Как свидетельствует аналитическое исследование Eset Russia, спортивные события ЧМ-2018 пользуются особым вниманием киберпреступников - они разработали разнообразные схемы для кражи данных банковских карт, персональной информации и другие способы заработка на болельщиках.
В результате использования мошенниками социальной инженерии, ряд видеосервисов, обещающих трансляцию футбольных матчей, автоматически перенаправляет пользователя на сайты для кражи данных. "В Eset зафиксировали несколько типов таких мошеннических кампаний", - указывается в исследовании компании.
В одной из них на фишинговом сайте размещен опрос с "ценными призами" за заполнение анкеты. Завершившему опрос пользователю предлагается получить "последний доступный приз" (например, AppleiPhone X или Macbook) и демонстрируется таймер с обратным отсчетом. Для "выигрыша" достаточно перевести на счет "организаторов" символическую сумму – $1. Но сколько раз пользователь не вводил бы данные карты, завершить платеж не удастся. "На самом деле, данные карты (или нескольких карт) отправляются мошенникам с первой же попытки", - говорится в исследовании.
В другой кампании пользователя убеждают ввести номер мобильного телефона и другие личные данные. Такую схему обычно завершает подписка на дорогостоящие SMS-сервисы.
Что касается использования злоумышленниками вредоносного программного обеспечения, то о нем говорит тот факт, что на ряде "пиратских" сайтов специалистами Eset обнаружили вредоносный код, внедренный в видеоплееры. Код скрывает вредоносные программы (например, трояны), которые скрытно устанавливаются на компьютеры пользователей и перехватывают их данные.
В свою очередь, об использовании киберпреступниками потенциально нежелательного ПО свидетельствует то, что его зачастую содержат "пиратские" видеосервисы. Подобные программы не представляют угрозы данным, но затрудняют работу с компьютером, демонстрируя назойливую рекламу. Кроме того, эти программы могут перенаправлять на сайты с более опасными угрозами.
Изучая стриминговые сайты, благодаря просмотру матчей на которых многие болельщики будут следить за ходом Чемпионата, специалисты Eset также обнаружили множество площадок, скрытно добывающих криптовалюту в пользу злоумышленников. Ряд сайтов из поисковой выдачи используется злоумышленниками для распространения программ-майнеров, либо содержит код для добычи криптовалюты в браузере. Если у пользователя не установлен антивирусный продукт или браузерное приложение, блокирующее подобные активности, ресурсы компьютера будут использоваться для майнинга в пользу мошенников.
"Просмотр видео на мобильных устройствах не решает проблему скрытой добычи криптовалют. Некоторые программы-майнеры специально разработаны для мобильных платформ", - замечается в исследовании.
Не обошли Чемпионат стороной также "классические" мошеннические схемы – помимо прочих, в них затрагивается и тема футбола. Так, с Чемпионатом связаны массовые спам-рассылки в электронной почте, соцсетях и мессенджерах, а также регистрация подозрительных доменов, которые могут использоваться мошенниками. Типичные уловки – "официальные распродажи" билетов на матчи или турпакетов в российские города, "розыгрыши призов" от лица ФИФА или партнеров Федерации, ссылки на "эксклюзивные новости" о Чемпионате и командах, по факту ведущие на вредоносные сайты.
Основываясь на проведенном исследовании, компания Eset рекомендует игнорировать спам-рассылки и сомнительные предложения "розыгрышей" и "подарков", использовать проверенные новостные сайты и легитимные стриминговые сервисы, а также защитить компьютеры и мобильные устройства надежным антивирусным ПО.
Руководитель отдела технического сопровождения продуктов и сервисов Eset Russia Сергей Кузнецов, в разговоре с корреспондентом ComNews, добавил, что в преддверии Чемпионата мира по футболу и сейчас, во время его начала, киберпреступники ведут себя более, чем активно. "Мошенники ждут ключевых спортивных событий (ЧМ по футболу, Олимпийских игр и прочего), чтобы нажиться на ажиотаже вокруг мероприятия. Как следствие, до конца Чемпионата рассчитывать на снижение активности не приходится", - заметил Сергей Кузнецов.
