Спам и фишинг

Осторожно, Новый год!

Предновогодний спам

Легкие деньги

Накануне новогодних праздников мошеннические рассылки с упоминанием быстрого заработка, выигрышей в лотерею и других денежных сюрпризов становятся особенно популярными. Тем более, что актуализировать избитую схему очень просто: достаточно лишь добавить в тему писем упоминание праздника.

Например, в рассылке с темой Xsmas gift или Xmas offer мошенники сообщают о некоем «специальном пожертвовании» и предлагают связаться с ними по указанному электронному адресу, чтобы узнать подробности. Если пользователь согласится, у него будут выманивать деньги методами социальной инженерии.

Мошенники очень настойчиво предлагают жертвам «рождественский подарок»

Еще одна «рождественская» схема нацелена на кражу криптовалюты: мошенники предлагают заработать к праздникам некоторое количество биткойнов с помощью некоего секретного ПО, которое можно скачать по ссылке:

 

После скачивания и запуска «секретной программы» (зловред Hoax.Win32.Agent.gen.) пользователю предлагается ввести данные своего криптокошелька и подождать, пока выполняется запрос.

После этого пользователя информируют, что криптовалюта поступит на его счет сразу после того, как он оплатит комиссию за перевод. Итог предсказуем: никаких «заработанных» биткойнов пользователь не получает, а «комиссия» уходит мошенникам.

Вымогательство

Типовые вымогательские схемы тоже адаптируют под праздники. Так, авторы этой рассылки обещают испортить жертве Рождество, обнародовав некие файлы, подтверждающие ее склонность к педофилии. Чтобы этого не произошло, получателю нужно перевести вымогателям эквивалент $5000 в биткойнах:

Вредоносные рассылки и корпоративный сектор

Не остаются без внимания злоумышленников и корпоративные почтовые адреса. Чтобы выудить у получателя конфиденциальную информацию или установить вредоносное ПО, мошенники маскируют письма с опасным содержимым под деловую переписку. В период подготовки к праздникам, когда объемы продаж возрастают, в зоне особого риска оказывается ритейл, а письма с вредоносными вложениями (DOC или XLS) выдаются за часть переписки, посвященной предпраздничным заказам товара.

Например, во вложении этого письма скрывается Trojan- Downloader.MSOffice.SLoad.sb, который в свою очередь скачивает на компьютер жертвы другое вредоносное ПО:

Вредоносные вложения также могут маскироваться под счета и платежи. В данном случае архив, приложенный к письму, на самом деле содержит стилер Trojan-PSW.MSIL.Agensla.hdt, который собирает логины и пароли, после чего отправляет их мошенникам:

Статистика

Доля спама в мировом почтовом трафике постепенно росла в течение всего четвертого квартала и в декабре составила 57,26%, то есть почти достигла максимального за вторую половину 2019 года значения в 57,78% (его мы зафиксировали в августе).

Доля спама в мировом почтовом трафике, третий и четвертый кварталы 2019 г. (cкачать)

В России наблюдалась похожая картина, однако осенью рост был менее выраженным: с сентября по ноябрь объем спам-трафика вырос всего на 0,86 п. п. (в то время как в мире — на 1,14 п. п.) и достиг 51,15% от общего количества писем. Зато в последний месяц года доля спама подскочила сразу на 3,36 п. п. (в мире рост в этот период составил всего 1,44 п. п.) и превысила даже летние показатели (54,51% в декабре против 53,5% в июле и 53,76% в августе). Скорее всего, такой резкий взлет объясняется традиционной предновогодней активностью спамеров.

Доля спама в российском почтовом трафике, третий и четвертый кварталы 2019 г. (скачать)

В Азиатско-Тихоокеанском регионе в целом мы также наблюдали рост количества спама в почтовом трафике с сентября (50,19%) по декабрь (52,62%) — как видно на диаграмме, довольно плавный. При этом пикового значения объем мусорных писем достиг в январе — их доля составила 55,48%. Скорее всего, это связано с лунным Новым годом, который отмечают в большинстве стран региона и который в этом году пришелся на 25 января.

Доля спама в почтовом трафике Азиатско-Тихоокеанского региона, июль 2019 г. — январь 2020 г. (скачать)

Праздники в фишинге

Поддельные сайты

На поддельные страницы фишеры заманивали пользователей, обещая выгодные условия, скидки и подарки. К примеру, они пытались получить доступ к аккаунтам Amazon Prime, предлагая от имени сервиса различные рождественские акции, для участия в которых необходимо ввести логин и пароль от своего аккаунта.

Помимо копий реальных онлайн-площадок, накануне праздников в сети появлялись несуществующие магазины, предлагающие огромные скидки. Обычно в их каталоге представлен очень ограниченный ассортимент продукции премиум-класса, а сам сайт больше похож на «посадочную страницу». Одним из характерных атрибутов таких ресурсов является счетчик, показывающий время до окончания «акции».

Кроме дорогих товаров мошенники предлагают средства для повышения потенции — тоже с большими скидками. Ассортимент «медицинских магазинов» не отличается разнообразием:

Если проверить данные о домене, можно увидеть, что он зарегистрирован совсем недавно, что также является маркером подделки.

Не забыли мошенники и о геймерах. Так, мы обнаружили фишинговые страницы, имитирующие сайт многопользовательской игры Warface. На одной из подделок геймерам в честь Нового года обещали 30 дней бесплатного использования мощного оружия, на другой — дарили золотую винтовку за вступление в ряды помощников Деда Мороза. В обоих случаях для получения приза требуется ввести логин и пароль на поддельной странице входа, после чего мошенники получают доступ к учетной записи. Если у жертвы был высокий ранг в игре и уникальное (платное) оружие, ее аккаунт можно выгодно продать.

Денежные подарки

Создатели мошеннических сайтов, обещающих жертвам легкие деньги, также перелицевали свои площадки к праздникам: они предлагали новогодние выплаты малоимущим, спонсорские подарки, розыгрыши и т. д. Как обычно в таких случаях, посетителю предлагается выполнить несложное задание, например пройти опрос и ввести некоторые данные о себе. После того как на экране появится готовая к зачислению пятизначная сумма, жертве предложат оплатить сервисный сбор или комиссию за перевод средств, которые, разумеется, уходят мошенникам.

Для большей убедительности злоумышленники размещают на видных местах информационные блоки, роль которых — подтолкнуть жертву к действиям: объявления об ограниченном характере предложения, количество посетителей на сайте, якобы уже заполняющих анкету, или счетчик, ведущий обратный отсчет «бонусов»:

Не обходят фишеры вниманием и криптолюбителей. В преддверии Рождества нам на глаза попалась схема с «праздничной раздачей» биткойнов и «эфира» от имени криптобиржи Binance. Разумеется, чтобы получить подарок, нужно подтвердить участие, переведя «организаторам» 5 BTC или 50 ETH.

Для распространения информации об «акции» мошенники разместили на платформе Medium соответствующую статью, опубликовав под ней десятки восторженных комментариев от пользователей, якобы уже получивших выигрыш.

Статистика

В четвертом квартале 2019 года доля атак, нацеленных на кражу финансовых данных и аккаунтов в онлайн-банках и интернет-магазинах, в общем числе фишинговых атак составила 52,61%. Это превышает и показатель предыдущего квартала (43,19%), и показатель за весь год (51,4%). Похожую ситуацию мы наблюдали в 2018-м и 2017-м, с той только разницей, что в прошлом году скачок был более заметным — с 44,67% в среднем за год и 34,67% в третьем квартале до 51,18% в четвертом.

Доля фишинговых атак на онлайн-магазины и финансовые сервисы в четвертом квартале и в течение года: данные за 2017, 2018 и 2019 гг. (скачать)

Любопытно, что к концу 2019 года мошенники отчасти утратили интерес к сервисам электронных платежей. Впервые за три года в четвертом квартале доля фишинговых атак на такие ресурсы снизилась по сравнению с предыдущим отчетным периодом на 1,21 п. п. и составила 14%.

Доля фишинговых атак на онлайн-магазины и финансовые сервисы в третьем и четвертом квартале 2017, 2018 и 2019 гг. (скачать)

При этом популярность нефинансовых категорий веб-сайтов тоже упала, и в рейтинге самых популярных мишеней в последнем квартале платежные сервисы поднялись с четвертого на третье место, сместив социальные сети и блоги, которые атаковали только в 5,89% случаев. В лидеры по количеству фишинговых атак вышли ресурсы банков (29,73%), обогнав глобальные интернет-порталы (22,81%), которые возглавляли рейтинг в предыдущем квартале (23,81%).

Распределение организаций, чьи пользователи были атакованы фишерами, по категориям, четвертый квартал 2019 г. (скачать)

Мы проанализировали количество атак на крупные торговые площадки за период с 11 ноября по 31 декабря. Количество атак в это время ожидаемо подскочило в преддверии Черной пятницы, которая пришлась на 29 ноября, и оставалось на высоком уровне до самых новогодних праздников. В частности, число фишинговых схем с использованием бренда Ebay с середины ноября удерживалось на уровне 1% (от общего количества атак с использованием бренда за указанный период), к 27 ноября этот показатель составил 3,15%, а ко 2 декабря он вырос почти на полтора процентных пункта и составил 4,63%.

Распределение фишинговых атак с использованием бренда Ebay по дням, 11.11.2019 — 31.12.2019 гг. (скачать)

С брендом Alibaba наблюдалась похожая картина: количество атак заметно выросло 27 ноября и достигло пика 4 декабря. В обоих случаях в середине декабря произошел кратковременный перерыв в активности мошенников: 15 декабря она упала практически до нуля, но по мере приближения Рождества и Нового года опять выросла.

Распределение фишинговых атак с использованием бренда Alibaba по дням, 11.11.2019 — 31.12.2019 гг. (скачать)

Советы и рекомендации

Чтобы не попасться на уловки мошенников, нужно с осторожностью относиться к любым предложениям легкого заработка (особенно в предпраздничные дни).

Если вы потребитель:

  • Помните, что бесплатный сыр бывает только в мышеловке. Если вам неожиданно предлагают какие-то выплаты и компенсации, обещают большие деньги за прохождение опроса или огромные скидки на люксовые товары — стоит насторожиться.
  • Не переходите по ссылкам из писем, объявлений и сообщений в соцсетях, если у вас есть хотя бы малейшие сомнения.
  • Критически относитесь к незнакомым сайтам, на которых собираетесь делать покупку. Если в онлайн-магазине мало товаров, он может оказаться ненастоящим. Если URL известного сайта кажется вам странным — это тоже повод для беспокойства.
  • Не устанавливайте ПО из неизвестных источников, которое рекламируют в почтовых рассылках.
  • Используйте надежное защитное решение.

Если вы сотрудник компании:

  • Критически относитесь ко входящим письмам от незнакомых людей. Чтобы распознать вредоносный контент среди деловой переписки, советуем в первую очередь обратить внимание на адрес отправителя и данные в автоподписи. Если они не совпадают, это должно вызвать подозрение. Нелишне также сравнить сведения из письма с информацией на сайте компании, от имени которой отправлено послание, — там, например, могут быть указаны совершенно другие контакты.

Осторожно, Новый год!

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике