На прошлой неделе Роскомнадзор по требованию Генеральной прокуратуры принял решение о блокировке социальной сети Instagram на территории России. За три дня после этого объявления в рунете, по данным компании Infosecurity, было зарегистрировано более 30 доменных имен со словом Instagram. Исходя из содержания ссылок, специалисты сделали вывод, что все они или большая их часть зарегистрированы интернет-мошенниками для последующего создания на их основе фишинговых сайтов.
Ведущий аналитик отдела выявления цифровых угроз Infosecurity Александр Вураско объяснил «Газете.Ru», что о мошенническом потенциале данных ресурсов говорят слова, которые используются в доменных именах. Такие примеры как «бонус-instagram.ru», «блог-instagram.ru», «noreply-instagram.ru» дают понять, что позже за ссылками будут закреплены сайты с контентом, который будет транслироваться злоумышленниками от имени компании.
«В ближайшие дни стоит ожидать массовых рассылок с инструкциями, как перенести аудиторию на другие платформы, обойти блокировки или сохранить монетизацию своего аккаунта. Такие рассылки будут использованы как для взлома самих аккаунтов, так и для кражи платежных данных их владельцев», – сказал Вураско.
В свою очередь в Group-IB не наблюдают аномальной активности мошеннической деятельности в контексте событий, развивающихся вокруг Instagram в России. Специалисты наблюдают появление новых доменов, но, по данным компании, они регулярно появлялись и до блокировки американской соцсети.
«Основной сценарий мошенников на данный момент остался прежним: это сброс пароля или блокировка аккаунта в Instagram с последующим шантажом за возврат «угнанного аккаунта». Инцидентов с использованием новых сценариев на данный момент мы не наблюдаем», – сказал руководитель отдела исследований Digital Risk Protection в Group-IB Яков Кравцов.
Аналитик «Лаборатории Касперского» Татьяна Щербакова напротив считает всплеск активности злоумышленников на фоне блокировки соцсети неизбежным. По ее словам, соцсети всегда были и остаются популярной приманкой кибермошенников.
«Не удивительно, что злоумышленники пытаются нажиться на ситуации. Мошенники могут как охотиться непосредственно за логинами и паролями, так и платежными данными, в том числе под предлогом предоставления различных актуальных «услуг», связанных с Instagram», – сказала она.
В Infosecurity отмечают, что ссылки на фишинговые сайты будут распространяться в рекламных блоках поисковых выдач Google и «Яндекс», соцсетях и мессенджерах. Аналитик исследовательской группы Positive Technologies Яна Юракова добавляет, что стоит ожидать распространения интернет-адресов и через личные сообщения в мессенджерах, ссылки на которые блогеры часто оставляют в описании своего профиля в Instagram.
«В сопроводительном тексте к этой ссылке злоумышленники зачастую рассказывают про то, что их сервисы действительно решают существующие у пользователей проблемы, и результат гарантирован», – сказала она.
В свою очередь Яков Кравцов из Group-IB добавил, что сегодня компания наблюдает распространение предложений о различных услугах в Instagram через Telegram-ботов. Как и в случае с ссылками на сторонние сервисы, эксперт Group-IB и специалисты других компаний рекомендуют обходить стороной данные сервисы.
«Пользователям стоит быть внимательными и критически относиться к любым сомнительным предложениям в сети. Если вас просят сделать что-то быстро, не дают времени подумать – стоит насторожиться. Не лишним будет использовать надежное защитное решение, которое не даст перейти на фишинговый или скам-сайт», – объяснила Татьяна Щербакова из «Лаборатории Касперского».
Яна Юракова настоятельно рекомендовала не вводить учетные данные своего профиля на сторонних ресурсах. Кравцов призвал использовать для переноса данных из Instagram только внутренние инструменты площадки.
Роман Кильдюшкин
Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников рассказал о схемах фишинговых атак:
– Фишинг – одно из самых популярных средств в руках мошенников для отъема денег у пользователей Интернет. Механизм при этом остается неизменный: электронные письма и поддельные двойники веб-сайтов. А вот информационные поводы каждый раз меняются: чемпионат мира по футболу, пенсионный накопления, теперь настало время блокировки Инстраграмма. Почти наверняка, через пару месяцев, будет отработана та же схема, но уже с новым информационным поводом.
В текущей ситуации рекомендую использовать веб-браузеры с блокировкой рекламы, скриптов, будьте внимательны при переходе по ссылкам, держите под защитой свою платежную информацию.
Данные для авторизации могут быть перехвачены злоумышленниками, когда жертва будет их вводить на вредоносном сайте. Там же, но под другим предлогом, могут быть украдены и данные банковских карт.