Kaspersky Security Bulletin

Финансовые киберугрозы в 2013 году. Часть 1: фишинг

  1. Финансовые киберугрозы в 2013 году. Часть 1: фишинг
  2. Финансовые киберугрозы в 2013 году. Часть 2: вредоносное ПО

Введение: электронные деньги и риски

Киберпреступники, промышляющие похищением денег со счетов пользователей онлайн-магазинов, платежных систем и систем интернет-банкинга, действуют не первый год. Однако долгое время сфера деятельности финансовых мошенников была ограничена рядом факторов, прежде всего, сравнительно небольшим распространением электронных платежных средств.

В последние годы электронные деньги обретают все большее значение. Удобство и повсеместная доступность электронных платежных систем и сервисов онлайн-банкинга привлекают огромное количество пользователей, а регуляторы финансовой сферы и банки многих стран всерьез рассматривают возможности полного отказа от наличного оборота денег в национальных экономиках в пользу безналичных расчетов. Статистика, полученная в ходе глобального опроса, проведенного агентством B2B International совместно с «Лабораторией Касперского» в 2013 году, подтверждает факт растущей популярности цифровых платежей: 98% респондентов сообщили, что регулярно пользуются онлайн-банкингом, платежными системами или интернет-магазинами.

Тенденция перехода к безналичным расчетам сопровождается увеличением количества устройств, с которых осуществляются финансовые транзакции. По данным того же исследования, ПК и ноутбуки остаются «главными» устройствами, с помощью которых пользователи взаимодействуют с финансовыми сервисами — 87% респондентов сказали, что осуществляют операции с электронными деньгами, используя настольный или портативный компьютер. Однако доля мобильных устройств, используемых для тех же целей, тоже значительна: финансовые операции с помощью планшетов или смартфонов осуществляют 22% и 27% опрошенных соответственно.

Все эти тенденции не остались без внимания злоумышленников. Стремительный рост числа пользователей всевозможных электронных платежных систем привлекает преступников, и они инвестируют все больше ресурсов в мошеннические схемы, реализация которых позволяет получить доступ сначала к финансовым данным, а потом — и к самим деньгам пользователей. Хотя финансовые атаки являются одним из наиболее сложных и дорогих в реализации типов атак, они же входят в число наиболее прибыльных видов киберпреступлений, поскольку в случае успеха предоставляют прямой доступ к деньгам жертвы. Все, что остается сделать — вывести их и обналичить, в то время как, например, автору вредоносного ПО или владельцу бот-сети для DDoS-атак или рассылки спама еще нужно найти покупателей на свои услуги..

«Лаборатория Касперского» более 16 лет занимается разработкой средств для защиты от всевозможных кибератак, включая финансовые. Процесс разработки подобных технологий невозможен без постоянного детального анализа новых образцов вредоносного ПО, приемов социальной инженерии и других инструментов, широко используемых преступниками, промышляющими финансовым мошенничеством. Один из самых общих выводов, который можно сделать по итогам этого анализа, заключается в том, что в отличие от многих других типов атак, финансовые вредоносные атаки, как правило, включают в себя набор самых разнообразных средств: от фишинговых страничек, имитирующих страницы сайтов легальных финансовых учреждений, до использования уязвимостей в популярном ПО и написанных на заказ вредоносных программ.

Поскольку финансовые кибератаки являются комплексными, анализ их влияния на уровень безопасности пользователей Сети требует комплексного подхода. Именно поэтому при подготовке данного отчета эксперты «Лаборатории Касперского» учитывали не только Windows-угрозы, но и угрозы, нацеленные на платформы OS X и Android; не только «специализированное» вредоносное ПО, но и другие программы, потенциально способные похищать финансовые данные; не только распространение опасных троянских программ, но и фишинговые атаки, которые могут служить эффективным средством для выманивания ценных финансовых данных. По мнению «Лаборатории Касперского», только такой комплексный подход позволяет достигнуть цели данного отчета — дать максимально широкую картину ландшафта киберугроз, нацеленных на онлайн-финансы, а кроме того — попытаться оценить масштаб опасности, которую несут с собой подобные киберугрозы.

Методология отчета

В отчете использовались данные, полученные от пользователей Kaspersky Security Network — распределенной глобальной облачной инфраструктуры, предназначенной для оперативной обработки данных об угрозах, с которыми столкнулись пользователи продуктов «Лаборатории Касперского». Kaspersky Security Network была создана для того, чтобы максимально быстро доставлять пользователям продуктов компании информацию о самых новых угрозах. Благодаря этой сети, временной промежуток между обнаружением неизвестной ранее угрозы и добавлением сигнатуры для этой угрозы в базы исчисляется минутами. Другая функция Kaspersky Security Network — обработка деперсонализированной статистики об угрозах, попадающих на компьютер пользователей. Пользователи предоставляют данные в Kaspersky Security Network на добровольной основе. Сведения, полученные от этих пользователей, легли в основу данного отчета.

В рамках отчета учитывалась информация о количестве срабатываний компонентов продуктов «Лаборатории Касперского», защищающих от фишинга (на платформах Microsoft Windows и Apple OS X), вредоносного ПО (на платформе Windows) и мобильного вредоносного ПО (на платформе Google Android). Кроме того, в случае с теми защитными подсистемами продуктов «Лаборатории Касперского», которые предоставляют такую возможность, учитывалась также статистика атакованных пользователей. Кроме того, в отчете анализируются данные о географии атак и их интенсивности.

Исследование охватывает весь 2013 год, а для сравнения используются данные, собранные в 2012-м году. В качестве предмета исследования были избраны цели фишинговых кампаний — количество заблокированных загрузок фальшивых страниц платежных систем, систем онлайн-банкинга, интернет-магазинов и других финансовых целей. Кроме того, эксперты «Лаборатории Касперского» отобрали несколько десятков образцов вредоносного ПО, созданного специально для похищения финансовых данных и проанализировали степень их распространенности за исследуемый период.

Поскольку в 2013 году крайне популярной стала криптовалюта Bitcoin, эксперты «Лаборатории Касперского» выделили в отдельную категорию угрозы, связанные с генерацией и похищением этой валюты, и проследили за их эволюцией.

Цифры

Согласно данным, полученным от защитных подсистем продуктов «Лаборатории Касперского», в 2013 году количество атак финансовой направленности заметно увеличилось.

Основные цифры, полученные в ходе исследования, выглядят следующим образом:

  • 31,45% всех фишинговых атак в 2013 году пришлась на финансовый сектор.
  • 22,2% всех атак пришлось на поддельные сайты банков; доля банковского фишинга по сравнению с 2012 годом удвоилась.
  • 59,5% банковских фишинговых атак эксплуатировали имена всего 25 международных банков Остальные атаки пришлись на более чем 1000 других банков.
  • 38,92% всех срабатываний защитных технологий «Лаборатории Касперского» на компьютерах Mac пришлось на «финансовые» фишинговые страницы.

Далее в тексте исследования мы рассмотрим подробнее динамику атак, а также их географию и список целей.

Фишинговые угрозы

Фишинг или создание фальшивых копий сайтов с целью получения конфиденциальных данных пользователей, весьма распространенная киберугроза. Во многом это связано с тем, что для развертывания простейшей фишинговой кампании киберпреступнику не нужно обладать специфическими знаниями в области программирования — достаточно лишь навыков создания веб-страниц. Основная цель фишинга — убедить жертву в том, что она зашла на настоящий, а не на поддельный сайт. Нередко такие попытки оказываются успешными и потому фишинговые кампании часто используются и в качестве основного инструмента для получения важных сведений о пользователях, и как часть сложной атаки — для привлечения пользователей на сайт, с которого на их устройства будет загружено вредоносное ПО.

Как выяснилось в результате нашего исследования, фишинговые страницы очень часто используются в кибератаках, направленных на похищение финансовых данных пользователей. Но прежде чем приступить к подробному анализу этих атак, полезным будет представить общую картину фишинговых угроз в 2013 году.

Атаки и пользователи

Защитные продукты «Лаборатории Касперского» имеют четыре подсистемы для защиты от фишинговых атак. Антифишинговые базы — подобные базам сигнатур вредоносных файлов — хранятся на устройствах пользователей и содержат перечень наиболее распространенных и актуальных на момент выпуска баз фишинговых ссылок. Вторая подсистема — облачная антифишинговая база, к которой защитные продукты «Лаборатории Касперского» обращаются в случае, если пользователь столкнулся с подозрительной ссылкой, информации о которой еще нет в локальной антифишинговой базе. Облачная база обновляется быстрее локальных и предназначена для обнаружения самых новых фишинговых атак.

Помимо этого, в продуктах «Лаборатории Касперского» работают две автоматические системы детектирования фишинговых ссылок и страниц: почтовая и веб-система. Почтовая система проверяет ссылки в сообщениях электронной почты пользователя, если он работает с одним из популярных почтовых клиентов у себя на компьютере (Microsoft Outlook и др.). Автоматическая система веб-детектирования проверяет все, что появляется в браузере пользователя, руководствуясь набором эвристических правил, и способна обнаружить абсолютно новые фишинговые страницы, информации о которых нет ни в одной из баз.

Для данного отчета «Лаборатория Касперского» использовала данные, полученные только от системы веб-детектирования, поскольку, как правило, она срабатывает лишь в том случае, если информация о новой фишинговой странице отсутствует в базах «Лаборатории Касперского», а кроме того, в отличие от локальных и облачных баз, позволяет определить цель фишинговой атаки. Кроме того, если антифишинговые базы способны распознать фишинговую атаку просто по наличию ссылки в письме или в поисковой выдаче Google, то автоматическая система веб-детектирования срабатывает в момент перехода пользователя по ссылке, то есть в тот момент, когда человек уже частично оказывается втянут в мошенническую схему, подготовленную злоумышленниками.

Доля атак, заблокированных эвристическим Веб-антифишингом в 2013 году

По данным «Лаборатории Касперского», в 2013 году около 39,6 миллиона пользователей столкнулись с фишингом. По сравнению с 2012 годом эта цифра немного увеличилась — на 2,32%.

Всего со всех защитных подсистем Антифишинга «Лаборатории Касперского» пришло более 600 миллионов уведомлений о столкновении наших пользователей с фишинговыми ссылками и страницами. В 2012 году эта цифра была сопоставима. При этом количество атак, заблокированных эвристическим веб-антифишингом, заметно выросло за тот же период — на 22,2%, с 270 миллионов в 2012 году примерно до 330 миллионов в 2013 году. Это связано в том числе с постоянным улучшением системы эвристического детектирования.

География атак

В 2013 году большинство заблокированных «Лабораторией Касперского» фишинговых атак пришлось на США: пользователи из этой страны приняли на себя 30,8% всех атак. Следом идут Россия (11,2% атак) и Германия (9,32%).

Наиболее часто атакуемые страны в 2013 г.

Здесь и далее данные из Kaspersky Security Network

По сравнению с 2012 в топе наиболее часто атакуемых стран произошли значительные изменения. Например, доля атак против пользователей из России снизилась на 9,19 процентных пункта, а доля атак против пользователей из США, напротив, значительно увеличилась: с 17,56% в 2012 году до 30,8% в 2013 году. Также, на 3,49 п. п. увеличилась доля атак на пользователей из Германии, с 5,83% до 9,32%.

Причин у такого географического распределения атакможет быть множество. В предыдущих исследованиях мы уже сталкивались с сокращением числа атак в ряде стран и увеличением в других. На снижение числа атак может повлиять такой фактор, как усиление мер по борьбе с киберпреступностью, усложнение процедуры регистрации доменных имен и т. д. Рост атак может быть спровоцирован «естественным» ростом общего числа пользователей Интернета и отдельных веб-ресурсов: социальных сетей, интернет-магазинов и др. Чем чаще пользователи в отдельно взятой стране загружают веб-страницы, тем выше у них риск столкнуться с фишинговыми страницами.

Цели

Как видно на графике ниже, большая часть атак в 2013 году пришлась на социальные сети — около 35,4%. На финансово-ориентированные фишинговые цели — поддельные сайты банков, платежных систем и интернет-магазинов — пришлось 31,45% атак. На третьем месте, с 23,3%– почтовые сервисы.

Цели фишинговых атак в распределении по типам в 2013 году

Примечательно, что по сравнению с 2012 годом, распределение целей по типам серьезно изменилось. Доля атак с использованием фальшивых страниц социальных сетей увеличилась на 6,79 п. п., до 35,39%, доля финансовых атак — на 8,5 п. п., до 31,45%. При этом уменьшилась доля атак с использованием фальшивых сайтов почтовых сервисов — на 10,5 п. п., до 23,3% и онлайн-игр — с 3,14% в 2012 году до 2,33% в 2013.

Цели фишинговых атак в распределении по типам в 2012 и 2013 гг

Очевидно, что наиболее заметно в 2013 году по сравнению с 2012-м увеличилась доля финансовых атак, что дает повод для более детального анализа динамики подобных атак.

Финансовые атаки: опасная тенденция

В 2012 году из 22,95% фишинговых атак, пришедшихся на всевозможные финансовые сервисы, 11,92% атак относились к подделке сайтов банков и систем онлайн-банкинга, 5,66% — сайтов интернет-магазинов и 5,37% — сайтов платежных систем.

Финансовые фишинговые атаки в 2012 г

Однако в 2013 году в распределении атак внутри категории Online finance произошли значительные изменения. Доля фишинга, нацеленного на банки, увеличилась практически вдвое, до 22,2%, немного увеличилась доля интернет-магазинов — с 5,66% до 6,51%, а вот доля платежных систем снизилась на 2,63 п. п. Вывод очевиден: злоумышленники все чаще обращают внимание на банковские веб-сервисы, эта тенденция одна из наиболее ярко выраженных в сфере фишинговых угроз.

Финансовые фишинговые атаки в 2013 г

Не менее явно тенденция просматривается, если взглянуть на финансовый фишинг в отдельности от всех остальных категорий. На фальшивые страницы банков в 2013 году пришлось 70,59% всех срабатываний веб-антифишинга «Лаборатории Касперского» в категории Online Finance, в то время как годом ранее доля банковского фишинга в общем пироге финансовых фишинговых угроз составляла 51,95%.

Доля атак на онлайн-магазины снизилась с 24,66% в 2012 году до 20,71% в 2013 году, а доля атак на платежные системы — с 23,39% до 8,7%.

Финансовый фишинг в 2012 г | Финансовый фишинг в 2013 г

Финансовый фишинг в деталях

Банки

Хотя в антифишинговых базах «Лаборатории Касперского» содержится более тысячи наименований банков, которые были атакованы или из-за своей популярности рискуют быть атакованы преступниками в будущем, подавляющее большинство всех фишинговых атак с использованием фальшивых страниц банков, эксплуатировали названия всего 25 организаций, работающих в банковской сфере.

На эти 25 банков в 2013 году пришлось около 59,5% всех «банковских» атак. Однако следует отметить, что большая часть этого списка — крупнейшие международные банковские бренды, работающие в десятках стран по всему миру. Широкая распространенность и узнаваемость брендов — один из главных инструментов злоумышленников, промышляющих фишингом, ведь чем популярнее бренд, тем проще преступникам привлечь пользователей на фальшивый сайт с его именем.

Атаки с упоминанием брендов банков в 2013 г.

Платежные системы

Как и в случае с атаками на банки, в распределении атак на платежные системы большую роль играет узнаваемость бренда — почти 90% фишинговых атак против платежных систем пришлось на один из пяти интернациональных брендов: PayPal, American Express, MasterCard International, Visa или Western Union.

Атаки с упоминанием платежных систем в 2013 г

PayPal, будучи исключительно популярной системой денежных платежей в Интернете, пользуется стабильной популярностью и среди злоумышленников — на эту систему пришлось 44,12% атак.

Пример фишинговой страницы, имитирующей сайт платежной системы PayPal

Значительная доля атак пришлась на American Express — 26,26%. Страницы платежных систем MasterCard International и Visa Inc. подделываются злоумышленниками значительно реже, на эти системы пришлось 11,63% и 6,36% атак соответственно.

Пример фишинговой страницы, имитирующей сайт платежной системы Visa

Онлайн-магазины

В категории «онлайн-магазины» уже не первый год «лидерство» по количеству атак удерживают фишинговые страницы и ссылки, на которых упоминается интернет-магазин Amazon.com (61,11%).

Пример поддельной страницы интернет-магазина Amazon, нацеленной на пользователей из Германии

Будучи крупнейшим в мире интернет-магазином с широчайшим перечнем товаров, Amazon знаком многим пользователям и потому пользуется неизменной популярностью у злоумышленников, создающих фальшивые страницы.

Значительную долю (12,89%) составляют атаки, использующие бренд Apple, — как правило, злоумышленники стараются имитировать интернет-магазины устройств Apple, а кроме того магазины приложений и контента App Store и iTunes Store.

Атаки с упоминанием популярных онлайн-магазинов в 2013 г.

Среди традиционно атакуемых целей — интернет-аукцион eBay (12%). Все чаще атакуют и известный китайский интернет-магазин Alibaba (4,34%), а кроме того, в 2013 году к нему присоединился еще один китайский интернет-магазин Taobao (1,26%). Почти 3% всех атак на онлайн-магазины пришлось на MercadoLibre.com — южноамериканский аналог eBay. Данная диаграмма наглядно демонстрирует «интернациональность» финансового фишинга. Как видно, жертвами атак могут стать не только англоговорящие пользователи, но и люди, для которых родной язык китайский, испанский, португальский и многие другие.

Динамика атак в деталях

Профессиональная деятельность и маркетинговая активность компании, имя которой злоумышленники используют в фишинговых схемах, также влияет на количество атак.

Наглядно эту тенденцию можно продемонстрировать на примере графика атак, в которых использовалось название компании Apple и ее продуктов.

Атаки с упоминанием бренда Apple во второй половине 2013 г.

В течение почти всего года динамика срабатываний защитных технологий «Лаборатории Касперского» на угрозы, эксплуатирующие торговую марку Apple, представляла собой череду пиков и падений в пределах от 1 до 2,5 тысяч срабатываний в день, однако, как видно на графике выше, в истории атак было два заметных максимума, которые по датам точно совпали с анонсом смартфонов iPhone 5s и 5c (10 сентября 2013 года) и планшетов iPad Air и iPad Mini c retina-дисплеем (22 октября 2013 года).

Логика в данном случае понятна: техника Apple — это всегда горячая тема для новостей и обсуждений в интернете, а в преддверии анонсов новых продуктов — особенно. Для злоумышленника использование «горячих» ключевых слов — это обычный способ привлечения аудитории на фальшивые сайты и, как видно на графике, способ этот работает.

Apple — не единственная цель фишеров, количество атак на которую меняется в зависимости от маркетинговой деятельности компании. Наряду со стихийными бедствиями и крупными международными событиями, активное освещение которых в СМИ и обсуждение в Интернете дает толчок для появления так называемого тематического фишинга и спама, масштабная маркетинговая кампания банка, интернет-магазина или другой торговой или финансовой организации может стать поводом для фишинга.

Закономерный вывод для банков, платежных систем и других финансовых организаций, регулярно проводящих маркетинговые акции в Интернете, прост: вместе с рекламной кампанией по привлечению новых клиентов, нужно начинать кампанию по информированию клиентов о возможных киберугрозах.

Фишинг против пользователей OS X: первые признаки растущей угрозы

Количество вредоносных атак на владельцев компьютеров под управлением операционной системы OS X всегда было в несколько раз ниже, чем количество атак против Windows-пользователей, что объясняется крайне просто: хотя Apple активно продвигает свои компьютеры и ноутбуки Mac во всех странах мира, количество пользователей таких устройств не идет ни в какое сравнение с числом ПК на Windows. Ведомые стремлением получить максимальную прибыль, преступники закономерно обращают большее внимание на пользователей Windows. Однако это утверждение справедливо, только когда речь идет о вредоносных программах. Злоумышленнику не нужно делать ничего особенного, чтобы атаковать пользователя Mac с помощью фишинга, поскольку хоть операционные системы Windows и OS X и имеют принципиальные различия, не позволяющие писать «универсальное» вредоносное ПО для обеих платформ, пользователи и ПК и Mac загружают одни и те же веб-страницы и фишинговые угрозы, распространяемые методами социальной инженерии, для пользователей Mac актуальнее не менее, чем для пользователей ПК. Результаты исследования «Лаборатории Касперского» подтвердили этот факт.

Однако прежде необходимо сделать важное замечание: по техническим причинам «Лаборатория Касперского» имеет возможность собирать релевантную статистику от пользователей Mac лишь с ноября 2013 года, и вся информация в этом исследовании, относящаяся к Mac, собрана за период с ноября по декабрь 2013 года. И хотя период наблюдения невелик, полученные за это время данные позволяют получить некоторое представление о ландшафте угроз для пользователей платформы OS X и отметить, в чем отличие по сравнению с «общей» картиной.

В 2013 году 7,8% срабатываний защитных технологий»Лаборатории Касперского» произошло на продуктах компании для защиты компьютеров Mac. Почти половина всех атак пришлась на пользователей из США (47,55%), 11,53% атак зафиксировано в Германии, 5,47% — в Великобритании. Также в списке самых атакуемых стран появились Швеция и Австралия..

Наиболее часто атакуемые страны: только пользователи Mac

Различия в распределении атак по странам можно объяснить более широкой распространенностью компьютеров Apple именно в этих государствах. Традиционно США и развитые европейские страны являются крупнейшими рынками сбыта техники компании Apple.

За исследуемый период примерно 38,92% всех срабатываний веб-антифишинга «Лаборатории Касперского» на компьютерах Apple пришлось на «финансовые» фишинговые страницы, что почти на 7,5% больше, чем «финансовая» доля в общем объема атак. При этом большинство инцидентов — 29,86% пришлось на столкновения пользователей с фальшивыми сайтами банков, в то время как на онлайн-магазины и аукционы пришлось 6,6% срабатываний, а на платежные системы — 2,46%.

Финансовый фишинг: атаки против пользователей Mac

Цифры говорят о том, что владельцы Mac сталкиваются с фишинговыми атаками так же часто, как и пользователи ПК на Windows, а вероятность стать жертвой финансовой атаки у них даже выше.

Таким был 2013 год в сфере финансового фишинга с точки зрения экспертов «Лаборатории Касперского». И хотя фишинг — довольно распространенная угроза, когда речь заходит о финансовых киберпреступлениях, она выступает лишь сравнительно небольшой составной частью общего ландшафта финансовых киберугроз. Главную роль в этой сфере играет финансовое вредоносное ПО — опасное программное обеспечение, способное незаметно для пользователя добывать реквизиты для доступа к онлайн-счетам жертвы и похищать сами деньги. Об этом — следующая часть отчета «Лаборатории Касперского».

Продолжение следует…

Финансовые киберугрозы в 2013 году. Часть 1: фишинг

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике