Публикации

Обманщики в социальных сетях

Какие ресурсы чаще всего привлекают мошенников в интернете? Такие, где одним махом они могут охватить максимальное количество пользователей и, соответственно, получить максимальную прибыль. На сегодняшний день практически все пользователи интернета имеют аккаунт в той или иной социальной сети (а зачастую в нескольких социальных сервисах одновременно), что и делает подобные сайты такими популярными среди мошенников. Самой привлекательной для мошенников сетью является Facebook: по нашим данным в 2013 году на фальшивые страницы, имитирующие Facebook, пришлось почти 22% всех срабатываний эвристического компонента «Антифишинг».

Полезный аккаунт

На первый взгляд, кража аккаунтов в социальных сетях не должна сильно интересовать преступников, поскольку не приносит очевидной прибыли. Ведь мы не храним в Facebook свои сбережения, а наша личная информация, размещенная в социальной сети, интересует лишь наших друзей и близких. Но это только на первый взгляд. На практике доступ к аккаунтам пользователей Facebook (и любой другой социальной сети) может понадобиться мошенникам в следующих целях:

  • для дальнейшего распространения фишинговых ссылок. Использование реальных аккаунтов для фишинга более эффективно, чем создание для этой цели специальных аккаунтов-ботов. Ведь вероятность того, что пользователь кликнет, например, по ссылке на поддельную страницу банка, намного больше, если она придет не от неизвестного человека, а от друга по социальной сети.
  • для распространения вредоносных программ. Как и в случае с фишинговыми ссылками, пользователи социальных сетей охотнее загружают и открывают файлы, пришедшие от друзей по Facebook.
  • для рассылки спама по контактному листу жертвы, публикации спама на «стенах» друзей, где его смогут увидеть другие пользователи.
  • для вымогания денег у людей из списка друзей владельца взломанного аккаунта (распространение сообщений с просьбой перевести деньги под разными предлогами, например призыв о помощи).
  • для сбора информации о конкретных людях. Такая информация может использоваться в дальнейшем для целевых атак, в том числе для целевого фишинга.
  • для продажи украденных аккаунтов. Мошенники продают украденные аккаунты другим киберпреступникам, которые в свою очередь используют их для распространения спама, фишинговых ссылок или вредоносных программ.

Чаще всего фишеры используют последний вариант, наживаясь на продаже украденных данных.

Статистика

Согласно данным Kaspersky Security Network, в 2013 году у пользователей наших продуктов более 35% всех срабатываний эвристического компонента системы «Антифишинг» пришлось на фишинговые страницы, имитирующие страницы социальных сетей. Всего мы зафиксировали более 600 миллионов попыток захода наших пользователей на фишинговые страницы. При этом срабатывания на страницах, имитирующих оформление Facebook, составили 22%.

Эвристический компонент системы «Антифишинг» срабатывает, когда пользователь переходит по ссылке на фишинговую страницу, а информация об этой странице еще отсутствует в базах «Лаборатории Касперского». При этом неважно, каким образом совершается данный переход: в результате нажатия на ссылку в фишинговом письме, в сообщении в социальной сети или, например, в результате действия вредоносной программы. В результате срабатывания в браузере пользователь видит предупреждающий баннер о возможной угрозе.

facebookphishing1_ru_sm

Распределение срабатываний компонента «Антифишинг» за 2013 год

В начале первого квартала 2014 года ситуация несколько изменилась, и на первое место по срабатываниям вышел Yahoo. Однако Facebook по-прежнему держится в топе мишеней фишеров: в первом квартале 2014 года на фальшивые страницы этой соцсети пришлось 10,85% всех срабатываний эвристического компонента системы «Антифишинг».

Каждый день мы фиксируем более 20 тысяч попыток перехода пользователей на фишинговые страницы, имитирующие Facebook.

facebookphishing2

Количество срабатываний эвристического компонента системы «Антифишинг» на фальшивых страницах Facebook за один день

Больше всего срабатываний за день в США (1,5-7,5 тысяч), Канаде (1-2,5 тысячи) и Германии (2-4,5 тысячи). В России этот показатель пока не столь велик и не превышает 1 тысячи в день.

