Финансовые киберугрозы в 2021 году

В 2021 году и компании, и отдельные пользователи столкнулись со множеством киберугроз. Финансовые учреждения не стали исключением. Киберпреступники продолжили активно использовать инструменты и методы, освоенные в начале пандемии. Остались актуальными риски, связанные с режимами удаленной и гибридной работы, а экономические проблемы, вызванные пандемией, еще больше усугубили ситуацию. Бедность и безработица привели к усилению вредоносной активности против банков и их клиентов.

Известные финансовые угрозы не утратили актуальности. Разработанный в 2009 году зловред SpyEye, известный как «банковский троянец, способный перехватывать данные из веб-форм», в 2021 году переместился с восьмого на второе место по распространенности среди банковских троянцев, а его доля увеличилась с 3,4% до 12,2% соответственно. В свою очередь, доля ботнета Emotet, который Европол назвал «самым опасным зловредом в мире», за год уменьшилась на 5%, до 9,3%. Это связано с тем, что в начале 2021 года правоохранительные органы по всему миру нанесли удар по инфраструктуре ботнета и таким образом хотя бы на некоторое время ограничили его активность.

Наряду с распространением угроз для финансовых организаций, количество вредоносного ПО для ПК и мобильных устройств продолжила сокращаться. Продолжилась и тенденция к смещению интереса киберпреступников в сторону корпоративных целей. Злоумышленники приспособили свои цели и инструменты к изменениям, вызванным пандемией, таким как переход на удаленную работу и рост популярности онлайн-шопинга. Настоящее исследование представляет собой анализ ландшафта финансовых киберугроз в 2021 году.

Это исследование продолжает нашу серию ежегодных отчетов о финансовых угрозах (за 2019 и 2020 гг.), посвященную актуальным тенденциям и ключевым событиям в этой сфере. Мы проанализировали фишинговые угрозы, с которыми чаще всего сталкивались пользователи и организации, а также степень распространения финансового вредоносного ПО для Windows и Android.

Методология

В данном отчете под термином «финансовое вредоносное ПО» подразумеваются вредоносные программы, предназначенные для атак на финансовый сектор, в том числе онлайн-банкинг, платежные системы, интернет-магазины, сервисы для работы с электронными деньгами и криптовалютой. Он также обозначает вредоносное ПО для получения доступа к IT-инфраструктуре финансовых организаций.

Помимо финансовых зловредов мы изучили фишинговые инструменты — в частности, веб-страницы, имитирующие сайты известных организаций, и электронные письма, рассылаемые от их имени — с помощью которых мошенники выманивают у потенциальных жертв конфиденциальную информацию.

Чтобы оценить текущее состояние ландшафта финансовых угроз, мы проанализировали вредоносную активность на устройствах, принадлежащих пользователям защитных продуктов «Лаборатории Касперского», которые добровольно предоставили нам доступ к соответствующим аналитическим данным через Kaspersky Security Network. Объектом анализа стали, в том числе, и данные клиентов, использующих корпоративные защитные решения. Все статистические данные, собранные с помощью Kaspersky Security Network, являются обезличенными.

Чтобы оценить, как изменились тенденции в разработке вредоносного ПО, мы сравнили данные за 2020 и 2021 годы, а для более глубокого понимания эволюции финансовых зловредов добавили ссылки на информацию за предыдущие периоды.

Основные выводы

Фишинг

• В 2021 году от фишинговых атак пострадали 8,2% пользователей.
• При этом мошеннических операций в сфере электронной коммерции, как и в прошлом году, оказалось больше, чем инцидентов, связанных с онлайн-банкингом. Их доля от всех фишинговых схем составила 17,6% и 11,1% соответственно.
• Самыми желанными жертвами для преступников остались пользователи PayPal: попытки перехода по ссылкам на страницы, имитирующие сайт этой платежной системы, составили 37,8% от всех фишинговых атак на пользователей платежных систем. Система Visa, которая долгое время лидировала в этой категории, осталась на четвертом месте: атаки на ее клиентов составили 9,4% от общего числа.

Вредоносное ПО для персональных компьютеров

• В 2021 году число пользователей ПК, атакованных банковскими троянцами, сократилось на 35% — с 625 364 человек в 2020 году до 405 985 в 2021-м.
• Чаще всего жертвами мошенников становились пользователи из Туркменистана, Афганистана и Таджикистана.
• Самым распространенным банковским зловредом остается Zbot (20,5%). За ним идут SpyEye (12,2%), который в последнее время значительно укрепил свои позиции, и CliptoShuffler (10,2%).
• Доля угроз, затрагивающих корпоративных пользователей, выросла почти на два процентных пункта — до 37,8%. При этом количество атак на сектор банковского обслуживания физических лиц осталось прежним — 62,2%.

Вредоносное ПО для мобильных устройств

• Число пользователей устройств на базе Android, пострадавших от банковского вредоносного ПО, сократилось на 50% — с 294 158 человек в 2020 году до 147 316 в 2021-м.
• Чаще всего жертвами таких инцидентов становились жители Японии, Испании и Турции. Тайвань уступил Турции третье место в этом списке, а потом и вовсе покинул первую десятку.

Финансовый фишинг

Фишинг является одним из самых распространенных видов киберпреступлений, т. к. требует от злоумышленников минимальных усилий, но при этом действительно приносит результаты. Как правило, преступники используют одну и ту же незамысловатую схему: рассылают электронные письма или уведомления якобы от лица банков, государственных учреждений, развлекательных сервисов и т. д., — чтобы заставить пользователей перейти на мошеннический сайт и ввести там платежные данные, персональную информацию или даже скачать вредоносное ПО.

В 2021 году антифишинговые решения «Лаборатории Касперского» зафиксировали более 250 млн попыток перехода по фишинговым ссылкам. При этом 8,2% пользователей стали жертвами атак, 41,8% из которых были связаны с финансовым фишингом.

Доля финансовых фишинговых атак (от общего числа фишинговых атак), обнаруженных «Лабораторией Касперского», 2016–2021 гг. (скачать)

В нашем случае понятие «финансовый фишинг» включает в себя атаки не только на клиентов банковских сервисов, но также платежных систем и интернет-магазинов. К атакам на пользователей платежных систем относятся страницы, имитирующие такие бренды как PayPal, MasterCard, American Express, Visa и другие. К фишингу в сфере электронной коммерции относятся страницы, имитирующие онлайн-магазины и аукционы — Amazon, Apple Store, Steam, eBay и т. д.

По данным «Лаборатории Касперского», в 2021 году преступники чаще всего атаковали пользователей интернет-магазинов. Доля таких инцидентов составила 17,6% от всех фишинговых атак и более 40% от общего числа случаев финансового фишинга. Мы объясняем такие крупные цифры влиянием пандемии, которая заставила людей чаще покупать товары онлайн и тем самым расширила круг потенциальных жертв киберпреступников.

Атаки на клиентов платежных систем составили треть от всех случаев финансового фишинга. Еще 26,6% финансовых фишинговых схем пришлись на долю банковских сервисов, с которыми связаны 11,1% от общего числа фишинговых инцидентов.

Распределение случаев финансового фишинга по типам в 2021 г. (скачать)

Приведенный ниже пример банковского фишинга наглядно показывает, насколько поддельные веб-страницы похожи на настоящие сайты финансовых организаций. Мошенники использовали логотип банка и фото его офиса, чтобы усыпить бдительность жертв и заставить их ввести данные, необходимые для доступа к их счетам.

Фишинговая страница для ввода учетных данных, имитирующая сайт американской финансовой компании Wells Fargo

Платежные системы, которые чаще всего использовались в финансовых фишинговых схемах в 2021 г. (скачать)

Как видно из приведенного выше графика, больше всего фишинговых атак в 2021 году пришлось на долю платежной системы PayPal — 37,8%.

