Публикации

Стриминговые войны продолжаются: что насчет киберугроз?

Прошлый год был удачным для сферы онлайн-развлечений. Из-за локдауна и удаленной работы люди были вынуждены больше времени находиться в четырех стенах и искать новые способы провести досуг. Пока театры и стадионы пустовали и теряли прибыль, поставщики онлайн-развлечений — например, стриминговые сервисы — процветали. В 2020 году пользователи проводили почти на 75% больше времени за просмотром потокового видео. В 2021 году спрос на такой контент по-прежнему высок, а глобальный рынок стриминга растет (хотя и медленнее, чем в прошлом году) и, скорее всего, продолжит расти в течение следующих нескольких лет.

Сфера развлечений всегда была золотой жилой для мошенников. Когда стриминговые платформы наводнили миллионы новых пользователей, киберпреступники стали активно распространять вредоносное ПО и проводить фишинговые кампании, используя в качестве приманки популярные сериалы.

Этот отчет продолжает серию публикаций об угрозах, связанных со стриминговыми сервисами и видеоконтентом (отчеты за 2020 и 2019 годы), где освещаются актуальные тенденции и ключевые события в этой сфере. Мы изучили самые распространенные фишинговые схемы и зловредов, с которыми сталкиваются пользователи в поисках альтернативных способов просмотра стримингового контента, а также то, какие известные сериалы мошенники выбирают в качестве приманки. Кроме того, мы проанализировали работу теневых сервисов, которые по бросовой цене продают доступ к контенту — чаще всего, к краденым учетным данным пользователей стриминговых платформ.

Методология

В рамках исследования мы проанализировали различные виды вредоносного и нежелательного ПО, связанного с потоковым вещанием, а также фишинговые страницы и поддельные веб-сайты, которые маскируются под крупнейшие стриминговые платформы.

Для этого мы использовали статистические данные об угрозах, связанных со стриминговыми сервисами, полученные из Kaspersky Security Network (KSN) — системы обработки анонимных данных об угрозах, добровольно предоставленных пользователями продуктов «Лаборатории Касперского». В частности, мы узнали, сколько пользователей мобильных устройств и ПК столкнулись с различными угрозами с января 2020 года по июнь 2021-го.

Мы также проанализировали найденные в теневом интернете объявления о продаже доступа к стриминговым платформам, чтобы больше узнать о текущем состоянии этого рынка: сколько стоят учетные записи, кто их покупает и что происходит потом.

Для написания этого отчета мы проанализировали данные, касающиеся пяти крупнейших стриминговых платформ в мире:

  • Netflix
  • Hulu
  • Amazon Prime Video
  • Disney +
  • Apple TV +

Зловреды и нежелательные программы вместо видео

Говоря об угрозах, эксплуатирующих интерес к стриминговым платформам, невозможно не упомянуть вредоносное и нежелательное ПО. В поисках неофициальных ресурсов для загрузки стриминговых приложений или новых серий сериала пользователи часто натыкаются на троянцев, бэкдоры, шпионские и назойливые рекламные программы.

Мы изучили данные из Kaspersky Security Network об обнаруженных вредоносных и нежелательных программах, использующих названия пяти вышеупомянутых платформ в контексте получения учетных данных, подписки, бесплатного просмотра контента и загрузки стриминговых приложений. Мы выяснили, что с 1 января 2020 года по 30 июня 2021 года почти 19 000 уникальных пользователей по меньшей мере однажды столкнулись с вредоносным и нежелательным ПО, использующим стриминговые платформы как приманку.

Излюбленной приманкой киберпреступников оказалась стриминговая платформа Netflix, которая наиболее популярна и среди пользователей: 89,93% пострадавших столкнулись с вредоносным и нежелательным ПО, когда искали в сети сайт этого сервиса или связанный с ним контент. Второе место занимает Amazon Prime — на него приходится 6,26% пользователей, пытавшихся загрузить подозрительные файлы. Примечательно, что если в 2019 году ни один из инцидентов не был связан с попыткой получить доступ к контенту Apple TV Plus обходным путем, то в последние 1,5 года злоумышленники начали атаковать и пользователей, интересующихся контентом этой платформы.

Количество пользователей, столкнувшихся с вредоносным и нежелательным ПО, использующим названия стриминговых платформ (за период с 1 января 2020 года по 30 июня 2021 года) (скачать)

Всего с 1 января 2020 года по 30 июня 2021 года продукты «Лаборатории Касперского» помогли обнаружить 93 095 попыток заражения устройств 18 938 уникальных пользователей и зафиксировали 8650 разных угроз. Пик вредоносной активности пришелся на первую половину прошлого года — в этот период 51,62% затронутых пользователей сталкивались с вредоносным и нежелательным ПО. За аналогичный период 2021 года количество пострадавших сократилось больше чем вдвое.

Доля пользователей, которые столкнулись с вредоносным и нежелательным ПО, замаскированным под одну из стриминговых платформ (за период с 1 января 2020 года по 30 июня 2021 года) (скачать)

В этом году мы наблюдали резкое снижение показателей для всех платформ, кроме Disney +. В первом полугодии 2021-го количество пользователей, столкнувшихся с вредоносным и нежелательным ПО, создатели которого использовали название этого сервиса как приманку, выросло в четыре раза по сравнению с аналогичным периодом 2020 года.

Больше всего пользователей, пострадавших от вредоносного и нежелательного ПО, эксплуатирующего названия стриминговых платформ, находилось в Индии (11,37%). Чаще всего они сталкивались с угрозами, пытаясь скачать загрузчик стримингового приложения. Алжир и США замыкают TOP 3: на них приходится 8,42 и 7,41% атакованных пользователей соответственно.

TOP 10 стран с наибольшим числом затронутых пользователей в период с января 2020 года по июнь 2021 года представлен в таблице ниже.

Страна Число уникальных пользователей*
Индия 11,37%
Алжир 8,42%
США 7,41%
Германия 5,98%
Бразилия 4,30%
Испания 2,87%
Мексика 2,86%
Марокко 2,77%
Франция 2,52%

* Количество пользователей, пострадавших от вредоносного и нежелательного ПО, связанного со стриминговыми сервисами, в конкретной стране в процентном отношении от общего числа жертв.

Мы также проанализировали географическое распределение угроз для пользователей каждой из платформ. Страны с наибольшим числом пользователей, столкнувшихся с вредоносным и нежелательным ПО, эксплуатирующим названия Amazon Prime, Apple TV, Disney +, Hulu и Netflix, с января 2020 года по июнь 2021 года представлены в таблице ниже.

Платформа Страна Доля затронутых пользователей*
Amazon Prime США 55,61%
Индия 9,03%
Германия 8,78%
Apple TV Германия 27,42%
Бразилия 11,83%
Россия и Вьетнам 3,76%
Disney + Италия 9,63%
Германия 9,32%
Индия 8,39%
Hulu США 9,16%
Алжир 8,79%
Кения 6,96%
Netflix Индия 11,84%
Алжир 9,31%
Германия 5,36%

* Количество уникальных пользователей, столкнувшихся с вредоносным и нежелательным ПО, связанным со стриминговыми платформами, в конкретной стране в процентном отношении от общего числа уникальных пользователей, пострадавших от этих угроз.

Самое большое число пользователей, столкнувшихся с вредоносным и нежелательным ПО, которое использовало Amazon Prime как приманку, находилось в США (55,61%). Вероятно, это связано с тем, что именно в этой стране живет основная часть зрителей этого сервиса.

С угрозами, эксплуатирующими имя Apple TV больше всего пользователей столкнулось в Германии (27,42%).

В случае Disney + по количеству затронутых пользователей лидируют три страны — Италия (9,63%), Германия (9,32%) и Индия (8,39%).

Используя в качестве приманки сервис Hulu, киберпреступники чаще всего атаковали пользователей в США (9,16%), Алжире (8,79%) и Кении (6,96%).