Влада Сюткина
Он также указал на то, что пока что ключевая схема мошенников – спам-рассылки. "Эксплуатируются любые темы, связанные с футболом, ходом Чемпионата, ФИФА и партнерами Федерации, командами и персоналиями – все методы, чтобы заставить пользователя совершить целевое действие (ответить на спам-письмо, открыть вложение, перейти по ссылке, установить "обновление ПО", оставить номер мобильного телефона, оплатить "доставку приза" и пр.). Потом найдут другие поводы для отъема денег у населения", - рассказал Сергей Кузнецов.
Относительно того, увеличивается ли активность киберпреступников от одного Чемпионата к другому, он сказал следующее: "Скорее, меняются технические средства, которые используют киберпреступники. Тренд 2018 г. – использование программ-криптомайнеров". При этом, по его словам, на киберпреступников оказывает влияние тот факт, что трансляции все чаще просматриваются не через телевизор, а через Интернет. "Отсюда – повышенное внимание к стриминговым сайтам - внедренный вредоносный код, переадресация на фишинговые сайты, браузерные майнеры и другие перечисленные в исследовании Eset уловки", - пояснил Сергей Кузнецов.
По словам старшего контент-аналитика АО "Лаборатория Касперского" Андрея Костина, с приближением чемпионата мира по футболу кибермошенники стали активнее: появилось множество фишинговых сайтов по продаже фейковых билетов на матчи и поддельных стриминговых сервисов, активизировались спамеры. "Подобные крупные события вне зависимости от страны проведения традиционно привлекают злоумышленников, поскольку, как правило, внимательность пользователей в этот период снижается. По данным "Лаборатории Касперского", с января 2018 г. продукты компании предотвратили порядка 15 тыс. попыток перехода пользователей на фишинговые страницы, связанные с чемпионатом мира", - заметил Андрей Костин.
При этом он отметил, что одними из наиболее распространённых мошеннических схем являются спам и фишинг. "Например, злоумышленники используют спам-рассылку с информацией о крупных денежных выигрышах в лотереях или других призах якобы от имени крупных брендов, предлагая ввести платежные данные и оплатить таким образом комиссию с помощью банковской карты или получить "приз", отправив подробную контактную и личную информацию, в том числе паспортные данные или адрес проживания. В результате пользователь может не только не получить приз, но и скомпрометировать свои данные. В рассылках злоумышленники также могут предлагать пользователям поддельные билеты со скидкой или товары с символикой FIFA. Нередко спам-сообщения содержат вредоносные вложения, которые представляют собой документы в формате pdf или doc(x). Они могут использовать их для кражи персональных данных болельщиков или заражения компьютеров пользователей", - проинформировал Андрей Костин.
Кроме того, как указал Андрей Костин, преступники активно используют различные фишинговые схемы: регистрируют фейковые тематические домены, содержащие в адресе такие слова, как, например, worldcup2018 или russia2018, где предлагают купить поддельные билеты на матчи, а также продают дешёвые фейковые авиабилеты и жильё якобы от имени известных сервисов бронирования или авиакомпаний. Помимо этого, для желающих посмотреть трансляцию матчей онлайн мошенники создают сайты-ловушки, где предлагают перед просмотром скачать последнюю версию проигрывателя для видео, который на самом деле содержит вредоносный код. При помощи таких методов мошенники могут заразить устройства пользователей или получить доступ к их платежным данным или персональной информации.
По мнению руководителя экспертного центра безопасности PositiveTechnologies (PTExpertSecurityCenter) Алексея Новикова, Чемпионат мира по футболу обязательно привлечет к себе внимание хакеров всех мастей - идейных хактивистов, фишеров и прочих. "Серьезные группировки традиционно не обходят стороной такие мероприятия. И, скорее всего, такая всесторонняя подготовка уже давно начата и сейчас вступает в свою кульминационную фазу. Многие следят за футбольным "Оскаром" на сайтах. Злоумышленники, конечно, не обойдут вниманием эти ресурсы. В преддверии ЧМ по футболу киберпреступники активно копируют веб-ресурсы, относящиеся к чемпионату, или используют его символику, чтобы выманивать у пользователей деньги, продавая поддельные билеты на матчи", - заявил Алексей Новиков.
Он также заметил, что в дни проведения ЧМ-2018 рост числа атак может быть взрывным и его последствия могут затронуть не только организаторов. "Достаточно вспомнить открытие зимней олимпиады в Пхенчхане в этом году и зловред OlympicDestroyer, который вывел из строя официальный сайт и сеть Wi-Fi на стадионе. В результате часть пользователей не смогли распечатать билеты, атака помешала прямой трансляции, и была отменена часть церемонии открытия. Также, например, великолепное шоу дронов, которые видели телезрители, не состоялось - была подмонтирована картинка с репетиции", - обратил внимание Алексей Новиков.
При этом он добавил, что ЧМ как массовое мероприятие всегда означает большое скопление людей. "А там, где скапливается много людей, всегда отираются желающие поживиться за счёт наивных, доверчивых клиентов. Поэтому старая добрая социнженерия снова может пойти в ход. Традиционно в топе проблем угроз – тематический фишинг. По данным наших исследований, в 2017 г. социальная инженерия вошла в тройку наиболее популярных методов атак. Наиболее часто злоумышленники использовали фишинговые сайты и фишинговые рассылки. Как это может быть применено в контексте чемпионата мира? Например, пользователю сообщается, что его заявка выиграла в лотерее FIFA. Часто посещаемые в дни чемпионата сайты могут заражаться ВПО (вредоносное программное обеспечение – прим. ComNews). При заходе на такой сайт браузер пользователя считывает код, который перенаправляет по вредоносной ссылке", - сообщил Алексей Новиков.
Одновременно, по его словам, может использоваться "фарминг" (создание копии сайтов банков) с целью получения данных банковской карты. "Кроме того, пользователям необходимо критически относиться к входящим сообщениям и просьбам ввести карточные данные. Никогда не надо оплачивать что-либо напрямую из письма (SMS-сообщения) или переходя из него по ссылке, а также отвечая на него: адреса отправителя и сайта могут быть подделаны. Безопаснее вводить адрес самостоятельно", - заметил Алексей Новиков.
Особое внимание, по его мнению, следует обратить на обновления систем Windows в связи с вероятными попытками использовать вирусы-шифровальщики хактивистами, желающими помешать проведению чемпионата мира. "Они могут попытаться, например, скомпрометировать сервис идентификации болельщиков ("паспорт болельщика") на ЧМ-2018, чтобы заблокировать проход на стадион или значительно осложнить процесс перемещения между спортивными объектами", - сказал Алексей Новиков.
Инфраструктура, обеспечивающая проведение ЧМ-2018, как далее отметил Алексей Новиков, настолько многообразна, что всерьез рассчитывать на отсутствие в какой-либо ее части закладок нереально. "Множество систем, скорее всего, уже были взломаны, а доступ к ним, вполне вероятно, уже продан в даркнете. Поэтому защищать один лишь периметр недостаточно. Надо проводить автоматизированное сканирование специальными средствами, а также проводить тесты на проникновение", - посоветовал Алексей Новиков.
Директор департамента инновационной защиты бренда и интеллектуальной собственности, компании Group-IB Андрей Бусаргин в разговоре с корреспондентом ComNews заметил, что активность киберпреступников повысилась сразу же, как только Россию объявили страной хозяйкой Чемпионата Мира 2018. "Уже тогда злоумышленники начали регистрировать домены для мероприятия, но многие из них до недавнего момента были не активны. Несомненно, по мере приближения к Чемпионату Мира, мошенники всех сортов становились активнее и агрессивнее, они наполняют ресурсы контентом, покупают рекламу, организуют спам-рассылки и в целом уделяют больше внимание инфраструктуре своего бизнеса (например, у многих мошенников есть 3-4 ресурса "на подхвате" на случай, если основной ресурс заблокируют, на таких ресурсах контента либо нет вовсе до определенного момента, либо ресурс никаким образом не "светится"). До старта чемпионата основные схемы мошенничеств касались продаж билетов – это либо перекупщики, взвинтившие цены в 2-5 раз, либо попросту жулики, обещавшие обмен или продажу билетов, но на деле собиравшие конфиденциальную информацию пользователей, данные карт и другое", - рассказал Андрей Бусаргин.
Он также добавил, что до Чемпионата Мира, в основном фиксировались рекламные голосования и нарушения прав на интеллектуальную собственность. "Любое крупное спортивное мероприятие сопровождает масштабная продажа контрафактных сувениров, одежды, игрушек — и предстоящий Чемпионат мира по футболу не исключение. Сейчас в интернет-магазинах, на досках объявлений развернулась бойкая торговля - в мае Group-IB фиксировала более 4 тыс. объявлений о продаже сувенирной продукции с нелегальным использованием бренда ЧМ 2018. Сумма предполагаемых потерь правообладателя на май этого года оценивалась нами, как минимум, в 10 млн рублей", - заявил Андрей Бусаргин.
Ближе к чемпионату мира, по его словам, активизировались все вышеперечисленные типы мошенничества. "Несомненно, самые популярные методы - это социальная инженерия и классические схемы "развода". Данные схемы наиболее просты в исполнении для мошенников (особенно голосования и "бесплатные" призы) и в то же время они достаточно эффективны, например, в случае спам-рассылок усилия минимальны, а охват аудитории очень большой", - указал Андрей Бусаргин.
Помимо того, он обратил внимание, что активность злоумышленников от одного чемпионата к другому растет. "Это связано в первую очередь с тем, что растёт количество типов мошеннических схем, общий охват аудитории, методы продвижения. Активно задействуются социальные сети. Например, пользователям Instagram недавно предлагали пройти опрос и выиграть 2 билета, оплатив "налог" в 210 рублей. Разумеется, ни билета, ни денежного приза участники опроса не получают. В то же время все страны имеют соответствующие технологии и опыт для защиты проходящих мероприятий", - пояснил Андрей Бусаргин.
Он также заметил, что на киберпреступников влияет тот факт, что трансляции все чаще просматриваются не через телевизор, а через Интернет. "Например, до недавнего времени никто не знал о майнинге во время просмотра фильма, о вредоносном ПО, встроенном непосредственно в плеер, и так далее. Еще одной "точкой входа" для мошенников может стать трансляция футбольных матчей. Формально они должны идти только на тех телеканалах, которые купили права на прямую трансляцию. Однако мы ожидаем массового появления временных пиратских ресурсов, которые будут захватывать сигнал со спутника и транслировать игры в интернете фактически в режиме реального времени. Таким образом злоумышленники не только наносят ущерб правообладателям, которые заплатили за возможность эксклюзивного показа, но и создают угрозу для пользователей - подобные ресурсы могут заражать ПК пользователей вредоносным ПО, похищать данные банковских карт", - рассказал Андрей Бусаргин.
Беседуя с корреспондентом ComNews, глава представительства Avast в России и СНГ Алексей Федоров сказал, что действительно активность кибермошенников в преддверии Чемпионата мира по футболу увеличилась. "Крупные спортивные мероприятия вызывают ажиотаж не только среди болельщиков, но и людей, далеких от спорта. Миллионы людей ищут билеты или информацию в Интернете, скачивают спортивные приложения, а также ведут стриминг-трансляции игр с мобильных устройств. Этим пользуются мошенники - рассылают фишинговые письма с символикой Чемпионата, создают фейковые сайты со ставками или приложения. Например, два года назад, во время Чемпионата Европы, специалисты Avast обнаружили сразу несколько клонов игр FIFA в магазине Google Play. Самые безобидные из них были очень плохого качества и содержали назойливое рекламное ПО, другие заражали устройства вирусами", - указал Алексей Федоров.
Особую опасность, на его взгляд, представляют методы социальной инженерии, так как в погоне за "бесплатными" билетами болельщики могут лишиться аккаунтов в соцсетях или данных кредитных карт. "Кроме того, все больше кибермошенников создают фейковые сайты и фишинговые рассылки с поддельными билетами", - обратил внимание Алексей Федоров.
Также, по его словам, пользователям стоит быть осторожнее при подключении к бесплатному публичному Wi-Fi, так как кибермошенники могут легко создать поддельные точки подключения с похожими названиями, чтобы перехватить трафик и личные данные. "Поэтому мы рекомендуем использовать надежные VPN-сервисы, чтобы злоумышленники не смогли отследить действия в интернете", - сказал Алексей Федоров.
Влада Сюткина