Эта фишинговая страница рассчитана на пользователей PayPal. Преступники просят потенциальных жертв ввести платежные данные

Второе место среди самых популярных у фишеров платежных систем удерживает Mastercard — доля этой системы в фишинговых атаках составила 12,2%. Доля инцидентов с упоминанием American Express в прошедшем году осталась неизменной — 10%.

Бренды интернет-магазинов, которые чаще всего использовались в финансовых фишинговых схемах в 2021 г. (скачать)

Мошенники в 2021 году активно атаковали пользователей различных торговых платформ. Чаще всего они использовали в своих фишинговых схемах бренд Apple — такие инциденты составили 48,78% от общего числа. На втором месте расположился Amazon (21,48%), в то время как на долю eBay пришлось всего 5,32%. Замыкает четверку онлайн-магазинов, которые чаще всего подвергались кибератакам в 2021 году, китайская международная технологическая компания Alibaba, пользователи которой стали жертвами 4,14% всех фишинговых схем.

Пример фишинговой страницы для ввода учетных данных, рассчитанной на клиентов Amazon по всему миру

Важной тенденцией стало увеличение числа мошеннических схем, связанных с криптовалютой. В 2021 году мы обнаружили более 460 000 попыток перехода по фишинговым ссылкам, использующим эту тематику. Теоретически это можно объяснить растущей популярностью и легитимизацией NFT-токенов и криптовалют, а также тем, что цены на криптовалюты 2020 году резко взлетели и оставались высокими в течение всего следующего года.

Пример фишинговой страницы, рассчитанной на инвесторов и владельцев криптовалютных кошельков

Вероятнее всего, в будущем число подобных мошеннических схем вырастет, поскольку новые цифровые платежные системы привлекают все больше пользователей, которых преступники рассматривают как потенциальных жертв. Впрочем, развитие этой тенденции сильно зависит от колебаний цен на криптовалюты: если в 2022 году биткоин рухнет, пользователи могут вообще потерять интерес к этим платежным средствам. Однако в феврале 2022 года его курс снова начал расти.

Банковские вредоносные программы для ПК

В рамках этого исследования мы проанализировали банковское вредоносное ПО, предназначенное для кражи учетных данных, с которыми пользователи входят в сервисы онлайн-банкинга и платежные системы, а также для перехвата одноразовых паролей, используемых при двухфакторной аутентификации.

Результаты исследования показывают, что число пользователей, атакованных банковскими зловредами, сократилось на 35% — с 625 364 человек в 2020 году до 405 985 в 2021-м. Эти цифры являются отражением нисходящей тенденции: в 2019 г. доля пострадавших от банковского вредоносного ПО уменьшилась приблизительно на 13%, а в 2020 гг. — на 20%.

Причиной этой тенденции может быть то, что подобные атаки все чаще являются целевыми и ориентированными в основном на крупные компании. Тем не менее отдельные пользователи и малый бизнес все еще составляют значительную часть пострадавших от действий таких группировок, как Zbot, SpyEye, CliptoShuffler, Emotet и других.

Изменение числа уникальных пользователей, атакованных банковскими вредоносными программами, 2019–2021 гг. (скачать)

Основные операторы банковского вредоносного ПО

Каждый год мы выявляем несколько новых семейств банковского вредоносного ПО — групп приложений с одинаковой базой исходного кода и схожими методами атаки. Их жизненный цикл может быть разным: некоторые к моменту обнаружения уже начинают устаревать, а другие наоборот активно распространяются.

TOP 10 семейств банковского вредоносного ПО, 2021 г. (скачать)

По нашим наблюдениям, около половины всех пользователей, пострадавших от банковских зловредов, были атакованы представителями всего четырех семейств. Пятая часть этих атак была совершена с помощью Zbot — самой популярной вредоносной программы среди финансовых киберпреступников. SpyEye поднялся в этом рейтинге с восьмого места на второе: в 2020 году объем инцидентов с его применением составлял 3,4%, а в 2021-м — уже 12,2%. Gozi и Nuerevt, на долю которых в 2018 году приходилась одна пятая всех финансовых кибератак, покинули первую десятку, уступив место зловредам Cridex и Nymaim.

География атак

Чтобы определить вероятность заражения банковским вредоносным ПО, мы рассчитали процент атакованных им пользователей продуктов «Лаборатории Касперского» от общего числа наших клиентов, проживающих в той или иной стране. Стоит заметить, что в предыдущих отчетах использовалась другая методология, поэтому цифры за 2020 год в этом разделе могут различаться.

В таблице ниже представлен рейтинг TOP 20 стран с самым большим количеством пострадавших пользователей. Именно в этих 20 странах произошло более половины всех попыток заражений.

^{* В статистику не включены страны, где проживает менее 10 000 пользователей продуктов «Лаборатории Касперского»}

Туркменистан занимает первое место по количеству атак с помощью банковского вредоносного ПО для ПК (8,3%). Второе и третье места достались Афганистану (6,4%) и Таджикистану (6,4%). Узбекистан (5,3%), который был лидером этого рейтинга в 2020 году, опустился на четвертое место, потеряв 3,5 процентных пункта, а Йемен (3,1%) поднялся на пятую позицию.

Немного увеличилась доля атакованных пользователей в Парагвае (2,6%) и Судане (2,4%). В то же время Казахстан (2,1%) и Сирия (2,1%) потеряли приблизительно по 1,1 процентного пункта, заняв соответственно восьмое и девятое места. Закрывает TOP 10 Зимбабве (2%), а 11-ю позицию в рейтинге занимает Литва (1,8%), где количество пострадавших выросло на 1 процентный пункт.

Типы атакованных пользователей

Данные нашего исследования подтверждают гипотезу о том, что жертвами финансовых вредоносных программ все чаще становятся компании, а не физические лица. С 2020 по 2021 год доля корпоративных пользователей, атакованных банковскими зловредами, выросла почти на 2 процентных пункта, а ее общий рост в период между 2018 и 2021 гг. составил 13,7 процентного пункта. Однако в последнее время (по сравнению с периодом до пандемии) темпы роста этой доли заметно снизились, и общая доля пострадавших от финансового вредоносного ПО среди физических лиц все еще больше, чем в корпоративном секторе: в 2021 году этот показатель составил 62,2% и 37,8% соответственно.

Распределение атак с использованием вредоносного ПО для ПК по типам пользователей (среди физических лиц и корпоративных клиентов), 2020–2021 гг. (скачать)

Мы связываем это с переходом на удаленный и гибридный режимы работы. Несмотря на ослабление ограничений, введенных во время пандемии, многие компании решили не возвращаться в офисы. В то же время некоторые сотрудники были вынуждены использовать для рабочих целей домашние устройства, защищенные решениями для физических лиц. Таким образом, вредоносные письма, полученные этими людьми на личную или корпоративную почту, засчитывались как атаки на частных пользователей. Это значит, что киберпреступники могут быть заинтересованы в корпоративном секторе даже больше, чем показывают данные нашей статистики.

Банковские вредоносные программы для мобильных устройств

Специалисты «Лаборатории Касперского» в течение многих лет наблюдали за распространением банковского вредоносного ПО для Android и заметили резкую нисходящую тенденцию. С 2018 по 2019 год число владельцев устройств на базе Android, атакованных банковскими зловредами, сократилось с 1,8 млн человек до 675 тыс. В 2020 году оно снова уменьшилось на 55%, до 294 158 человек, а затем еще почти на половину: в 2021 году общее количество пользователей Android, атакованных банковским зловредами, составило 147 316 человек.

Количество уникальных пользователей Android, атакованных банковским вредоносным ПО, 2021 г. (скачать)

Для лучшего понимания этой тенденции мы проанализировали изменения в рейтинге наиболее популярного вредоносного ПО для мобильных устройств.

В 2021 году зловред Agent, на долю которого пришлось 26,9% атак, потеснил с первого места Asacub (18,8%), который на протяжении 2019 и 2020 годов возглавлял первую десятку, но в 2021 году потерял 6,8 процентного пункта и переместился на третью позицию. Вторым стал Svpeng (21,4%) — зловред, захватывающий права администратора на зараженных устройствах. С 2020 по 2021 год он увеличил свой рейтинг на 9 процентных пунктов, обойдя Asacub в первой тройке.

Зловред Rotexy (1,6%), сочетающий функционал банковского троянца и блокировщика, в 2020 году был третьим по распространенности вредоносным банковским ПО для Android — на его долю приходилось 17,9% атак. Однако в 2021 году Rotexy потерял 16,3 процентного пункта и переместился на десятое место.

TOP 10 семейств банковского вредоносного ПО для Android, 2021 г. (скачать)

География атак

TOP 10 стран и регионов с наибольшим числом пользователей Android, атакованных банковскими вредоносными программами в 2020 году:

^{* Процент пользователей, столкнувшихся с банковским вредоносным ПО, от общего количества пользователей решений «Лаборатории Касперского» для мобильных устройств в стране или регионе}

TOP 10 стран и регионов с наибольшим числом пользователей Android, атакованных банковскими вредоносными программами в 2021 году:

^{* Процент пользователей, столкнувшихся с банковским вредоносным ПО, от общего количества пользователей решений «Лаборатории Касперского» для мобильных устройств в стране или регионе}

Интересно, что Япония (2,18%), которая в 2019 году не входила даже в первую десятку, в 2020-м вырвалась на первое место и сохраняет эту позицию до настоящего момента. Россия, в 2019 году занимавшая в этом рейтинге первое место, а в 2020-м — уже седьмое, покинула первую десятку. То же произошло и с Тайванем, который в 2020 году занимал второе место в рейтинге. Южная Корея, Таджикистан и Польша также опустились ниже в списке. На их место пришли пять новичков: Франция (0,57%), Германия (0,46%), Норвегия (0,31%), Хорватия (0,28%) и Австрия (0,28%).

Заключение

В 2021 году количество пользователей, пострадавших от вредоносного ПО для ПК и мобильных устройств, снова уменьшилось. Это обнадеживает, однако риск заражения все еще остается далеко не нулевым. Более того, мы зарегистрировали небольшой прирост доли атак на корпоративных пользователей. Не стоит недооценивать эту тенденцию, особенно учитывая, что сотрудники некоторых компаний используют личные устройства для доступа к корпоративным ресурсам.

Как видно из нашего исследования, начиная с 2020 года мошенники все чаще ищут жертв среди клиентов интернет-магазинов и банков. Эта тенденция обусловлена устойчивыми изменениями в потребительском поведении, связанными с пандемией COVID-19. Они включают, в том числе, рост популярности онлайн-шопинга в сравнении с покупками в традиционных магазинах. По мнению экономистов, этот эффект сохранится и после завершения пандемии. Владельцам криптовалюты тоже следует быть начеку: пока курс биткоина остается высоким, их кошельки — желанная цель для киберпреступников.

Для защиты от финансовых угроз «Лаборатория Касперского» рекомендует пользователям следующее:

• Устанавливайте приложения только из надежных источников.
• Прежде чем предоставить приложению запрошенные права и разрешения, убедитесь, что они ему действительно необходимы.
• Никогда не переходите по ссылкам и не открывайте документы, прикрепленные к сообщениям, которых вы не ждали и которые выглядят подозрительно.
• Установите надежное защитное решение, например Kaspersky Security Cloud, которое обезопасит вас и вашу цифровую инфраструктуру от широкого спектра финансовых киберугроз.

Для защиты бизнеса от финансовых вредоносных программ специалисты «Лаборатории Касперского» по безопасности рекомендуют следующее:

• Проводите тренинги по кибербезопасности— особенно для сотрудников, ответственных за финансовый учет — чтобы научить их отличать фишинговые страницы.
• Повышайте цифровую грамотность персонала.
• Установите политику «запрет по умолчанию» для критически важных пользователей — например, для финансовых подразделений — чтобы они могли посещать только легитимные веб-сайты.
• Устанавливайте последние обновления и исправления для всего используемого ПО.