Со зловредами, эксплуатирующими название Netflix — любимой платформы киберпреступников, — чаще всего сталкивались пользователи из Индии (11,84%), Алжира (9,31%) и Германии (5,36%).

Что скрывается под маской стриминговых платформ

Чтобы лучше понять, как именно киберпреступники используют популярные стриминговые сервисы в своих целях, и выявить основные типы угроз, мы проанализировали образцы вредоносного и нежелательного ПО, при распространении которых использовались названия Netflix, Disney +, Hulu, Apple TV и Amazon Prime.

Распределение по типу киберугроз выглядит следующим образом:

TOP 10 киберугроз, использующих названия Netflix, Disney +, Apple TV, Hulu и Amazon Prime, с которыми столкнулись пользователи в период с 1 января 2020 года по 30 июня 2021 года (скачать)

Оказалось, что более трети (33,12%) от всех угроз, с которыми столкнулись пользователи, составляют троянские программы. Также в десятку самых распространенных угроз вошли специализированные троянцы: шпионы (5,41%), банковские троянцы (4,68%), загрузчики (2,92%) и стилеры (2,25%). Многие из этих зловредов в той или иной мере следят за действиями жертвы в сети. Так, стилеры (они же Trojan-PSW) крадут учетные данные различных сервисов и отслеживают, когда пользователь открывает соответствующие сайты или приложения, а банковские троянцы аналогичным образом следят за активностью пользователей на ресурсах, имеющих отношение к финансам. Загрузчики не могут шпионить и красть данные, но они загружают другие вредоносные программы, которые делают это.

Помимо троянцев к числу самых распространенных угроз относятся различные нежелательные программы, детектируемые с вердиктом not-a-virus, в том числе загрузчики (20,58%), потенциально опасное ПО (5,78%) и рекламное ПО (19,12%), которое досаждает пользователям навязчивыми объявлениями и уведомлениями.

Популярные сериалы как приманка

Дальнейшее исследование ландшафта угроз, связанных со стриминговыми сервисами, показало, что киберпреступники активно используют в качестве приманки определенные сериалы. Мы изучили, какой контент чаще всего фигурирует в схемах злоумышленников.

Чтобы результаты получились беспристрастными, мы составили выборку, основываясь на рейтингах наиболее авторитетных киноресурсов (IMDB и Rotten Tomatoes) за 2020 и 2021 годы. Мы выбрали TOP 30 популярных сериалов, доступных на самых известных стриминговых платформах:

«Лучше звоните Солу» (Better Call Saul)
«Бриджертоны» (Bridgerton)
«Тьма» (Dark)
«DOTA: Кровь дракона» (Dota: Dragon’s Blood)
«Элита» (Elite)
«Эмили в Париже» (Emily in Paris)
«Эйфория» (Euphoria)
«Это грех» (It’s a sin)
«Локи» (Loki)
«Мейр из Исттауна» (Mare of Easttown)
«Бумажный дом» (Money Heist)
«Я никогда не…» (Never Have I Ever)
«Озарк» (Ozark)
«Острые козырьки» (Peaky Blinders)
«Воспитанные волками» (Raised by wolves)
«Засланец из космоса» (Resident Alien)
«Рик и Морти» (Rick and Morty)
«Половое воспитание» (Sex Education)
«Тень и кость» (Shadow and Bone)
«Супермен и Лоис» (Superman and Lois)
«Sweet Tooth: мальчик с оленьими рогами» (Sweet Tooth)
«Пацаны» (The Boys)
«Корона» (The Crown)
«Мандалорец» (The Mandalorian)
«Ход королевы» (The Queen’s Gambit)
«Академия «Амбрелла»» (The Umbrella Academy)
«Ведьмак» (The Witcher)
«Неортодоксальная» (Unorthodox)
«Ванда/Вижн» (WandaVision)
«Мир Дикого Запада» (Westworld)

Продукты «Лаборатории Касперского» помогли выявить 27 860 попыток заражения устройств 7051 пользователя и зафиксировали 6157 различных угроз, использующих названия сериалов Netflix, Hulu, Disney +, Apple TV, Amazon Prime и HBO Max.

В таблице представлены десять популярных сериалов, которые преступники чаще всего использовали как приманку для распространения угроз с 1 января 2020 года по 30 июня 2021 года.

Название Количество попыток заражения*
«Мандалорец» (The Mandalorian) 28.72%
«Бумажный дом» (Money Heist) 28.41%
«Рик и Морти» (Rick and Morty) 9.69%
«Острые козырьки» (Peaky Blinders) 9.25%
«Мир Дикого Запада» (Westworld) 7.17%
«Половое воспитание» (Sex Education) 2.82%
«Лучше звоните Солу» (Better Call Saul) 2.47%
«Озарк» (Ozark) 2.01%
«Пацаны» (The Boys) 1.64%
«Эйфория» (Euphoria) 1.58%

*Доля попыток заражения с использованием конкретного сериала в качестве приманки от общего числа обнаруженных попыток заражения.

Оказалось, что почти 60% всех попыток заражения связаны с двумя сериалами, которые собрали множество зрителей по всему миру: «Мандалорец» (28,72%) и «Бумажный дом» (28,41%). Они же чаще всего использовались в фишинговых схемах.

Пример фишинговой страницы, которая предлагает пользователям посмотреть «Бумажный дом»

Фишинг

Фишинговые атаки — самый распространенный способ кражи учетных данных. Поскольку большинство популярных фильмов выходит онлайн, злоумышленники начали осваивать рынок стриминговых сервисов. Спеша стать одними из первых зрителей любимого сериала, пользователи не всегда внимательно изучают сайт, где выложены новые серии. Это играет на руку мошенникам, создающим фишинговые страницы.

Мы обнаружили двойников для каждой из пяти платформ: Netflix, Amazon Prime, Disney +, Apple TV и Hulu. В большинстве случаев они почти неотличимы от оригинала. Совпадает все — цвета, шрифты и фирменные стили.

Пример поддельной страницы входа на Netflix

Пример поддельной страницы входа на Netflix

Основная цель создателей подобных сайтов — сбор учетных данных. Для этого, как правило, используются поддельные страницы входа на стриминговые платформы. Как и большинство подобных форм, они запрашивают адрес электронной почты и пароль от учетной записи. Введенные данные подписчиков стриминговых сервисов оказываются в плохих руках. С помощью украденной информации злоумышленники могут организовать спам-атаку, а также получить доступ к электронной почте пользователей или их учетным записям на других ресурсах (многие используют один и тот же пароль для онлайн-магазинов, социальных сетей, систем онлайн-банкинга и т. д.). Кроме того, украденные данные часто выставляют на продажу в теневом интернете.

Пример фальшивой страницы входа на Disney +

Пример фальшивой страницы входа на Disney +

Есть и фишинговые страницы, которые предназначены для получения финансовой выгоды. Они обычно запрашивают подтверждение платежных данных для подписки на стриминговый сервис. Посетители таких ресурсов думают, что покупают доступ к любимым сериалам, а на самом деле отправляют свои деньги мошенникам. Это простая, эффективная и, как следствие, очень популярная схема. Кроме того, такие страницы собирают не только платежные данные, но и личную информацию.

Пример фишинговой страницы Netflix, которая собирает платежные данные

Пример фишинговой страницы Netflix, которая собирает платежные данные

Еще один распространенный способ обмануть невнимательных пользователей — фишинговые страницы с сериалами. Как правило, мошенники активизируются накануне долгожданных премьер или появления новых сезонов. В поисках новой серии пользователи попадают на сайт, где им показывают первые пару минут эпизода (как правило, из официального трейлера) и предлагают оплатить недорогую подписку, чтобы продолжить просмотр. Стоит ли говорить, что продолжения не будет, а деньги окажутся в руках киберпреступников?

