Acronis предоставляет бесплатное облачное хранилище объёмом 5 Гбайт для резервного копирования и защиты важных файлов не только от вредоносных программ, но и от аппаратных сбоев, стихийных бедствий и иных событий, вызывающих потерю данных.

В России растёт количество киберинцидентов, связанных с банковскими картами

Региональная общественная организация «Центр Интернет-технологий» (РОЦИТ) сообщает о том, что жители России всё чаще жалуются на мошенничество, связанное с банковскими картами.

Эксперты выделяют пять основных схем, которые чаще всего используют киберпреступники. Одна из них — банальная кража банковской карты с последующим снятием денег.

Ещё один распространённый способ хищения средств — фишинг. Злоумышленники проводят массовые рассылки электронных писем от имени популярных брендов и компаний, в том числе банков. В таких письмах получателей просят перейти по указанной ссылке и уточнить реквизиты банковской карты. Понятно, что в этом случае персональные данные сразу же оказываются в руках злоумышленников.

Кроме того, набирает популярность так называемый вишинг — подвид фишинга, в котором мошенники используют телефоны для осуществления звонков от автоинформатора. Когда пользователь принимает звонок, с ним говорит автоответчик, который сообщает, что с банковской картой производятся мошеннические действия. При этом жертве предлагается немедленно перезвонить по указанному номеру. Перезванивая на этот номер, пользователи слышат голос оператора, который учтиво просит подтвердить свою личность, а также назвать номер банковской карты. После получения запрашиваемых данных мошенники опустошают счёт пользователя.

РОЦИТ

РОЦИТ

Злоумышленники также применяют скиммеры — специальные устройства, которые прикрепляются к картоприёмнику и считывают информацию с магнитной полосы карты.

Наконец, применяется схема «неполадок» с банкоматом. Этот вид мошенничества предполагает, что после ввода карты в банкомат пользователь видит на экране некое сообщение об ошибке. Человек, забрав карту, направляется искать новый банкомат, но к тому моменту, когда он его найдёт, все деньги с карты будут сняты мошенниками, получившими необходимую персональную информацию при попытке получения средств владельцем. 

Android-троян Skygofree получил ряд уникальных функций

«Лаборатория Касперского» обнаружила сложную вредоносную программу, нацеленную на мобильные устройства под управлением Android: зловред получил название Skygofree.

Анализ показал, что Skygofree обладает рядом уникальных функций, которые до сих пор не встречались ни в одной вредоносной программе для Android. К примеру, троян способен отслеживать местоположение устройства и включать запись звука, когда владелец оказывается вблизи заданных координат: это позволяет прослушивать окружение жертвы в определённых местах — скажем, в банке.

Кроме того, Skygofree может незаметно подключать гаджет к Wi-Fi-сетям, находящимся под полным контролем злоумышленников. Причём эта функция работает даже в том случае, если владелец устройства полностью отключил Wi-Fi. Такой приём позволяет собирать и анализировать трафик жертвы.

Троян способен отслеживать работу популярных мессенджеров, в частности, Facebook Messenger, Skype, Viber и WhatsApp. Причём в случае WhatsApp производится чтение переписки через «Специальные возможности» (Accessibility Services).

Ещё одна нестандартная возможность — включение фронтальной камеры в момент разблокировки устройства владельцем. Как именно злоумышленники используют полученные таким образом изображения, пока не ясно.

Прочая функциональность включает перехват звонков, SMS и других пользовательских данных. Наконец, предусмотрены инструменты, помогающие трояну поддерживать работу в режиме ожидания. Так, новейшая версия Android может автоматически останавливать неактивные процессы для экономии заряда батареи, но Skygofree обходит это, периодически отправляя системе уведомления.

Вредоносная программа распространяется через Интернет, используя методы социальной инженерии. Более подробно о зловреде можно узнать здесь

Кибергруппировка Turla распространяет бэкдор вместе с установщиком Flash Player

Компания ESET раскрыла новую схему атак на рабочие станции, которую практикует нашумевшая кибергруппировка Turla.

За кибершпионской кампанией Turla, предположительно, стоят русскоязычные организаторы. От действий злоумышленников пострадали сотни пользователей в более чем 45 странах, в частности правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации, а также фармацевтические компании. Причём участники Turla используют широкий спектр инструментов.

Как теперь показало исследование ESET, хакеры Turla объединили в пакет собственный бэкдор и программу-установщик Adobe Flash Player, а также внедрили специальные техники, чтобы домены и IP-адреса загрузки поддельного софта внешне напоминали легитимную инфраструктуру Adobe.

Такой приём вводит потенциальную жертву в заблуждение: у пользователя создаётся впечатление, что он загружает подлинное ПО с сайта adobe.com, хотя это не соответствует действительности — подмена легитимного установщика вредоносным производится на одном из этапов пути от серверов Adobe к рабочей станции.

После запуска поддельного инсталлятора Flash Player на компьютер жертвы будет установлен один из бэкдоров группы Turla. Далее злоумышленники извлекают уникальный идентификатор скомпрометированной машины, имя пользователя, список установленных продуктов безопасности и ARP-таблицу. На финальной стадии процесса поддельный инсталлятор загружает и запускает легитимное приложение Flash Player.

Подобная схема применяется в атаках, нацеленных на сотрудников посольств и консульств. Более подробно об исследовании можно узнать здесь

Русскоязычная кибергруппировка Fancy Bear совершенствует инструменты

Русскоязычная кибергруппировка Fancy Bear продолжает активную деятельность, о чём свидетельствуют данные, собранные специалистами компании ESET.

Команда Fancy Bear также известна под именами Sofacy, Sednit, STRONTIUM и APT28. Она действует как минимум с 2004 года. Этим злоумышленникам приписывают атаки на Национальный комитет Демократической партии США, парламент Германии и французский телеканал TV5 Monde, а также взлом базы данных допингового агентства WADA.

Группировка проводит атаки с использованием сложных инструментов. Некоторые из них обладают свойством взаимозаменяемости: это означает, что компьютер жертвы заражается несколькими вредоносными программами, одна из которых может восстановить остальные в случае их блокировки или удаления средствами защиты.

Fancy Bear используют в атаках фишинговые письма с вредоносными вложениями или ссылками, перенаправляющими пользователей на сайт с набором эксплойтов. Идентифицировав интересную цель, группа развёртывает на скомпрометированном устройстве набор программ для шпионажа, обеспечивающих долгосрочный доступ к данным жертвы.

Один из инструментов Fancy Bear — качественно спроектированный бэкдор Xagent с модульной архитектурой. Он совместим со всеми распространёнными программными платформами, включая Windows, macOS, Linux и Android.

В уходящем году специалисты ESET обнаружили новую версию Xagent для Windows. Вредоносная программа использует новые методы обфускации данных и алгоритм генерации доменов (DGA), что усложняет работу специалистов по безопасности. Развитие данного вредоносного инструмента свидетельствует о том, что группа готовит новые атаки на государственные учреждения по всему миру. Специалисты полагают, что Fancy Bear снова громко заявит о себе в 2018 году. 

Киберкампания Travle нацелена на российские правительственные организации

«Лаборатория Касперского» обнародовала результаты анализа вредоносной программы Travle, которая используется сетевыми злоумышленниками при проведении атак на российские организации.

Travle — это бэкдор, который имеет ряд общих черт с ранее применявшимися зловредами. В частности, как отмечается, эта программа может быть преемником NetTraveler — семейства вредоносных инструментов, известного с 2013 года. В то же время метод шифрования, использовавшийся при доставке Travle, применялся ранее при распространении двух других зловредов — Enfal и Microcin.

Любопытно, что Travle получил такое название из-за опечатки в одной строке в ранних образцах трояна: «Travle Path Failed!». В более поздних выпусках опечатку исправили на «Travel».

Анализ говорит о том, что за созданием бэкдора могут стоять китайскоговорящие злоумышленники. Среди целей Travle преобладают правительственные организации, военные подразделения и высокотехнологичные компании из России и стран СНГ.

«Злоумышленники, ответственные за атаки Travle, действовали на протяжении последних нескольких лет, и, судя по всему, их не волнует, что их могут отследить антивирусные компании. Обычно модификации и новые дополнения к арсеналу этих хакеров обнаруживают и отслеживают очень быстро. Но тот факт, что на протяжении всех этих лет у них не было необходимости менять тактические методы и приёмы, говорит о том, что им не обязательно усложнять применяемые инструменты для достижения своих целей», — отмечают российские эксперты.

Более подробную информацию о киберкампании Travle можно найти в материале «Лаборатории Касперского».