фишинг

Банк России получил принципиально новое оружие в борьбе с вредоносными сайтами и теперь сможет блокировать их за один день. Благодаря особому статусу компетентной организации отныне он имеет право выявлять сайты-нарушители, распространяющие вредоносные программы, ресурсы с противоправным контентом и фишинговые сайты.

Данные о виртуальных ворах Центробанк будет предоставлять координационному центру (КЦ) национального домена сети, что и позволит максимально оперативно блокировать подозрительные сайты. По сути, регулятор будет закрывать сомнительные ресурсы практически самостоятельно, пояснили «Известиям» в пресс-службе ЦБ, отметив при этом, что процедура будет укладываться в один день.

В прошлом году при содействии Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России было заблокировано 1588 фишинговых сайтов, угрожающих финансовой и информационной безопасности граждан и национальной платежной системе.

Этот показатель можно считать весьма скромным по сравнению с общим числом потенциально опасных сайтов, через которые мошенники крадут данные о банковских счетах граждан. По данным КЦ, в России зарегистрировано более 6,4 млн доменных имен .ru и .рф. Из них опасность представляют страницы около 370 тыс. ресурсов в сети, и это число постоянно растет, сообщили в «Яндекс.Браузер».

Обычно мошенники пользуются доверием людей, выдавая вредоносные сайты-двойники за реальный интернет-банк. Так киберворы могут получить доступ к паролям, защищающим личную информацию.

Получение Центробанком новых возможностей станет важным шагом в борьбе с кибермошенниками. Впрочем, на значительную часть опасных ресурсов это не повлияет, опасаются эксперты.

— Обычно такие сайты располагаются за пределами зоны .ru, и на них КЦ повлиять не может. К тому же значительную их часть составляют скомпрометированные сайты. Это легальные ресурсы, которые были взломаны, — пояснил Эльмар Набигаев из Positive Technologies.

Центробанк фиксирует тренд на увеличение фишинговых рассылок от имени регулятора. Об этом заявил Дмитрий Фролов, руководитель Центра мониторинга и реагирования на компьютерные атаки в финансовой сфере (FinCERT).

В адрес банковских клиентов направляются sms и email-рассылки с ложными сообщениями о списании средств, блокировке действия карты, образовавшейся задолженности, подтверждении/отмене операции, отзыве у банка лицензии, приостановке работы платежных систем и иной информацией, компрометирующей кредитные организации, платежные системы и Банк России, пояснили «Интерфаксу» в пресс-службе ЦБ. Злоумышленники пытаются узнать у граждан номера банковских карт, PIN-коды и другую конфиденциальную информацию или заражают персональные компьютеры и мобильные устройства вредоносным ПО.

В среднем FinCERT фиксирует до пяти крупных фишинговых рассылок в месяц от лица Центробанка. Рассылки по электронной почте охватывают несколько тысяч адресов, а sms-рассылки могут быть направлены нескольким десяткам тысяч абонентов, сообщает «Финмаркет».

Депутат Госдумы Илья Костунов предложил ввести уголовную ответственность за создание фишинговых сайтов, которые незаконно собирают персональные данные или платежную информацию пользователей.

Костунов обратил внимание на то, что сейчас за фишинг в УК РФ ответственность не предусмотрена. В связи с этим он считает необходимым дополнить главу 28 УК РФ "преступления в сфере компьютерной информации" новой статьей, включающей ответственность за создание и владение фишинговыми сайтами.

По мнению парламентария, следует установить крупный штраф либо четыре года лишения свободы по этой статье, сообщает "Интерфакс".

Несмотря на бурный старт новых общих доменов верхнего уровня, их доля в общем объеме недобросовестно используемых доменных имен остается пока незначительной. Таков вывод антифишинговой рабочей группы (APWG).

Специалистами APWG было зафиксировано 123972 фишинговых атаки, а число доменов, использованных для фишинга, составило 95321, увеличившись на 8,4% по сравнению с первым полугодием. При этом непосредственно с целью фишинга было зарегистрировано 27253 доменных имени, все остальные были скомпрометированы и использованы для атак хакерами. В новых доменах с изначально неблаговидными целями было зарегистрировано 335 доменных имен. И львиная доля — 274 имени — пришлась на домен .XYZ.

Лидирует по фишинговой активности домен .COM, далее следуют [rubricator=183]домены[/rubricator] Токелау .TK, Палау .PW, Центральноафриканской Республики .CF и домен .NET, пишет cctld.ru.

В марте компания Group-IB направила аккредитованным регистраторам 127 обращений о снятии доменных имен-нарушителей с делегирования. В результате проведенных мероприятий с делегирования было снято 97 доменных имен.

На делегировании в настоящий момент находится 30 имен. 6 доменных имен из этого числа не были заблокированы, т.к. их администраторы оперативно устранили недостатки. 24 доменных имени были разблокированы после устранения причин блокировки владельцами доменных имен по обычной процедуре. Разблокировка производилась по ходатайству CERT-GIB.

Наибольшая доля обнаруженных доменов-нарушителей приходится на фишинг (53%), наименьшая на ботнет-контроллеры (12%), сообщает cctld.ru.

Российский регистратор доменов RU-CENTER сообщил, что некоторые его клиенты столкнулись с фишинговой атакой с использованием писем, замаскированных под служебные уведомления RU-CENTER.

По форме и содержанию такие сообщения схожи с реальными уведомлениями, но ссылки в них ведут на сайты мошенников, копирующих страницу авторизации RU-CENTER. Таким образом злоумышленники собирают логины и пароли, чтобы получить доступ к управлению хостингом и доменами.

С момента получения первых сигналов об инциденте применяются дополнительные этапы контроля при операциях с услугами клиентов. Чтобы не стать жертвой мошенников, представители RU-CENTER рекомендуют после перехода по ссылке из письма проверить адресную строку (там должен быть адрес nic.ru); а также убедиться, что адресная строка «зеленая» (сертификат JSC «RU-CENTER»). Если вы считаете, что могли стать жертвой атаки, необходимо незамедлительно поменять пароль, в том числе и на других сервисах, где использовалась подобная комбинация.

При возникновении сложностей рекомендуется обращаться в службу поддержки, говорится в сообщении RU-CENTER.

Из года в год предпраздничным ажиотажем пользуются не только торговые площадки, но и мошенники, а именно — фишеры, напоминают эксперты «Лаборатории Касперского».

Недавняя «Черная пятница» (день массовых распродаж и предельно низких цен во многих странах мира) в очередной раз подтвердила связь покупательской и фишинговой активностей. В этот день специалисты «Лаборатории Касперского» зафиксировали взрывной рост числа подобных атак: количество попыток пользователей перейти на фишинговые сайты, имитирующие внешний вид легитимных онлайн-магазинов, более чем в два раза превысило обычные показатели.

ESET предупредила пользователей смартфонов и планшетов о росте числа фишинговых атак в декабре, что связано с предновогодним шопингом, а также все большим распространением мобильных приложений для онлайн-банкинга.

По данным опроса международной компании Experian, в 2014 году в Великобритании число фишинговых атак на пользователей мобильных устройств увеличилось на 80%. Жертвами мошенников стали 16% пользователей, при этом 21% пострадавших были атакованы через смартфоны, а 17% — через планшеты.

Российские пользователи мобильных устройств также успели пострадать от действий злоумышленников. Так, по данным опроса ESET Russia, 11% владельцев смартфонов когда-либо теряли деньги со счета из-за вирусов, спама или других уловок мошенников, а 13% сами подписывались на дорогостоящие мобильные сервисы.

В России планируется ввести уголовную ответственность за кражу банковских паролей. В Уголовном кодексе может появиться отдельная статья, предусматривающая наказания за фишинг – один из самых распространенных способов интернет-мошенничества с использованием данных банковских карт граждан. С таким предложением выступила группа банкиров и депутатов.

В настоящее время с помощью фишинга происходит 57% несанкционированного использования банковских карт клиентов, но в УК не прописаны санкции за фишинг. Не зафиксированы они и в правительственном законопроекте, который направлен на противодействие хищению средств с банковских карт. Национальный совет финансового рынка предлагает установить максимальный штраф для фишинг-мошенников на уровне 2 млн. рублей, а максимальный срок лишения свободы – в пределах 10 лет.

Заключение НСФР на правительственный законопроект, изменяющий УК РФ, направлено в Совет Федерации и Госдуму, пишет газета «Известия».

Илья Сачков, генеральный директор Group-IB, считает целесообразным предложение ввести отдельную статью в УК РФ именно по фишингу. «Технически чаще всего установить группу взломщиков достаточно просто, проблема именно в их уголовном преследовании и наказании. Если вспомнить уголовное дело, которое инициировал банк [bank=5]ВТБ[/bank] 24 по хищению денежных средств у их клиентов на сумму 13 миллионов рублей, то преступники получили условные сроки и всего лишь штраф на 350 тыс. рублей», – поясняет он.

Однако эксперт видит проблему шире и указывает, что с фишингом следует бороться не только на законодательном уровне. «Требуется не только ужесточение законодательства, но и внедрение обучения института следователей в области компьютерных расследований, потому что на сегодняшний день следователей, способных в соответствии с существующей статьей УК вести подобные расследования, – недостаточно», – полагает Илья Сачков.

«Лаборатория Касперского» раскрыла основные приемы фишеров и рассказала, как не попасться на их удочку.

Как показывает внутренняя статистика компании, наибольшей популярностью у фишеров пользуются такие международные сервисы доставки, как DHL, FedEx, UPS и TNT. Их корпоративный стиль, домены, веб-страницы и шаблоны различных уведомлений мошенники пытаются имитировать, для того чтобы придать своим сообщениям подлинный вид. При этом фишеры продумывают оформление поддельного письма до мелочей: от содержания до адреса отправителя. Так, стремясь сделать обратный адрес максимально «официальным», мошенники используют в качестве имени отправителя стандартные для рассылок от крупных компаний слова info, service, noreply, mail или support.

Для большей убедительности в качестве доменного имени сервера после знака @ указываются реальные или очень похожие на настоящие домены компаний. Таким образом, пользователь запросто может получить фишинговое письмо, отправленное с не вызывающего подозрения адреса noreply@fedex.com. Тема сообщения в поддельных письмах также зачастую выглядит весьма правдоподобно. Злоумышленники пользуются тем, что люди, отправившие посылку или ожидающие доставку, волнуются и незамедлительно реагируют на любую информацию, так или иначе относящуюся к делу. Именно поэтому в заголовке письма мошенники, как правило, используют темы статуса отправки и доставки, подтверждения оплаты, отслеживания отправления. Нередко в теме письма фишеры указывают, что с личным аккаунтом пользователя случились какие-то проблемы.

Оформление своих писем злоумышленники стараются выполнять в стиле, максимально похожем на фирменный стиль известных компаний. В дело идут корпоративные цвета, имитации логотипов, типовые фразы вроде «Это письмо сгенерировано автоматически, пожалуйста, не отвечайте на него», ссылки на официальные страницы компании и контактные данные для обратной связи. Содержание поддельного уведомления от службы доставки тоже построено так, чтобы заставить пользователя перейти по указанной ссылке и ввести свои личные данные на фишинговой странице, либо открыть вложение и установить, таким образом, на свой компьютер вредоносную программу. В своих письмах фишеры сообщают пользователям, что с их отправлением произошла какая-нибудь ошибка или что у них есть всего пара дней, чтобы забрать свою посылку. Часто мошенники «высылают» отправителям посылок счет во вложении или настоятельно просят пользователей пройти по ссылке в письме для урегулирования проблемы.

Согласно отчету McAffee, фишинг продолжает быть эффективным инструментом для проникновения в корпоративные сети, а 80% всех бизнес-пользователей не смогли обнаружить хотя бы одно фишинговое письмо из семи представленных.

С момента выхода предыдущего ежеквартального отчета по угрозам специалисты компании собрали более 250 тысяч фишинговых URL-ссылок. В McAfee отмечают повышение сложности атак вместе с увеличением общего количества фишинговых писем. Для совершения атак применяют тактики фишинг-кампаний и таргетированного фишинга, а наибольшее количество поддельных сайтов зарегистрировано в США, пишет securitylab.ru.

Эксперты «Лаборатории Касперского» выяснили, что доходы киберпреступников могут более чем в 20 раз превышать их затраты на организацию атак.

Так, создание фишинговой страницы одной из популярных социальных сетей и организация спам-рассылки с упоминанием сайта-подделки обходятся мошенникам сегодня в среднем в 150 долларов США. Однако если на их удочку «клюнут» 100 человек, то злоумышленники смогут заработать до 10 тысяч долларов, продав конфиденциальные данные пользователей. Пострадавшие же люди, в свою очередь, потеряют ценные для них списки контактов, личные фотографии и сообщения.

Мобильный троянец-блокер обойдется преступникам уже заметно дороже — сегодня за саму программу и ее распространение приходится выкладывать в среднем тысячу долларов. Однако и «выхлоп» в этом случае получается больше. Цены, которые злоумышленники устанавливают за разблокировку смартфона, варьируются от 10 до 200 долларов, а значит со ста потенциальных жертв они смогут получить до 20 тысяч.

Эксперты «Лаборатории Касперского» отметили увеличение доли финансового фишинга в спаме.

Мошеннических писем, использующих имена известных банков, платежных сервисов, онлайн-магазинов и других финансовых организаций, в июле стало больше на 7,9 процентных пункта, и в итоге их доля составила почти 42% от всех фишинговых сообщений. При этом из всех платежных систем злоумышленники активнее всего интересовались PayPal.

В целом же доля спама в общем трафике электронной почты увеличилась на 2,2 процентных пункта и составила 67%. Лавры «победителя» в деле распространения нежелательных писем по-прежнему остались за США — из этой страны в июле было разослано 15,3% всего мирового спама. Второе место в этом рейтинге также традиционно занимает Россия с показателем 5,6% (что однако на 1,4 пункта меньше, чем в июне). Замыкает тройку Китай, из которого в Интернет поступило 5,3% мирового спама.

Компания ESET предупреждает о новой уловке мошенников-фишеров.

Злоумышленники рассылают по электронной почте письма от имени корпорации Microsoft с предупреждением о «подозрительной активности». В письме сообщается, что в учетную запись пользователя пытались зайти с IP-адреса, зарегистрированного в Южной Африке. Чтобы защитить свой аккаунт от неизвестных взломщиков, пользователю предлагается подтвердить логин и пароль. Перейдя по указанной в письме ссылке, пользователь попадает на страницу для подтверждения пароля и логина, замаскированную под настоящую страницу Microsoft. Подделку выдает адрес в строке браузера, не имеющий ничего общего с названиями сервисов Microsoft.

Следуя указаниям мошенников, пользователь «дарит» им свою учетную запись Microsoft, тем самым открывая полный доступ к своему Outlook, OneDrive, Skype и другим сервисам и устройствам корпорации.

По данным отчета Anti-Phishing Working Group за I квартал 2014 года, на территории РФ отмечается снижение инцидентов, связанных с фишингом. Доля ip-адресов, располагающихся на территории РФ, с которых осуществлялись мошеннические действия, существенно снизилась и составила в среднем 1,6% в первом квартале 2014 против 15,3% в аналогичном квартале 2013-го.

Киберпреступления, связанные с фишингом, поменяли свою географическую принадлежность, встретив на территории РФ сильный отпор. В настоящий момент всплеск инцидентов по географической принадлежности приходится на США, Турцию и КНР. Однако в Group-IB считают, что это временное явление и киберпреступники готовятся вскоре нанести новый удар.

Специалисты «Лаборатории Касперского» столкнулись с необычным способом распространения ссылки на фишинговую страницу, предназначенную для сбора персональных данных. Приманкой в очередной раз послужила тема футбольного чемпионата, а точнее инцидент дисквалификации Луиса Альберто Суареса. На фишинговой странице, которая имитирует сайт FIFA, пользователю предлагается подписать петицию в защиту игрока. Для этого пользователя просят указать имя, страну проживания, номер мобильного телефона и адрес электронной почты.

Полученные таким образом данные пользователей могут использоваться для рассылки спама, фишинговых писем и SMS, вредоносных вложений. Наличие электронного адреса и номера телефона пользователя позволяет злоумышленникам проводить целевые атаки с использованием банковских троянцев для компьютеров и мобильных устройств — подобная схема используется для обхода вторичной аутентификации систем онлайн-банкинга в тех случаях, когда одноразовый пароль присылается по SMS.

После заполнения формы жертве предлагалось поделиться «петицией» с друзьям в Facebook. Благодаря многим доверчивым болельщикам фишинговая ссылка всего за пару дней широко распространилась в социальной сети. Также сообщения с вредоносной ссылкой были замечены на тематических форумах — так на фишинговую страницу, по всей вероятности, попали первые пользователи.

Согласно статистике «Лаборатории Касперского» за 2013 год, 22% срабатываний модуля «Антифишинг», входящего в состав всех продуктов компании, приходятся на фальшивые страницы и поддельные уведомления Facebook. При этом срабатывания на имитации других социальных сетей и блогерских площадок в сумме составляют 13,5%. Всего же за прошлый год зарегистрировано более 600 миллионов фишинговых инцидентов.

Киберпреступники используют ряд устоявшихся способов заманить жертву на фишинговые ресурсы. Как правило, ссылки на такие страницы злоумышленники распространяют в письмах, имитирующих оповещения от социальной сети. Также популярны рассылки по электронной почте со взломанных аккаунтов по адресному листу — к примеру, сообщения друзьям с предложением перейти по ссылке для просмотра интересного контента. При этом мошенники часто прибегают к запугиванию и в письмах-подделках грозят получателю блокировкой аккаунта, избежать которой можно, перейдя по ссылке в письме и введя персональные данные на открывшейся странице, — расчет идет на всплеск эмоций и сопутствующую потерю бдительности.

Владельцы смартфонов и планшетов, посещающие социальные сети через свои мобильные устройства, также не застрахованы от фишинга — мошенники создают специальные веб-страницы, имитирующие вход в аккаунт через мобильное приложение Facebook. При этом на руку мошенникам играет то, что некоторые мобильные [rubricator=182]браузеры[/rubricator] скрывают адресную строку при открытии страницы, затрудняя обнаружение подделки.

Клиенты платежной системы PayPal стали целью фишинговых атак. Эксперты связывают активность злоумышленников с недавним взломом сетей компании eBay.

За последние пять месяцев пользователи получали электронные письма с темой «просмотрите ваши недавние действия» которые приходят из ящика paypal@e.paypal.com и выглядят полностью правдоподобно. Представители платежной системы признали, что эти письма не от нее. Сотрудники компании поблагодарили редакторов Softpedia за предоставление поддельного сообщения. Специалисты подтвердили, что это была попытка фишинга и пообещали их остановить, пишет anti-malware.ru.

Компания ESET предупреждает о всплеске активности кибермошенников, рассылающих фишинговые письма под видом предложений о работе.

Письма распространялись как спам, замаскированный под официальную рассылку крупных компаний. Адресату предлагалась вакансия «финансового представителя», который обналичивает в банке чеки от клиентов корпорации за 10% от суммы. В некоторых письмах предлагались также доступные кредиты и надомная работа. Чтобы принять это предложение, достаточно было заполнить и прислать «работодателю» анкету, содержащую персональные данные.

Выполнив это условие, пользователь получал предложение внести залоговый платеж или предоставить другие сведения (банковские реквизиты, номер кредитной карты и пр.).

«Не факт, что мошенники сразу запросят аванс, украдут средства со счета или используют ваши данные для отмывания денег. Жертва может верить, что получила настоящую работу, но лично я видел 419 версий этой схемы, и ни одна из них не была выгодна для пользователя», – объясняет Дэвид Харли, старший научный сотрудник ESET. Новая схема кибермошенников ориентирована на пользователей интернета, находящихся в поиске работы. 69,1% посетителей сайта AVITO.ru назвали сеть наиболее быстрым и эффективным инструментом подбора вакансий. 22% молодых специалистов, опрошенных компанией FutureToday, ведущим российским консультантом в области управления брендом работодателя, нашли свое последнее место работы через специализированные сайты.

509 ДБО