Пример фишинговой страницы, предлагающей посмотреть серию «Мандалорца»

Однако пользователи не всегда сами находят в Сети сомнительные сайты — нередко мошенники активно ищут жертв. Чтобы украсть деньги или учетные данные подписчиков стриминговых сервисов, они рассылают потенциальным жертвам фишинговые письма. Схемы в большинстве случаев одни и те же: например, часто пользователя пугают потерей доступа к аккаунту и предлагают обновить или подтвердить данные банковского счета, кредитной карты или самой учетной записи. Если он попадется на эту удочку, конфиденциальная информация окажется у киберпреступников.

Фишинговое письмо с просьбой указать действительный способ оплаты для учетной записи Netflix

Фишинговое письмо с просьбой указать действительный способ оплаты для учетной записи Netflix

Классические схемы с использованием фальшивых розыгрышей и лотерей также не обошли стриминговые сервисы стороной. Так, мы обнаружили страницу, которая от имени Disney + обещала щедрое вознаграждение пользователям, отправившим ссылку 20 друзьям. В этом случае жертвы помогают преступникам распространять мошенничество: ссылка от знакомого человека всегда вызывает больше доверия, чем сообщение от незнакомца. Если пользователь пройдет по ней, чтобы получить свой приз, его, как правило, попросят оплатить небольшую комиссию. Затем, получив деньги, преступники исчезнут, оставив жертву ни с чем.

Фальшивая страница розыгрыша, предлагающая поделиться ссылкой с друзьями, чтобы получить приз от Disney

Фальшивая страница розыгрыша, предлагающая поделиться ссылкой с друзьями, чтобы получить приз от Disney

Нелегальный стриминг и настоящая цена дешевых подписок

Быстрый поиск на форумах, торговых площадках и в теневом интернете выдает множество «неофициальных» сервисов, которые предлагают доступ к тому же контенту, что и настоящие стриминговые платформы, но по значительно более низкой цене. Многие пользователи просто не могут устоять перед таким соблазном.

Как правило, теневые платформы предлагают пользователям доступ к «общим» аккаунтам. Большинство стриминговых сервисов позволяет в той или иной форме разделить подписку с домочадцами или друзьями, и преступники пытаются извлечь из этого выгоду. В качестве ответной меры поставщики услуг стараются ужесточить условия совместного использования учетных записей. Так, платформа Netflix недавно в тестовом режиме ввела двухфакторную аутентификацию для таких аккаунтов, чтобы бороться с мошенниками. Однако предложения злоумышленников по-прежнему остаются актуальными и очень привлекательными, учитывая, что средняя стоимость «общей» подписки составляет всего 2,50 долл. США в месяц.

Примеры объявлений о продаже доступа к учетным записям на стриминговых сервисах, найденные в теневом интернете

Примеры объявлений о продаже доступа к учетным записям на стриминговых сервисах, найденные в теневом интернете

Еще один вариант товара, который можно найти в теневом интернете — пакеты учетных данных от множества аккаунтов. Стоимость таких пакетов чаще всего находится в диапазоне между 50 центами и 8 долларами.

На некоторых форумах продавцы предлагают бесплатный доступ к учетным записям на стриминговых платформах в качестве рекламы или чтобы заработать положительную репутацию на форуме. Покупателю могут предложить своего рода временную гарантию, однако на практике такие обещания, как правило, ничего не стоят.

Примеры объявлений о распродаже учетных записей на стриминговых сервисах ради повышения рейтинга

Примеры объявлений о распродаже учетных записей на стриминговых сервисах ради повышения рейтинга

После получения доступа к дешевой учетной записи возможны два сценария: либо ее внезапно заблокирует поставщик услуг, либо настоящий владелец изменит данные для входа, лишив покупателя доступа к контенту. В таких случаях продавцы обычно обещают заменить аккаунт другим, но это происходит далеко не всегда. Поэтому рынок дешевых аккаунтов можно описать поговоркой «бесплатный сыр бывает только в мышеловке».

Если условия сделки выглядят слишком хорошо, чтобы быть правдой, скорее всего, с ней что-то не так. Согласиться — значит пойти на откровенное мошенничество и пиратство. Тем более что нет никакой гарантии, что после оплаты покупатель получит «товар» или что учетную запись не заблокируют в самое ближайшее время.

Так или иначе, стоит помнить, что большинство аккаунтов на полках теневых магазинов принадлежит реальным людям, у которых выманили конфиденциальную информацию, используя методы социальной инженерии и фишинговые страницы.

Выводы и рекомендации

В последние полтора года популярность стриминговых сервисов и контента по запросу стремительно растет благодаря активному использованию мобильных устройств и доступности скоростного интернета, который в период пандемии стал работать еще лучше. Люди хотят смотреть любимые фильмы и сериалы, как только они выходят, чтобы было что обсуждать в социальных сетях.

При этом многие пытаются найти более дешевую альтернативу официальным сервисам или получить доступ к контенту раньше всех. Эти поиски часто заканчиваются кражей учетных данных, потерей денег и загрузкой вредоносного ПО.

По нашим данным, пик вредоносной активности пришелся на первые шесть месяцев 2020 года. Это неудивительно, учитывая, что именно тогда были введены первые ограничительные меры, и люди стали больше времени проводить дома за просмотром любимых сериалов. В течение следующего года мы наблюдали постепенное уменьшение числа пользователей, столкнувшихся с вредоносным ПО.

Из всех платформ, которые мы проанализировали, киберпреступники чаще всего использовали Netflix как приманку для потенциальных жертв. Мы зафиксировали 80 302 попытки заражения 17 031 пользователя с помощью 7199 файлов, при распространении которых использовалось название этого сервиса. Однако за период с первого квартала 2020 года по второй квартал 2021 года эти показатели уменьшились.

Среди других сервисов стоит отметить Disney +, привлекательность которого с точки зрения киберпреступников в этом году выросла. В первые шесть месяцев от действий злоумышленников пострадало больше пользователей этой платформы, чем за весь 2020 год. Относительно первой половины 2020 года этот показатель вырос почти в четыре раза.

Фишинг по-прежнему остается серьезной проблемой для подписчиков стриминговых сервисов. Для каждой из рассмотренных платформ мы обнаружили поддельные страницы на разных языках, нацеленные на кражу личной информации, платежных данных и денег. В результате данные жертв могли попасть в теневой интернет, где злоумышленники выставляют их на продажу.

Для безопасного использования стриминговых сервисов эксперты «Лаборатории Касперского» рекомендуют соблюдать несколько правил:

  • Перед тем как вводить свои личные данные на сайте, убедитесь, что он настоящий. Используйте для просмотра и загрузки видео только официальные ресурсы. Как следует проверяйте формат URL-адреса и отсутствие ошибок в названии компании.
  • Обращайте внимание на расширения файлов, которые загружаете. Видеофайлы не могут иметь расширение .exe или .msi.
  • Используйте надежное защитное решение, например Kaspersky Security Cloud, которое выявляет вредоносные вложения и блокирует фишинговые сайты.
  • Избегайте ссылок с обещанием раннего доступа к просмотру видео. Если у вас возникли сомнения в подлинности контента, проверьте информацию на официальном сайте стримингового сервиса.
  • Не открывайте вложения и не нажимайте на ссылки в письмах от стриминговых сервисов, особенно если отправитель настаивает на этом. Лучше вручную открыть в браузере официальный сайт и войти в свою учетную запись.
  • С подозрением относитесь к предложениям, которые выглядят слишком хорошо, чтобы быть правдой, — например, «бесплатной годовой подписке».
  • По возможности пользуйтесь на стриминговых платформах только своей платной подпиской и авторизуйтесь только через официальный сайт или приложение, загруженное в официальном магазине.
  • Не загружайте неофициальные или модифицированные версии приложений для этих платформ.

Стриминговые войны продолжаются: что насчет киберугроз?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике