Инциденты

Социальный клондайк

О печальных последствиях публикации мобильного номера в профиле социальной сети

О чем думает человек, получивший на свой мобильный телефон очередное рекламного или фишинговое сообщение? Скорее всего, что-то вроде «кто эти люди и откуда у них, черт возьми, мой телефон!?». Первые подозрения обычно падают на нечистоплотных сотрудников какой-нибудь организации, которой владелец телефона сообщал свой номер. Но нередки случаи, когда спамеры и злоумышленники используют не «слитую» базу телефонных номеров, а аналогичную базу, собранную в социальной сети с помощью специального ПО.

Эксперты в области информационной безопасности, в том числе и мы, уже который год твердят: для злоумышленников может оказаться полезным все, что вы публикуете о себе в социальной сети. Но немалая часть пользователей продолжает делиться с виртуальными друзьями (и случайными прохожими) не только свежими новостями, но и массой личной информации. А это может привести к довольно неприятным и зачастую неожиданным последствиям. Но чтобы не быть голословным, приведу реальный пример из недавней деятельности нашей команды, занимающейся расследованием киберпреступлений.

Обычное киберпреступление

Этой осенью мы помогли правоохранительным органам пресечь деятельность мелкой российской киберкриминальной группировки, специализировавшейся на распространении вредоносного ПО для Android и хищении денег со счетов пользователей онлайн-банкинга. Схема работы группировки была относительно проста: используя имеющуюся базу мобильных номеров, злоумышленники рассылали SMS, содержащие ссылку на банковский троянец. В случае успешного заражения мобильное устройство становилось частью бот-сети, а троянец приступал к поиску информации о банковских сервисах, которыми пользуется жертва, и сбору данных, необходимых для доступа к ним. Далее злоумышленники без особого труда переводили деньги жертвы на свои счета.

Интересно, что никто из участников группы не был профессиональным программистом. Обычно, когда речь идет о хакерах и хищении денег, в голове возникает образ нечистоплотного программиста, который сам пишет вредоносный код и затем внедряет его на устройства невинных жертв. Но в данном случае речь идет о людях, которые не обладали специальным образованием. Как можно предположить, они лишь провели достаточно времени на открытых хакерских форумах, где раздобыли информацию и инструменты для совершения киберпреступлений.

Один из инструментов, который они использовали, особенно интересен – это программа-парсер, собирающая номера мобильных телефонов из открытых профилей в популярной российской социальной сети «Вконтакте». С помощью этого инструмента злоумышленники сформировали базу номеров, по которым впоследствии осуществлялась рассылка вредоносных сообщений. Из других источников, насколько нам известно, преступники номера для рассылки не брали.

Социальный клондайк

Объявление о продаже приложения для массового сбора данных пользователей социальной сетей, размещенное на популярном российском открытом хакерском форуме

Российские киберкриминальные форумы (в основном, открытые, куда обычно приходят не слишком профессиональные мошенники) завалены предложениями о продаже или аренде подобных программ. К слову, они способны собирать и структурировать всю ценную информацию о пользователе, включая его имя и фамилию, все опубликованные контактные данные и настройки профиля, а не только номера мобильных телефонов. Обладание этой информацией дает злоумышленникам немало возможностей для мошенничества. Рассылка спама (рекламного и вредносного), похищение денег через Premium SMS-сервисы, подделка SIM-карт – самые очевидные способы использования собранных данных.

За неполный год преступникам, по нашим оценкам, удалось похитить около 600 тысяч рублей (около 8,5 тысяч долларов) – сравнительно небольшая сумма на фоне многомиллионных хищений, осуществляемых более крупными и подготовленными группами. Но в данном случае масштаб проблемы определяется не количеством денег, украденных конкретной группировкой, а количеством похожих непрофессиональных группировок, продолжающих свою активность. Судя по жалобам, всплывающим то на одном, то на другом форуме поддержки клиентов онлайн-банкинга, таких преступных групп десятки, и они продолжают свою деятельность.

За пределами России

Тот факт, что подобные мошенничества сейчас распространены в основном в России и соседних странах, не означает, что жителям других стран нечего опасаться.

Простой пример: первые банковские троянцы как для ПК, так и для мобильных устройств, чаще всего были ориентированы на пользователей, проживающих на территории РФ. Однако через определенное время русскоязычные киберпреступники либо кардинально меняли целевую аудиторию своих атак, переключаясь на иностранных граждан, либо расширяли ее, создавая версии вредоносных программ, ориентированные на жителей других стран.

Рассматриваемая нами группировка использовала приложение, которое собирало личные данные пользователей только одной социальной сети – «ВКонтакте». Между тем, на хакерских форумах встречаются предложения о продаже инструментов для похожего сбора данных в других – социальных сетях, включая Facebook и Instagram. Так что мы не исключаем, что схожие преступные схемы, использующие полученные из открытых источников сведения, уже разворачиваются за пределами стран бывшего Советского Союза или будут развернуты в будущем.

Социальный клондайк

Объявление о продаже программы-парсера для сбора номеров мобильных телефонов и других сведений в Instagram, размещенное на популярном российском открытом хакерском форуме

В группе особого риска те страны, где распространены мобильные тарифы с предоплатой и различные SMS-сервисы, включая те, что позволяют производить операции с банковскими картами с помощью SMS.

Что делать?

В завершение рассказа хотелось бы еще раз призвать пользователей публиковать как можно меньше информации о себе в социальных сетях. В частности, не размещать номер мобильного телефона или удалить его, если он уже размещен. Это не устранит полностью проблему массового сбора персональных данных пользователей сети злоумышленниками, но хотя бы затруднит самые простые способы кражи ваших денег.

Кроме того, если вы или ваши близкие пользуются мобильными банковскими услугами, позаботьтесь об элементарных мерах безопасности:

  • На Android-устройстве, используемом для мобильного банкинга, запретите установку приложений из сторонних источников;
  • В своем банковском аккаунте установите лимиты на списание денежных средств;
  • Ограничьте или отключите возможность отправки SMS на Premium-номера;
  • Используйте надежное защитное решение, способное предотвратить заражение устройства.

В случае если вы все же стали жертвой атаки и лишились денежных средств, обращайтесь в правоохранительные органы. Это важно, поскольку мы наблюдаем угрожающую тенденцию: широкая доступность различных инструментов, в том числе вредоносных, и мнимая анонимность киберпреступлений создают у злоумышленников ложное чувство безнаказанности, которое лишь усиливается из-за пассивности их жертв. В результате все больше неподготовленных людей приходит в киберкриминал в надежде на легкий «заработок». Потому чем больше арестов подобных деятелей будет произведено, тем более очевидным будет заблуждение о безнаказанности, подталкивающее людей с неустойчивыми моральными ориентирами к совершению противоправных действий в Сети. И тем безопаснее Сеть в итоге станет.

Социальный клондайк

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике