Особенности квартала
Корпоративный сектор
Во втором квартале 2021 года доступ к корпоративным аккаунтам по-прежнему оставался одной из самых заманчивых целей для злоумышленников. Чтобы пользователь больше доверял ссылкам в письме, мошенники имитировали рассылки от популярных облачных сервисов. Этот прием они и ранее неоднократно использовали. Поддельные уведомления о встрече в Microsoft Teams или просьбы посмотреть важный документ традиционно приводили жертву на странички с фишинговой формой для ввода логина и пароля от корпоративного аккаунта.
Киберпреступники использовали рассылки от имени облачных сервисов и в схемах, нацеленных на кражу денег, а не аккаунтов. Нам попадались, например, поддельные сообщения о комментариях к документу, хранящемуся в облаке. Самого документа при этом, вероятнее всего, не существовало: по ссылке на него находился традиционный рецепт быстрого заработка в интернете путем инвестиции в биткойн или другое заманчивое предложение от мошенников. Подобные предложения, как правило, сводятся к тому, что пользователь должен заплатить небольшую сумму, чтобы получить деньги или приз, которых на самом деле не существует.
Помимо рассылок, так или иначе связанных с облачными сервисами, мы блокировали письма, замаскированные под деловую переписку и содержащие ссылки на вредоносное ПО. В частности, в письме с якобы досудебной претензией злоумышленники утверждали, что жертва не оплатила выполненный заказ. Чтобы урегулировать проблему мирным путем, получателю предлагали ознакомиться с документами, подтверждающими выполнение заказа, и оплатить счет к определенной дате. Документы якобы находились по ссылке и были защищены специальным кодом. На самом деле под видом файла с названием «Договор №8883987726 от 10.10.2021.pdf.exe» на компьютер пользователя загружалась вредоносная программа Backdoor.Win32.RWS.a.
COVID-19: компенсация, которой не было
Во втором квартале 2021 года мошенники продолжили использовать тему компенсаций, связанных с пандемией. В этот раз предложения получить материальную помощь в основном рассылались от имени государственных организаций. «Правительство Великобритании» и «Министерство финансов США» готовы были выплатить специальные гранты всем желающим. Однако попытки получить обещанное могли привести лишь к потере определенной суммы денег или компрометации данных банковской карты. Никаких грантов мошенники жертвам не перечисляли.
Именно данные банковской карты, включая CVV-код, стали целью киберпреступников, создавших поддельные странички с информацией о предоставлении социальной помощи гражданам Беларуси. Чтобы придать сайтам официальный вид, мошенники подробно описали систему выплат в зависимости от рода деятельности и прочих условий. В информационном бюллетене, выпущенном от лица Министерства здравоохранения республики Беларусь, были четко прописаны размеры выплат медицинским сотрудникам. Работникам других сфер предлагалось рассчитать положенную им сумму, нажав кнопку «Получить социальную помощь». После этого посетитель сайта перенаправлялся на страничку с формой для ввода данных банковской карты.
Раз посылка, два посылка: не получите, но расплатитесь
Посылки, которых получатели не ждут, но которые ждут оплаты от получателя, оставались одним из самых популярных приемов мошенников в минувшем квартале. При этом киберпреступники стали активнее локализовать свои «уведомления»: во втором квартале произошел всплеск рассылок на разных языках. Поводом для выставления счета со стороны «почтовых компаний» могли выступать различные сборы и услуги — от таможенной пошлины до доставки отправления. При попытке оплатить услугу на поддельных страницах получатель, как и в случае с компенсациями, рисковал не только потерять сумму, которая могла оказаться гораздо больше указанной в письме, но и предоставить злоумышленникам доступ к своей банковской карте.
С почтовыми отправлениями связана и еще одна мошенническая схема. В Сети стали появляться сайты, предлагающие выкупить чужие посылки, которые по каким-то причинам не смогли получить настоящие адресаты. Эта услуга позиционировалась как лотерея — покупатель платил исключительно за вес посылки (чем он больше, тем выше цена), а ее содержимое не разглашалось. Чтобы узнать, что именно он приобрел, счастливому обладателю оплаченных килограммов нужно было дождаться, пока забытая посылка придет на указанный адрес. Однако посылки не приходили. Согласно правилам «Почты России», «по истечении сроков хранения регистрируемые отправления (посылки, заказные и ценные письма, заказные и ценные бандероли, заказные открытки, экспресс-отправления EMS) пересылают по обратному адресу за счет отправителя. Если отправитель не забирает возвращенное отправление в течение срока хранения, отправление считается «невостребованным» и хранится 6 месяцев, после чего уничтожается». Иначе говоря, бесхозные посылки не продаются. Следовательно, предложение их выкупить само по себе противоречит правилам оператора и является мошенничеством.
Нашумевшие новинки кино: заплати и не смотри
В конце апреля прошла церемония вручения премии «Оскар». Фильмы, номинированные на получение награды американской киноакадемии, естественно, привлекли внимание публики и, как следствие, киберпреступников. В интернете появились мошеннические странички, на которых предлагалось бесплатно посмотреть будущие оскароносные кинокартины и даже скачать их. Запустив видео на одной из них, посетитель нелегального кинотеатра видел несколько фрагментов фильма (обычно они были взяты из официального трейлера), после чего ему предлагали заплатить небольшую сумму за подписку для продолжения просмотра. Однако показ фильма не возобновлялся даже после оформления «подписки», зато злоумышленники могли получить доступ к банковскому счету пользователя.
Впрочем, практически любая ожидаемая премьера сопровождается появлением поддельных сайтов с предложением познакомиться с видео или аудио задолго до его официального релиза. «Лаборатория Касперского» обнаружила поддельные странички, на которых якобы был выложен эпизод «Друзья: Воссоединение», специальный выпуск популярного ситкома. При попытке посмотреть долгожданное продолжение сериала или даже скачать его пользователя перенаправляли на сайт, где ему в течение нескольких секунд демонстрировали заставку киностудии Columbia Pictures. После этого трансляция прекращалась, а на странице появлялось предложение оформить подписку за символическую сумму.
Чем грозит спам в мессенджерах?
В спаме, приходящем в мессенджеры, мы, как и ранее, наблюдали традиционные способы развода пользователей на небольшую сумму денег. Жертвам предлагали пройти элементарный опрос, например рассказать, считают ли они WhatsApp лучшим мессенджером, разослать «письмо счастья» нескольким лицам из списка контактов и получить приз. Еще один традиционный вариант мошенничества — убедить пользователя, что он случайно выиграл очень крупную сумму. Оба сценария заканчивались одинаково: мошенники обещали крупные выплаты, но чтобы их получить, необходимо было внести небольшую комиссию.
Компания WhatsApp с 2014 года принадлежит Facebook. В начале 2021-го отношения между двумя организациями стали предметом активного обсуждения в связи с новой политикой конфиденциальности WhatsApp, согласно которой мессенджер обменивается информацией о пользователях со своей родительской компанией. Скорее всего, киберпреступники решили воспользоваться тем, что связь между брендами на слуху. Они разместили в Сети поддельные странички, где предлагали пользователю пообщаться в чате WhatsApp с «прекрасными незнакомками». Однако при попытке открыть тот или иной чат потенциальная жертва попадала на сайт, содержащий только фальшивую форму для ввода логина и пароля от аккаунта Facebook.
Скорее всего, к подобным атакам можно отнести и рассылку писем, в которых предлагалось пройти по ссылке, чтобы прослушать голосовое сообщение в чате WhatsApp. При переходе по ссылкам из таких писем получатель рискует не только передать в руки злоумышленников свои персональные данные, но и загрузить на свой компьютер или телефон вредоносное ПО.
Инвестиции и народное достояние
Предложения быстрого заработка при минимальных затратах усилий остаются одним из самых распространенных видов мошенничества. Во втором квартале текущего года злоумышленники решили разнообразить ассортимент способов получить «легкие деньги». Адресатам писем предлагалось вложить средства в природные ресурсы (нефть, газ и так далее) или криптовалюту, обеспеченную этими ресурсами. Кроме того, тема газа всплывала и в более привычных схемах с компенсациями. Чтобы их предложения вызывали больше доверия, киберпреступники использовали бренды крупных компаний. Однако сайты, принимающие вложения, очень быстро исчезали вместе с деньгами жертв, которые мошенники успевали получить за время существования странички.
Для самых подозрительных злоумышленники создали платформу, где «отдел противодействия мошенничеству ПАО «Газпром»» обещал вернуть деньги жертвам киберпреступников, представлявшихся сотрудниками компании. Злоумышленники утверждали, что компенсация положена тем, кто отдал мошенникам более 60 000 рублей, однако атаки не были целевыми. Скорее всего, мошенники рассчитывали на то, что пользователям станет любопытно, положена ли компенсация лично им. Естественно, помощь «борцов с мошенничеством» не была бескорыстной, несмотря на заявленную бесплатную консультацию. Заполнившему анкету клиенту предлагали оплатить небольшую комиссию за возврат денег, после чего консультанты исчезали, так и не вернув обещанные тысячи их законному владельцу.
Еще один «выгодный» проект был якобы заявлен в рамках клиентских выплат «ВТБ-Инвест». Мошенники, используя логотипы банка, предлагали получить «независимые начисления от инвесторов для активных пользователей банкинга». После заполнения заявки, где нужно было указать имя, телефон и электронную почту, потенциальная жертва видела сообщение, что определенная сумма готова к выплате. Хотя злоумышленники делали акцент на то, что не берут никаких комиссий, для получения «начислений» от пользователя требовали предоставить данные банковской карты или внести небольшую сумму якобы для проверки корректности счета. То есть все в итоге сводилось к привычной схеме.
Статистика: спам
Доля спама в почтовом трафике
Во втором квартале 2021 года после продолжительного снижения доля спама в мировом почтовом трафике снова начала расти и составила в среднем 46,56%, что на 0,89 п. п. больше, чем в прошлый отчетный период.
Если смотреть данные по месяцам, то, придя к минимальному значению в марте (45,10%), доля спама в мировом почтовом трафике незначительно выросла в апреле (45,29%), достигла 46,35% в мае и подскочила до 48,03% в июне, что сопоставимо с показателями четвертого квартала 2020 года.В почтовом трафике российского сегмента интернета мы наблюдали схожую картину: доля спама с апреля начала расти и увеличивалась на протяжении всего квартала. В среднем во втором квартале к спаму относилось 49,67% писем, что на 1,11 п. п. больше, чем в первом.
Меньше всего доля спама была в апреле (48,72%). Это на 1,55 п. п. больше, чем в марте, который был самым тихим месяцем прошлого отчетного периода. Наиболее активным оказался июнь (50,48%).Страны — источники спама
TOP 10 стран, из которых рассылалось больше всего спама, практически не изменился относительно первого квартала. На первом месте по-прежнему Россия (26,07%), чья доля увеличилась на 3,6 п. п. За ней следуют Германия (13,97%) и США (11,24%), вклад которых в мировой поток спама незначительно уменьшился, а на четвертом месте остается Китай (7,78%).
Нидерланды (4,52%), Франция (3,48%) и Испания (2,98%) продолжают занимать соответственно пятую, шестую и седьмую строчки в списке стран — источников спама. И только на последних трех позициях ТОР 10 произошла небольшая перестановка: Польша (1,69%) выбыла из рейтинга, опустившись на 11 место, а Япония (2,53%), напротив, поднялась на восьмое. Бразилия (2,27%) осталась девятой, а последняя строчка рейтинга досталась Индии (1,70%).
Вредоносные вложения в почте
Число вредоносных вложений, заблокированных почтовым антивирусом, во втором квартале составило 34 224 215 файлов, что почти на 4 миллиона меньше, чем в первые три месяца 2021 года.
Выше всего вредоносная активность была в июне, когда решения «Лаборатории Касперского» заблокировали более 12 миллионов вложений, а самым спокойным оказался май — всего 10,4 миллиона.Семейства вредоносных программ
Во втором квартале чаще всего в спаме рассылали троянцев семейства Badun (7,09%). Их доля среди вредоносных вложений выросла на 1,3 п. п. Эти зловреды, замаскированные под электронные документы, часто распространяются в архивах. Троянцы Agesla (6,65%), специализирующиеся на краже учетных данных, напротив, потеряли 2,26 п. п. и опустились на второе место. Замыкает тройку лидеров семейство Taskun (4,25%), эксплуатирующее планировщик задач Windows. Эти троянцы, как и Badun, набирают популярность.
Эксплойты к популярной среди злоумышленников уязвимости в Equation Editor, CVE-2017-11882 (4,07%), несколько сдали позиции и опустились на четвертое место. За ними следуют вредоносные образы дисков ISO (3,29%). Шестое и восьмое места заняли шпионские троянцы Noon, заражающие любые (2,66%) или только 32-разрядные (2,47%) версии Windows. На седьмой строчке находятся бэкдоры Androm (2,55%), а замыкают TOP 10 вредоносные документы SAgent (2,42%) и Agent (2,11%). Десятка самых распространенных зловредов в спаме лишь незначительно отличается от рейтинга семейств. Наиболее популярный представитель вредоносных документов Agent не дотянул до TOP 10, зато в него вошел троянец из семейства Crypt (2,06%), к которому относятся сильно обфусцированные и зашифрованные программы.Страны — мишени вредоносных рассылок
Чаще всего решения «Лаборатории Касперского» блокировали вредоносные вложения на устройствах пользователей из Испании (9,28%). Доля этой страны незначительно выросла относительно первого квартала 2021 года, прибавив 0,54 п. п. На втором месте остается Италия (6,38%), доля которой снизилась на 1,21 п. п. Германия (5,26%) и Россия (5,82%) во втором квартале поменялись местами, а Арабские Эмираты (5,36) остались четвертыми, причем их доля практически не изменилась.
В десятку стран с наибольшим числом пользователей, столкнувшихся с вредоносными вложениями во втором квартале 2021 года, также вошли Вьетнам (4,71%), Мексика (4,23%), Турция (3,43%), Бразилия (2,91%) и Малайзия (2,53%).
Статистика: фишинг
С точки зрения фишинга второй квартал 2021 года оказался довольно спокойным. Система «Анти-Фишинг» обнаружила и заблокировала 50 398 193 попытки перейти по фишинговым ссылкам, при этом лишь 3,87% наших пользователей столкнулись с такими ссылками.
География фишинговых атак
Если взглянуть на долю пользователей, на устройствах которых сработала система «Анти-Фишинг», в отдельных странах, то Бразилия (6,67%), утратившая лидерские позиции в прошлом квартале, снова вернулась на первое место. За ней с минимальным отрывом следуют Израиль (6,55%) и Франция (6,46%), в первом квартале возглавлявшая рейтинг.
Домены верхнего уровня
Среди доменных зон верхнего уровня, в которых злоумышленники чаще всего размещали фишинговые странички, традиционно лидирует COM (31,67%). На второе место поднялся домен ORG (8,79%), оттеснив XYZ (8,51%) на третью строчку.
Четвертой по популярности среди злоумышленников во втором квартале оказалась китайская доменная зона CN (3,77%), за ней с небольшим отрывом следует NET (3,53%). Российский домен RU (2,98%) опустился на шестое место, а доменная зона Токелау (TK, 1,65%) — на восьмое. Также стоит отметить, что в этот отчетный период злоумышленники отдавали предпочтение международным доменным зонам: они заняли шесть из десяти строчек рейтинга.Организации — мишени атак
Рейтинг атакованных фишерами организаций основывается на срабатываниях детерминистического компонента системы «Анти-Фишинг» на компьютерах пользователей. Этот компонент детектирует все страницы с фишинговым контентом, на которые пользователь пытался пройти по ссылкам в письме или в интернете, если ссылки на эти страницы присутствуют в базах «Лаборатории Касперского».
Впервые с начала пандемии онлайн-магазины (19,54%) покинули первую строчку рейтинга организаций, которые злоумышленники чаще всего используют в качестве приманки. Лидером квартала стали глобальные интернет-порталы (20,85%). При этом доля обеих категорий относительно первого квартала выросла на 3,77 и 5,35 п. п. соответственно. Третье место по-прежнему занимают банки (13,82%), чья доля во втором квартале прибавила 3,78 п. п.
В целом, список наиболее популярных среди злоумышленников категорий организаций почти не изменился с прошлого квартала, однако доли мессенджеров (6,27%) и социальных сетей (7,26%) практически сравнялись, а финансовые сервисы (2,09%) фишеры предпочитали IT-компаниям (1,68%).Заключение
Во втором квартале злоумышленники, как мы и ожидали, продолжили активно охотиться за учетными данными от корпоративных аккаунтов и эксплуатировать тему COVID-19. Любопытной находкой стал всплеск активности, связанной с инвестициями. Однако в целом квартал не принес никаких сюрпризов.
Что касается прогнозов на третий квартал, то доля кибератак на корпоративный сектор, скорее всего, останется прежней. Это связано с тем, что удаленный формат работы прочно занял свою нишу на рынке труда. Тема пандемии тоже вряд ли исчезнет из спама. Более того, наряду с вакцинацией и компенсациями мошенники могут начать спекулировать на вновь выявленных штаммах COVID-19, чтобы придать свои схемам большую актуальность и разнообразие. При этом в период отпусков, несмотря на пандемию, мы ожидаем рост спроса на международные и междугородние передвижения. Как следствие, возрастет риск столкнуться с поддельными сайтами по бронированию недвижимости на курортах, а также попасть на фишинговые странички для покупки билетов на различные виды транспорта. В частности, волны «туристических» атак можно ожидать во время проведения крупных спортивных событий, таких как Олимпийские игры в Японии. Также подобные события, как правило, сопровождаются тематическим спамом.
Спам и фишинг во II квартале 2021 года