Коронавирус: страх и смятение как наживка для хакеров

Все начинается с невинной гиперссылки, присланной по почте. Все чаще она обещает немедленное излечение от коронавируса, который распространяется по миру. На самом же деле за рассылкой стоят хакеры, все более изощренными способами эксплуатирующие страхи и сумятицу, которые несет с собой пандемия.

Специалисты в области кибербезопасности отмечают резкий рост таких сообщений, которые рассылаются сотнями преступных организаций с миллионов подставных адресов.

По их оценкам, такого вала дезинформации в категории фишинга до сих пор не бывало.

Преступники рассылают сообщения на английском, французском, итальянском и турецком языках как по индивидуальным адресам, так и на имейлы компаний в сфере страхования, транспорта, здравоохранения и туризма.

Трудно оценить подлинный масштаб этой кампании, однако мы приведем несколько примеров наиболее убедительных из таких сообщений.

«Пройдите по ссылке на способ лечения коронавируса»

0a679d3735b96a72d129845ae284f1b7 Ссылки в таких письмах обычно ведут на сайты, загружающие вредоносные программы

Еще в феврале специалисты из компании Proofpoint обратили внимание на странные сообщения, которые стали получать ее клиенты. Это письмо от таинственного врача, который утверждает, что располагает документом о вакцине против коронавируса, которая якобы скрывается властями Китая и Британии.

Щелкнув по гиперссылке в этом письме, любознательный пользователь попадает на онлайн-документ на сайте, неотличимом от популярного хранилища Docusign, однако в реальности это поддельный сайт злоумышленников, которые таким образом собирают учетные данные и пароли. После этого любой ваш файл или документ попадает в их распоряжение.

Эксперты из Proofpoint говорят, что такие имейлы рассылаются пачками по 200 тысяч за раз.

«Мы видим, что эта фишинговая кампания с использованием угрозы коронавируса ведется уже более месяца. Ее размах непрерывно нарастает, и ясно, что она имеет успех с точки зрения преступников», — говорит Шеррод ДеГриппо, сотрудник фирмы.

eaa6dfaec572bca3e19e39743b6e5ccf

Специалисты по кибербезопасности из компании Digital Shadows отмечают также, что коронавирус стал темой оживленных обсуждений на форумах киберпреступников. Например, в феврале этого года такая фишинг-схема обсуждалась на престижном российском форуме XSS.

Начавший эту тему пользователь рекламировал способ доставки вредоносных программ под видом почтового приложения, имеющего вид карты распространения вируса с реальными данными ВОЗ. Такие приложения предлагались к продаже за 200 долларов и за 700 долларов с сертификатом Java CodeSign.

«ВОЗ: этот совет может спасти вас»

47b7031c8dfebabf44ad149839499110 Всемирная организация здравоохранения часто фигурирует в фейковых электронных письмах

Хакеры действовали под видом ВОЗ с самых первых дней вспышки коронавируса, но этот трюк выглядит особенно отвратительным.

По мнению экспертов, пользователи, которые загружают вложенный в письмо файл, рискуют тем, что их компьютеры будут заражены кейлоггером AgentTesla — вредоносной программой, фиксирующей все данные, введенные с клавиатуры пользователя и отсылающей их преступникам.

Чтобы избежать такой опасности, они рекомендуют игнорировать все подобные сообщения якобы от ВОЗ и вместо этого заходить на официальный сайт этой организации или ее страницы в соцсетях.

Почта от налоговой службы

Вариант подобной классической кампании фишинга — сообщения якобы от британской налоговой службы.

56134ec99ce3ed01346d075d056a2e1d

Сотрудники компании Mimecast отмечают, что стали получать сигналы о таких весьма убедительных почтовых отправлениях несколько недель назад.

Подобное сообщение обычно обещает рекомендации, как получить возврат налогов в случае заражения вирусом. Предлагаемая злоумышленниками ссылка ведет на фальшивый сайт налоговой службы, где пользователям предлагается ввести персональные данные.

«Не стоит отвечать ни на какие электронные письма, в которых предлагается денежная компенсация, и, разумеется, не надо идти по предлагаемым ссылкам. Налоговая служба никогда не сообщает о возможных выплатах с помощью таких писем», — говорит Карл Вирн, глава компании.

«Вирус переносится по воздуху»

dc37d66037cd2daa1babb7c7b0623069 Хакеры успешно эксплуатируют страх перед заражением вируса

Появляется все больше сообщений, которые явно эксплуатируют страх перед вирусом. Обычно в теме письма говорится что-то вроде: «Вирус Covid-19 теперь переносится по воздуху». Само такое письмо замаскировано под сообщение Центра по контролю и предотвращению заболеваний и выглядит весьма убедительно.

Фирма Cofense, которая первой заметила подобные сообщения, указывает, что содержащаяся в письме гиперссылка ведет на фейковую страницу Microsoft, где пользователям предлагается ввести свой адрес и пароль. После того, как данные введены, происходит переадресация на настоящую страницу Центра по контролю и предотвращению заболеваний, что еще больше маскирует проведенную манипуляцию. Однако дело сделано: хакеры получили прямой доступ к вашей электронной почте и могут распоряжаться ею по своему усмотрению.

«Несмотря на странное написание некоторых слов с заглавной буквы, это довольно качественная подделка, которая в состоянии убедить многих пользователей, особенно в состоянии стресса из-за вируса, и побудить их не задумываясь перейти по ссылке», — говорят сотрудники фирмы.

a7bb5bce7fe2ba24e44538946e436d88 Центры по контролю за заболеваниями никогда не просят о пожертвованиях, тем более в крптовалюте

Некоторые из подобных сообщений содержат даже призывы жертвовать деньги на создание вакцины, правда, при этом предлагается переводить суммы в криптовалюте Bitcoin.

Эксперты из компании Касперского говорят, что к настоящему времени им удалось обнаружить почти 3000 вредоносных программ с упоминанием слова «коронавирус».

Однако, по их мнению, это только начало более широкого распространения этой преступной кампании, которая будет нарастать по мере распространения пандемии коронавируса.