В 2013 году в Индии на фишинговые страницы Facebook пытались перейти 22% пользователей, во Франции – 14,56%, в США — 10,93%, в России — 1,5%.

Приманки

Как же пользователи попадают на поддельные страницы? Киберпреступники придумали множество способов заманить жертву на страницу с фишинговым контентом. Как правило, ссылки на фишинговые веб-страницы злоумышленники распространяют следующим образом:

  • в письмах, имитирующих оповещения от социальной сети. Такие письма рассылаются по электронной почте со специально созданных почтовых аккаунтов.
  • в письмах, рассылаемых по электронной почте со взломанных почтовых аккаунтов по адресному листу ‑ например, сообщение друзьям с предложением перейти по ссылке для просмотра интересного контента.
  • в сообщениях в социальных сетях, рассылаемых со специально созданных фальшивых аккаунтов или с украденных аккаунтов пользователей.
  • в сообщениях на форумах.
  • в результатах поисковой выдачи.
  • в баннерах с привлекательной картинкой или баннерах, замаскированных под оповещение социальной сети, которые злоумышленники размещают на сторонних ресурсах.

Оказаться на фишинговой странице можно и в результате заражения компьютера или роутера вредоносными программами, способными, например, изменять (или заменять) файл hosts и подменять DNS или совершать подмену контента. Такие программы особенно опасны, поскольку перенаправляют пользователя на фишинговые страницы при переходе по легитимным ссылкам атакуемых фишерами организаций.

Вот почему обязательно надо обращать внимание на наличие/отсутствие защищенного соединения на открываемых страницах. Facebook использует протокол HTTPS для передачи данных. Отсутствие защищенного соединения даже при правильном адресе страницы говорит о том, что вы, скорее всего, находитесь на мошенническом ресурсе.

Однако даже правильный адрес и наличие защищенного соединения не всегда дают гарантию того, что вы не оказались втянуты в мошенническую схему. Если у вас возникли сомнения – проверьте данные сертификата, принадлежит ли он Facebook. И обязательно обращайте внимание на оповещения защитного ПО вашего компьютера.

Письма

Сообщение на электронную почту – популярный у злоумышленников способ распространения ссылок на фишинговые страницы. Письма, рассылаемые мошенниками, часто не содержат обращения к конкретному человеку и, как правило, имитируют оповещение Facebook о полученном личном сообщении или о новых друзьях в этой социальной сети. Кликнув по ссылке, пользователь оказывается на фишинговой странице с предложением авторизации. После ввода запрашиваемых данных, которые тут же отправляются мошенникам, пользователя перенаправляют на настоящую страничку регистрации Facebook.

Мошенники часто пользуются приемом запугивания и в письмах-подделках грозят получателю блокировкой аккаунта, избежать которой можно, перейдя по ссылке в письме и введя свои данные на открывшейся странице. В данном случае расчет делается на эмоциональную реакцию пользователя и, как следствие, потерю бдительности.

Ниже пример поддельного письма-оповещения от Facebook, в котором говорится о новых сообщениях в этой социальной сети. Если навести курсор на ссылку, то во всплывающем окне видно, что ведет она на неизвестный адрес, отличный от официального адреса Facebook. Интересно, что в этом письме в качестве обращения мошенники используют часть адреса электронной почты, на который отправлено письмо.

facebookphishing4

А вот еще один пример поддельного письма, на этот раз на португальском языке. Получателя предупреждают о скорой блокировке аккаунта, избежать которой можно, пройдя по ссылке якобы на веб-страницу Facebook и введя там свои данные. Но при наведении курсора на ссылку во всплывающем окне видно, что ведет она не на Facebook, а на совершенно посторонний сайт.

facebookphishing5

Социальные сети

Часто фишинговые сообщения распространяются внутри самой социальной сети с уже взломанных аккаунтов друзей потенциальной жертвы. Как правило, они содержат вопрос вида «Это ты на фотографии?» и ссылку на «фотографию». Когда пользователь переходит по присланной ссылке, он попадает на поддельную страницу аутентификации Facebook, содержащую стандартное сообщение: «Войдите, чтобы продолжить». Если пользователь не насторожится и решит пройти авторизацию, его логин и пароль отправятся к киберпреступникам.

По всему свету

Популярность социальной сети Facebook во всем мире побуждает мошенников создавать поддельные веб-страницы на разных языках: английском, французском, немецком, португальском, итальянском, турецком, арабском и других.

Ниже мы приводим несколько примеров подделок. Обратите внимание на адресную строку: часто мошенники используют слова, похожие на «facebook» в адресе фишинговой страницы, чем пытаются ввести в заблуждение неопытных или невнимательных пользователей интернета. А иногда адрес и вовсе не имеет ничего общего с адресом Facebook, хотя оформление страницы копирует вид страниц социальной сети. Обратите также внимание на отсутствие защищенного соединения на этих страницах – это признак того, что ресурс фишинговый.

facebookphishing6_sm

Примеры фишинговых страниц, имитирующих страницу запроса авторизации Facebook

facebookphishing7_sm

Примеры фишинговых страниц, имитирующих главную страницу входа на Facebook с формой для ввода личных данных для регистрации

Как видно, оформление фишинговых страниц повторяет оформление страниц регистрации или аутентификации Facebook. Цель мошенников вполне очевидна: собрать персональные данные посетителя для получения доступа к его аккаунту и дальнейших манипуляций с ним.

Мобильный фишинг

Владельцы смартфонов и планшетов, входящие в социальные сети со своих мобильных устройств, тоже не застрахованы от потери персональных данных. Мошенники создают специальные веб-странички для мобильных браузеров, имитирующие вход в аккаунт через приложение Facebook.

facebookphishing8

Примеры фишинговых веб-страниц Facebook для мобильных браузеров

Зачастую на руку мошенникам играет то, что некоторые мобильные браузеры скрывают адресную строку при открытии страницы. Благодаря этому пользователю намного сложнее обнаружить подделку.

facebookphishing9

Фишинговая веб-страница со скрытой адресной строкой

На мобильных устройствах могут действовать и вредоносные программы, которые крадут персональные данные владельца зараженного телефона, в том числе аккаунты соцсетей. Помимо шпионов-«универсалов», есть и специализированные мобильные зловреды, нацеленные только на социальные сети. Например, мобильный троянец может при открытии окна официального приложения Facebook подменить его на фишинговое. Также есть риск скачать фишинговое приложение, имитирующее мобильное приложение Facebook.

Заключение

Главное оружие мошенников, которые охотятся за аккаунтами пользователей в социальных сетях, — невнимательность пользователей. Мы предлагаем вашему вниманию несколько советов.

  • В случае получения по почте нотификации от Facebook, сообщения о блокировке аккаунта или любых других сообщений, где вам предлагается, пройдя по ссылке или во вложенной форме, ввести свои данные:
    • не вводите данные во вложенные формы. Facebook никогда не просит пользователей сообщать пароли по электронной почте.
    • сравните адрес, с которого пришло письмо, с адресом, с которого приходили сообщения от сети ранее. Если адрес не соответствует ожидаемому, скорее всего, это фишинг. Но даже если адрес кажется вам легитимным, знайте, что мошенники могут замаскировать реальный адрес отправителя.
    • наведите курсор на ссылку и проверьте, действительно ли ссылка ведет на Facebook. Более того, лучше самостоятельно ввести в браузере адрес сайта – злоумышленники умеют также маскировать адреса, на которые на самом деле ведут ссылки.
  • Если вы все же тем или иным способом попали на страницу (нажали на баннер, перешли по ссылке из письма или сообщения…), проверьте, соответствует ли адрес в адресной строке страницы ожидаемому.
  • При самостоятельном вводе адреса сайта в браузере после загрузки проверьте, не произошла ли подмена адреса.
  • После загрузки страницы, обязательно проверьте наличие защищенного соединения HTTPS (его можно определить по иконке в виде замочка в адресной строке браузера). Отсутствие защищенного соединения даже при правильном адресе страницы говорит о том, что вы, скорее всего, находитесь на мошенническом ресурсе.
  • Если вы стали получать подозрительные письма и сообщения от ваших друзей, постарайтесь связаться с ними другим способом: скорее всего, их почтовый аккаунт или аккаунт в социальной сети попал в руки мошенников, и вашим друзьям необходимо как можно быстрее сменить пароль для доступа к нему.

Обманщики в социальных сетях

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике