Стриминговые войны: перспективы киберпреступников

Киберугрозы — это не только что-то из мира крупного бизнеса и масштабных кампаний. Самые распространенные из них — не целевые атаки (APT) или массовые утечки данных, а рассылки вредоносного ПО и спама, с которыми ежедневно сталкиваются обычные пользователи. Одной из сфер жизни, в которых мы наиболее уязвимы, являются развлечения. Поэтому в прошлом году мы проанализировали, как киберпреступники используют названия популярных сериалов для распространения вредоносного ПО. В этом году мы решили взглянуть на не менее популярное направление индустрии развлечений — стриминговые платформы.

2019 год официально стал годом начала «стриминговых войн», так как практически все крупные сети разом, невзирая на затраты, захотели с выгодой для себя использовать новый способ потребления контента, завоевавший признание пользователей, — стриминговые платформы. Все началось с Apple TV+. Потом появился Disney+. Последней на текущий момент платформой в этом ряду стала HBO Max — проект сети, разработанный в попытке эффективно использовать активы компании Time Warner, приобретенной за 85,4 млрд долларов. Это не считая локальных платформ, которые появились в разных регионах мира. По прогнозам, объем мирового рынка стриминговых сервисов к 2024 году составит 688,7 млрд долларов.

Для киберпреступников переход потребителей на стриминговые сервисы означает появление нового привлекательного канала атак. Всего через несколько часов после запуска Disney+ злоумышленники взломали тысячи учетных записей, сменили в них пароли и адреса электронной почты, а затем выставили их на продажу по цене 3–11 долларов.

Первоочередными целями для распространения вредоносных программ, кражи паролей, спам-атак и фишинга являются также запущенные несколько лет назад популярные платформы Netflix и Hulu. Их привлекательность только возросла, учитывая всплеск пользовательской активности в первом полугодии, когда многие люди потеряли работу и/или были вынуждены много времени проводить дома. В первом квартале 2020 года прирост подписчиков Netflix составил 15 млн человек — в два с лишним раза больше, чем ожидалось. По результатам недавних исследований Flixed — сервиса, помогающего в подборе наилучшей замены кабельному телевидению, выяснилось, что учетную запись на стриминговой платформе взламывали у каждого десятого пользователя.

В зоне риска оказываются не только миллионы владельцев учетных записей, но и миллионы тех, кто получает доступ к сервису через аккаунты родственников или друзей, а также неизвестное количество людей, стремящихся получить скидку на доступ к стриминговым платформам или же вынужденных искать обходные пути, чтобы смотреть контент в тех регионах, где эти платформы недоступны.

Методология

В этом отчете мы проанализировали несколько типов угроз: вредоносные программы, прикрывающиеся популярными стриминговыми платформами и оригинальным контентом, который они выпускают, а также фишинговые электронные письма и поддельные сайты/страницы авторизации.

Для этой цели мы использовали информацию из Kaspersky Security Network (KSN) — системы обработки анонимных данных, относящихся к кибербезопасности и добровольно предоставленных пользователями продуктов «Лаборатории Касперского» с января 2019 года по 8 апреля 2020 года.

Для написания этого отчета мы проанализировали следующие стриминговые платформы:

1) Netflix. Запущенный в 1997 году в качестве первого онлайн-магазина по прокату DVD, в середине 2000-х годов сервис переориентировался на потоковое вещание. Самая популярная стриминговая платформа с 183 миллионами подписчиков в более чем 190 странах мира.

2) Hulu. Этот американский сервис был запущен в 2008 году и предлагает своим подписчикам не только обширную библиотеку фильмов и сериалов (как собственного, так и стороннего производства), но и возможность просмотра последних эпизодов новых сериалов, которые показывают крупнейшие американские телевещательные сети. На сегодняшний день количество подписчиков Hulu в США составляет 32,1 миллиона человек.

3) Amazon Prime Video. Был запущен в 2006 году и предлагается всем абонентам Amazon Prime (подписка включает в себя бесплатную доставку товаров в течение двух дней, доступ к бесплатной музыке, бесплатным книгам и т. д.). Amazon Prime Video предлагает доступ к каталогу кино и сериалов — как собственного, так и стороннего производства. Вы также можете приобрести платные дополнения, которые позволят вам получить доступ к контенту других каналов, таких как Starz и HBO. Amazon Prime насчитывает более 150 миллионов подписчиков по всему миру. Разумеется, в это число входят все абоненты Prime, и некоторые из них могут не пользоваться стриминговым сервисом.

4) Disney +. Запущен в ноябре 2019 года, предлагает доступ ко всей библиотеке контента Pixar, National Geographic и Disney. В нем также представлены все эпизоды, связанные с франшизой «Звездные войны», и несколько сериалов собственного производства. В настоящее время сервис насчитывает 54,5 миллиона подписчиков по всему миру.

5) Apple TV+. Запущен в ноябре 2019 года, незадолго до появления Disney+. Он предлагает в основном программы собственного производства и доступен более чем в 100 странах. Количество подписчиков точно не известно, но по оценкам сторонних источников их число может достигать от 10 до 33 миллионов человек. При этом каждый, кто приобретал новую приставку Apple TV, iPod, iPad, iPhone или Mac начиная с 10 сентября 2019 года, получал бесплатную подписку на один год.

Вредоносное ПО для стриминговых платформ

В случае стриминговых платформ вредоносное ПО и другие угрозы (например, рекламное ПО) чаще всего загружаются, когда пользователи пытаются получить доступ к сервису неофициальными средствами — будь то покупка учетных записей со скидкой, получение «хака» для продления бесплатной пробной версии или попытка получить доступ к бесплатной подписке. Зачастую подобные неофициальные ссылки или скачиваемые файлы содержат вредоносные программы, такие как троянцы и бэкдоры.

С помощью KSN мы нашли вредоносное ПО имена файлов которого содержали названия пяти вышеупомянутых стриминговых платформ в контексте получения учетных данных, подписки или скачивания платформы для просмотра. Результаты отражают количество пользователей мобильных устройств или персональных компьютеров, которые сталкивались с различными киберугрозами при попытке получения доступа к сервисам Netflix, Hulu, Amazon Prime Video, Disney+ и Apple TV+, используя неофициальные средства.

Мы также специально изучили «чекеры» аккаунтов — средства проверки аккаунта на предмет компрометации (часто в результате утечки данных) на различных сайтах. Поскольку многие люди используют одну и ту же пару «логин — пароль» в разных сервисах, утечка данных от одной платформы может обеспечить доступ к другим. С помощью «чекера» киберпреступники находят, к каким еще платформам подходит утекшая пара, чтобы затем продать доступ к этим учетным записям или украсть связанную с ними финансовую/личную информацию.

Кроме того, пользователи могут использовать или скачивать доступные в сети «чекеры» аккаунтов в попытке получить бесплатный доступ к стриминговым платформам. Разумеется, использование этих инструментов сопряжено с повышенным риском заражения вредоносным ПО. Чтобы узнать, сколько пользователей столкнулись с различными угрозами при использовании «чекеров» для пяти упомянутых выше стриминговых платформ, мы изучили файлы, которые загружали вредоносное и нежелательное ПО и содержали название одной из платформ и ключевые слова checker, brute или cracker. Результаты отражают количество пользователей (мобильных устройств или персональных компьютеров), которые сталкивались с различными киберугрозами при попытке получения доступа к сервисам Netflix, Hulu, Amazon Prime Video, Disney+ и Apple TV+, используя «чекеры» аккаунтов.

Вредоносные программы для доступа к оригинальным сериалам

Кроме того, мы также изучали вредоносные программы, связанные с предоставлением доступа к оригинальному контенту на упомянутых платформах. Процедура была аналогична используемой для вредоносных программ, связанных со стриминговыми платформами. С помощью KSN мы нашли вредоносное ПО в сочетании с файлами, содержащими названия популярных телесериалов.

По данным на 8 апреля Disney+ предлагал единственный популярный сериал собственного производства — «Мандалорец» (The Mandalorian). В то же время другие сервисы, в частности Netflix, располагают обширными библиотеками оригинального контента. Поэтому для нашего исследования мы отобрали наиболее популярные и часто обсуждаемые сериалы. Так как многие из этих платформ не публикуют данные о количестве просмотров на регулярной основе, то для формирования нашего списка мы использовали публичные источники, такие как Rotten Tomatoes, IMDB и Metacritic:

Disney+:

• «Мандалорец» (The Mandalorian)

Netflix:

• «Половое воспитание» (Sex Education)
• «Озарк» (Ozark)
• «Очень странные дела» (Stranger Things)
• «Ведьмак» (The Witcher)
• «Любовь слепа» (Love is Blind)
• «Конь БоДжек» (BoJack Horseman)
• «Оранжевый — хит сезона» (Orange is the New Black)
• «Король тигров» (Tiger King)

Amazon Prime Video:

• «Катастрофа» (Catastrophe)
• «Дрянь» (Fleabag)
• «Очевидное» (Transparent)
• «Босх» (Bosch)
• «Пространство» (The Expanse)
• «Удивительная миссис Мейзел» (The Marvelous Mrs. Maisel)
• «Человек в высоком замке» (The Man in the High Castle)

Hulu:

• «Касл-Рок» (Castle Rock)
• «Меломанка» (High Fidelity)
• «И повсюду тлеют пожары» (Little Fires Everywhere)
• «Вероника Марс» (Veronika Mars)
• «Рассказ служанки» (The Handmaid’s Tale)

Apple TV+:

• «Слуга» (Servant)
• «Дикинсон» (Dickinson)
• «Послания призрака» (Ghostwriter)
• «Утреннее шоу» (The Morning Show)

Результаты отражают количество пользователей мобильных устройств или персональных компьютеров, которые сталкивались с киберугрозами в результате скачивания вредоносных файлов, содержащих название одного из упомянутых выше сериалов в качестве приманки.

Полученные результаты:

• Обычная схема фишинга включает в себя просьбу подтвердить или обновить платежную информацию для учетной записи той или иной стриминговой платформы. При этом злоумышленники получают доступ к финансовой информации пользователей (данным кредитной карты/реквизитам для выставления счетов).
• Ни один из пользователей решений «Лаборатории Касперского» не сталкивался с киберугрозами при попытке получить доступ к Apple TV+.
• Netflix на сегодняшний день является наиболее популярной среди злоумышленников платформой, используемой в качестве приманки.
• При попытке получить доступ к стриминговым платформам 5577 уникальных пользователей продуктов «Лаборатории Касперского» сталкивались со ссылками, содержащими названия оригинальных платформ — Hulu, Netflix, Amazon Prime или Disney+ — в качестве приманки.
• В общей сложности было предпринято 23 936 попыток заразить компьютеры этих 5577 пользователей.
• Наиболее часто встречающимися угрозами при атаках с использованием названия одной из пяти упомянутых стриминговых платформ были различные типы троянцев — их доля составила 47% от всех киберугроз.
• Больше всего зарегистрированных атак, содержащих название Netflix в качестве приманки, исходило из Германии. Для Amazon Prime — из США. Для Hulu — из Доминиканской Республики. Для Disney+ — из Алжира.
• 6661 пользователь продуктов «Лаборатории Касперского» сталкивался с вредоносными программами при попытке получить доступ к Hulu, Netflix, Amazon Prime или Disney+ с помощью чекера аккаунтов.
• В общей сложности было предпринято 57 784 попытки заразить компьютеры этих 6661 пользователей.
• Среди сериалов, названия которых злоумышленники чаще всего использовали, чтобы привлечь внимание потенциальных жертв и заставить их установить вредоносное ПО, можно выделить следующую пятерку: «Мандалорец» производства Disney+, «Очень странные дела», «Ведьмак», «Половое воспитание» и «Оранжевый — хит сезона» компании Netflix.
• Более половины атак (51%), замаскированных под один из пяти сериалов-«приманок», были совершены с территории Испании.

Фишинг

Одним из старейших и наиболее эффективных способов кражи учетных данных является фишинг. Преступникам при этом не обязательно нужен доступ к вашей учетной записи на стриминговом сервисе. Получив ваш адрес электронной почты и пароль, они могут использовать эту информацию для различных целей: рассылки спама или проведения новых фишинговых атак, получения доступа к другим вашим аккаунтам (часто люди используют одни и те же логин и пароль на разных сервисах) или получения данных кредитной карты / реквизитов для выставления счетов, связанных с учетной записью.

Фишеры часто создают фальшивые страницы входа на стриминговую платформу для сбора учетных данных. При этом Netflix остается самой популярной мишенью. Специалисты «Лаборатории Касперского» обнаружили поддельные страницы входа на платформу Netflix на четырех языках (французском, португальском, испанском и английском). Также нами были найдены фальшивые страницы Hulu.

Фальшивая страница входа для Netflix на испанском языке

Фальшивая страница входа в аккаунт Hulu

С запуском Disney+ киберпреступники нашли новую цель: они начали создавать фишинговые страницы, нацеленные на потенциальных клиентов.

Фишинговая страница, призывающая пользователей зарегистрироваться для получения бесплатной учетной записи Disney+, на итальянском языке

Всплеск подобного рода мошенничества не вызывает удивления. В 2019 году специалисты «Лаборатории Касперского» отметили, что преступники все чаще используют крупные спортивные и развлекательные события для совершения атак. Пользователям предлагался бесплатный доступ, скажем, к финальному сезону «Игры престолов», для чего им достаточно было создать учетную запись и ввести свои платежные данные. Преступники использовали такую же схему и при запуске Disney+, чтобы попытаться украсть финансовую информацию.

Мошенническое предложение бесплатной годовой подписки на Disney+. Если пользователь нажимает кнопку Continuer («Продолжить»), ему предложат ввести платежные реквизиты, включая CVV-код

Другой распространенный тип атаки, целью которой является доступ к платежным средствам пользователя, — просьба подтвердить платежные реквизиты или добавить их. Разумеется, в этом случае преступники получают доступ к средствам на банковской карте.

Слева: фальшивая страница Netflix с запросом на добавление нового способа оплаты. Справа: фишинговая страница, запрашивающая у пользователя платежную информацию якобы в учетной записи на платформе Hulu

Содержание электронных писем, с помощью которых пользователя заманивают на поддельные страницы, не ново:  пользователя предупреждают, что указанный им способ оплаты устарел или его необходимо подтвердить, и если жертва не укажет актуальные данные в ближайшее время, доступ к учетной записи или подписка будут приостановлены.

Фишинговое электронное письмо с просьбой указать новый, действительный способ оплаты для учетной записи Amazon Prime

Учитывая, что число пользователей стриминговых сервисов будет только увеличиваться, вполне вероятно, что доля фишинга, связанного с упомянутыми платформами, а также количество самих платформ, попадающих в поле зрения преступников, тоже будут расти.

Скачайте приложение и… парочку зловредов

Те, кто подписывается на стриминговые сервисы по официальным каналам и использует только одобренные версии приложений, в большинстве случаев могут избежать случайной загрузки вредоносного ПО. Те же, кто хочет получить доступ к сервису другими путями, гораздо больше подвергаются опасности. Впрочем, честные подписчики тоже не застрахованы на 100%. Они могут столкнуться с вредоносным ПО при попытке загрузить любую неофициальную или модифицированную версию приложения (например, Netflix с черным, а не красным фоном). Они также могут стать жертвами вредоносного ПО, если киберпреступники захотят украсть их учетные данные.

На диаграмме ниже отражено количество уникальных пользователей продуктов «Лаборатории Касперского», которые при попытке просмотра контента популярных стриминговых сервисов неофициальными методами столкнулись с различными угрозами, содержащими в качестве приманки названия известных платформ.

Количество атакованных уникальных пользователей в период с января 2019 года по 8 апреля 2020 года (скачать)

Активнее всего преступники использовали в качестве приманки платформу Netflix, сервис Hulu был вторым по популярности, а Amazon Prime — третьим. Только 28 пользователей столкнулись с различными киберугрозами при попытке смотреть контент Disney+ неофициальными методами и ни одного — в случае Apple TV+.

Disney+ — это относительно новый сервис, чем частично и объясняется низкий показатель. Кроме того, он доступен в гораздо меньшем количестве стран, чем Amazon Prime и Netflix — 15 против более чем 100. С другой стороны, сервис Hulu доступен только в США, поэтому любой, кто хочет им воспользоваться за пределами страны, вынужден прибегать к неофициальным средствам, увеличивая свои шансы на столкновение с киберугрозами.

Отсутствие Apple TV+ в этом списке может быть связано с тем, что многие люди получили бесплатную годовую подписку: все, что им нужно было для этого сделать, это купить новую приставку Apple TV или любое устройство Apple не ранее 10 сентября 2019 года. Основная масса вредоносных программ загружается, когда пользователи пытаются получить доступ к сервису, не имея платной подписки. Поэтому чем больше людей имеют доступ к платформе, тем меньше вероятность загрузки вредоносных программ. Теоретически пользователи могут столкнуться с вредоносными программами при попытке конвертировать DVD-контент или видео в формат, поддерживаемый Apple TV, однако если у них уже есть приставка, им не нужно искать неофициальные средства для просмотра Apple TV+.

В то же время Apple TV+ не может похвастать высокими показателями на фоне конкурентов. Исследования показывают, что менее 10 % пользователей, имеющих право на бесплатную годовую подписку, воспользовались ею по факту. И хотя сервис доступен более чем в 100 странах, он насчитывает не более 10 миллионов пользователей. Учитывая относительно низкую популярность, неудивительно, что он не относится к первоочередным целям киберпреступников.

Общее число попыток заразить пользователей, желающих получить неофициальный доступ к популярным стриминговым платформам, с использованием названий этих платформ в качестве приманки, составило 23 936.

Количество атакованных уникальных пользователей в период с января 2019 года по 8 апреля 2020 года (скачать)

Процентное соотношение различных типов угроз, использующих названия популярных стриминговых платформ, с которыми сталкивались пользователи в период с января 2019 года по 8 апреля 2020 года (скачать)

Троянцы — самая распространенная угроза, с которой сталкиваются пользователи при попытке просмотра контента стриминговых платформ с помощью неофициальных средств (47%), является также самой опасной. Зловреды этого типа позволяют злоумышленникам делать все, начиная с удаления и блокировки данных и заканчивая вмешательством в работу компьютера. Среди распространяемых троянцев были и троянцы-шпионы, отслеживающие действия пользователей на зараженном устройстве. С помощью шпионских программ могут собираться личные документы и фотографии пользователей, а также логины и пароли к учетным записям, содержащим платежные данные.

Следующие по распространенности угрозы — потенциально опасное или рекламное ПО.  В первую категорию попадают различный софт, от менеджеров загрузки до инструментов удаленного администрирования. Что касается рекламного ПО, то оно полностью соответствует своему названию: заваливает пользователей нежелательной рекламой.

Некоторое беспокойство вызывает значительный процент пользователей, сталкивающихся с бэкдорами. Эти вредоносные файлы позволяют злоумышленникам получить удаленный контроль над устройством и выполнять практически любые задачи, в том числе превращать компьютер в часть ботнета или зомби-сети.

География обнаруженных угроз

Страны с наибольшим количеством зарегистрированных атак: Hulu
1) Доминиканская Республика	10,5%
2) США	10,4%
3) Индонезия	5,6%
4) Индия	4,9%
5) Китай	4,5%

Угрозы, содержащие название сервиса Hulu в качестве приманки для желающих смотреть контент платформы с помощью неофициальных средств, встречаются по всему миру. Второе место по количеству атак занимают Соединенные Штаты, что неудивительно.

Страны с наибольшим количеством зарегистрированных атак: Netflix
1) Германия	11,2%
2) Алжир	8,2%
3) Индия	7,8%
4) Бразилия	7,8%
5) Франция	4,3%

В случае Netflix с различными киберугрозами сталкиваются пользователи по всему миру. Наибольшее количество атак исходило из Германии. Это может быть связано с тем, что Германия входит в десятку стран, в которых Netflix пользуется наибольшей популярностью.

Страны с наибольшим количеством зарегистрированных атак: Amazon Prime Video
1) США	36,5%
2) Индия	17,8%
3) Германия	15,1%
4) Бразилия	4,3%
5) Филиппины	2,8%

При попытке неофициального просмотра Amazon Prime Video с киберугрозами сталкиваются пользователи по всему миру, при этом наибольшее количество атак (36,5%) исходит из США — с крупнейшего рынка Amazon. Германия является крупнейшим зарубежным рынком Amazon, что объясняет большое количество пользователей, которые сталкиваются с различными киберугрозами. На Индию компания Amazon обратила свое внимание в 2018 году. 69,4% всех атак, содержащих упоминания Amazon Prime, были совершены с территории этих трех стран.

Страны с наибольшим количеством зарегистрированных атак:  Disney +
1) Алжир	30%
2) Нидерланды	14%
3) Саудовская Аравия	8,5%
4) Индия	7,7%
5) Ирландия	7,7%

Наибольшее количество зарегистрированных попыток заражения, в которых использовалось название Disney+, пришлось на долю Алжира (30%). Сервис недоступен в Алжире, а это означает, что любой, кто пытается получить доступ к его контенту, вынужден делать это нелегально, увеличивая тем самым свои шансы столкнуться с вредоносными файлами. То же самое касается и Саудовской Аравии.

Чекеры аккаунтов

Черный рынок аккаунтов стриминговых сервисов — это крупный бизнес, существующий уже много лет. Любой, кто хочет приобрести учетную запись в стриминговом сервисе, может запросто найти подобные предложения, вбив в поисковик «бесплатные аккаунты Netflix» или «купить подписку Hulu дешево».  Есть даже целые сайты, специализирующиеся на продаже логинов и паролей со скидкой.

Учетные данные собирают различными способами. Наиболее распространен фишинг. В 2016 году компания Trend Micro обнаружила схему, при которой пользователям Netflix рассылали электронные письма с вредоносными ссылками: при переходе по такой ссылке запускалась вредоносная программа, автоматически собиравшая учетные данные. Таким образом злоумышленники собрали более 300 000 паролей, которые затем продали.

Распространенным инструментом для сбора учетных данных является так называемые «чекеры» аккаунтов, с помощью которых можно проверить пароли, которые утекли в сеть, на разных сайтах и позволяют выяснить, в каких аккаунтах эти пароли используются. Как только обнаруживается подходящая пара (например, адрес электронной почты и пароль для действующей учетной записи Amazon Prime), злоумышленники могут завладеть этой учетной записью — а также любой финансовой информацией, содержащейся в ней — и затем продать ее на черном рынке.

Количество уникальных пользователей популярных стриминговых платформ, столкнувшихся с различными угрозами в результате использования чекеров в период с января 2019 года по 8 апреля 2020 года (скачать)

Однако «чекерами» пользуются не только профессиональные преступники, но и те, кто просто ищет бесплатный доступ к учетным записям стриминговых платформ. К сожалению, такие инструменты часто «укомплектованы» различным вредоносным ПО. В период с января 2019 года по 8 апреля 2020 года 6661 пользователь продуктов «Лаборатории Касперского» столкнулся с различными угрозами, воспользовавшись «чекером» аккаунтов в поисках альтернативного доступа к стриминговым платформам. В общей сложности было зафиксировано 57 784 попытки злоумышленников заразить пользователей через «чекер». Здесь самым популярным сервимо также оказался сервис Netflix: с киберугрозами столкнулось 6292 пользователя, при этом было зарегистрировано 52 899 попыток заражения.

Второе место по количеству угроз, связанных с «чекерами», заняла платформа Hulu. Это опять же можно объяснить тем, что в настоящее время сервис доступен только в Соединенных Штатах и для многих единственными способами получить доступ к ней являются неофициальные.

Что касается Amazon Prime, то лишь малая доля пользователей сервиса сталкивалась с угрозами, связанными с «чекерами» аккаунтов. Возможно, это обусловлено моделью подписки Amazon: Amazon Prime Video входит в пакет услуг для всех абонентов Amazon Prime. Те, кто хочет получить доступ к Amazon Prime Video, возможно, ищут учетные данные от аккаунтов Amazon, а не конкретно Amazon Prime Video.

Ни один пользователь не сталкивался с угрозами при использовании «чекеров» аккаунтов для Apple TV +. Разумеется, это может быть связано с тем, что компания Apple раздавала бесплатную подписку на один год.

Угрозы, связанные с оригинальным контентом

Стриминговые сервисы, такие как Netflix, стали популярны не только благодаря фильмам и телепередачам сторонних производителей, но и благодаря созданию собственного контента. Некоторые из самых популярных сериалов Netflix — оригинальные, и в этом году на подобный контент компания планирует потратить 17,3 миллиарда долларов. Другие сервисы последовали примеру Netflix. В частности, компания Apple вложила 6 миллиардов долларов в собственный контент на момент запуска Apple TV +. Для тех, кто хочет посмотреть эти оригинальные сериалы, не тратя на это 5–10 долларов в месяц, единственный способ получить желаемое — скачать их со стороннего сайта.

С точки зрения количества пострадавших уникальных пользователей, TOP 10 оригинальных сериалов (из 25 упомянутых в разделе «Методология» настоящего отчета), которые преступники чаще всего используют в качестве приманки, в том числе для распространения вредоносных программ, выглядит следующим образом:

1) «Мандалорец» (Disney+)	1614
2) «Очень странные дела» (Netflix)	1291
3) «Ведьмак» (Netflix)	1076
4) «Половое воспитание» (Netflix)	420
5) «Оранжевый — хит сезона» (Netflix)	253
6) «Озарк» (Netflix)	177
7) «Человек в высоком замке» (Amazon Prime Video)	142
8) «Пространство» (Amazon Prime Video)	119
9) «Дрянь» (Amazon Prime Video)	102
10) «Касл-Рок» (Hulu)	99

Чаще всего в качестве приманки использовался сериал «Мандалорец» (1614), выпущенный на платформе Disney+ в 2019 году. Он стал первым оригинальным хитом платформы и самым востребованным сериалом на ней в ноябре прошлого года. «Очень странные дела» (1291) и «Ведьмак» (1076) занимают второе и третье место по количеству пользователей, столкнувшихся с различными угрозами. Сериал «Половое воспитание» с большим отрывом (420) оказался на четвертом месте. Если говорить о 10 оригинальных сериалах, чаще всего используемых в качестве приманки злоумышленниками, то 5 из них принадлежат Netflix, 3 — Amazon Prime Video, 1 — Hulu и 1 — Disney+.

Платформа Netflix имеет самый большой каталог контента собственного производства, поэтому неудивительно, что названия ее сериалов чаще всего используют для маскировки вредоносных файлов. «Очень странные дела» — один из самых популярных сериалов на платформе: запуск третьего сезона показал рекордное количество просмотров — 26,4 миллиона всего за четыре дня. «Ведьмак» также стал настоящим хитом для Netflix: по имеющимся данным, как минимум первые две минуты его смотрели около 76 миллионов человек по всему миру. Первый сезон сериала «Половое воспитание» (выпущено два сезона) посмотрело около 40 миллионов человек.

Подробнее о первой пятерке

4502 пользователя продуктов «Лаборатории Касперского» столкнулись с вредоносными программами, распространявшимися под видом пяти самых популярных сериалов: «Мандалорец», «Очень странные дела», «Ведьмак», «Половое воспитание», «Оранжевый — хит сезона». Первый является детищем Disney+, а остальные четыре принадлежат компании Netflix.

В общей сложности было предпринято 18 947 попыток заразить этих пользователей, используя в качестве приманки приведенные выше пять сериалов, причем наибольшей популярностью у злоумышленников пользовался «Мандалорец» (5855).

Распределение по типу киберугроз выглядит следующим образом:

Процентное распределение различных типов угроз, замаскированных под один из пяти сериалов, наиболее часто используемых в качестве приманки (скачать)

Практически две трети угроз (74%) — это троянцы. Под маской популярных сериалов распространяли весь спектр такого ПО: от троянцев-шпионов, дропперов и загрузчиков до троянцев-вымогателей, банковских троянцев  и PSW (предназначенных для кражи логинов и паролей). Кроме троянцев, пользователи сталкивались с потенциально вредоносным ПО.  Среди обнаруженных вредоносных программ было также небольшое количество неклассифицированных зловредов (Dangerous Objects), бэкдоров и эксплойтов.

Ниже перечислены десять стран, в которых было выявлено наибольшее число различных угроз, распространявшихся под видом пяти популярных сериалов:

1) Испания	51,2%
2) Россия	17,6%
3) Индия	2,7%
4) ЮАР	2%
5) Беларусь	1,9%
6) Эфиопия	1,8%
7) Алжир	1,8%
8) Турция	1,5%
9) Кения	1,4%
10) Филиппины	1,4%

Более половины зарегистрированных атак, в которых использовалось название одного из пяти популярных сериалов-приманок, исходило из Испании. Также значительная доля атак (17,6 %) исходила из России, а третье место по этому показателю заняла Индия. Сервис Disney+ был запущен как часть местной стриминговой платформы Hotstar и к апрелю, по данным СМИ, набрал 8 миллионов подписчиков. Популярность Netflix в Индии за последние несколько месяцев также значительно возросла.

Что ждет нас в будущем

Стриминговые войны только начались, как и связанные с ними кибератаки. Мировая пандемия и последовавший за ней резкий рост числа подписчиков только подогрели интерес злоумышленников к стриминговым сервисам.

Рост числа платформ также делает пользователей более уязвимыми к кибератакам: чем больше подписок, тем труднее за ними уследить, особенно если какая-то из них больше не используется, но остается активной. Кроме того, люди склонны к использованию одного и того же пароля в разных сервисах, а это означает, что если злоумышленники получат данные одной учетной записи, они потенциально могут использовать их для доступа к другим аккаунтам.

Более того, покупка стримингового контента приводит к заметным расходам. Стоимость каждой индивидуальной подписки может варьироваться от 6 до 12 долларов в месяц. Если бы вы захотели получить доступ ко всем пяти рассмотренным в этом отчете платформам, они обошлись бы вам в 36 долларов США в месяц, и это без учета подписки на локальные каналы или сервисы. Чем больше платформ, тем больше подписок пользователям придется приобрести, чтобы просматривать весь любимый контент, а это требует денег, которых у них может и не быть. Другими словами, чем дороже становится стриминговый контент, тем больше пользователей будут стремиться отыскать более дешевые способы доступа к кино и сериалам, будь то покупка учетных записей со скидкой, использование «чекеров» учетных записей, мошенничество с бесплатными подписками и т. д. Все это делает их более уязвимыми для вредоносных программ и других киберугроз.

Что касается платформ, названия и контент которых часто используют злоумышленники, чтобы вынудить пользователя загрузить различные угрозы, то Netflix все еще занимает лидирующие позиции. По всему миру у Netflix самая широкая аудитория (трудно сказать, сколько людей смотрят Amazon Prime Video, потому что Amazon только подсчитывает общее число участников программы Prime). Однако ситуация может измениться по мере роста числа подписчиков новых платформ. Всего за шесть месяцев аудитория Disney+ выросла до 54,5 миллионов пользователей, что свидетельствует о том, что компания может составить серьезную конкуренцию Netflix. По мере сдвига популярности в сторону тех или иных сериалов и платформ будут меняться и основные мишени киберпреступников.

Независимо от того, какую платформу или сериал вы выбираете для просмотра, важно принять определенные меры предосторожности.

Чтобы обезопасить себя от фишинга, связанного со стриминговыми платформами, специалисты «Лаборатории Касперского» рекомендуют следующее:

• Внимательно изучите адрес отправителя: если письмо пришло с бесплатного почтового сервиса или содержит бессмысленные символы, то оно, скорее всего, фальшивое.
• Обратите внимание на текст: известные компании не будут рассылать электронные письма с плохим форматированием или плохой грамматикой.
• Не открывайте вложения и не нажимайте на ссылки в письмах от стриминговых сервисов, особенно если отправитель настаивает на этом. Лучше вручную открыть в браузере официальный сайт и войти в свою учетную запись на нем.
• С подозрением относитесь к любым предложениям, которые кажутся слишком выгодными, чтобы быть правдой, например «бесплатная годовая подписка».
• Не открывайте сайты, пока не убедитесь, что адрес начинается с «https».
• Оказавшись на сайте, проверьте его подлинность.
  • Перепроверьте URL-адрес или написание названия компании, а также прочитайте отзывы и проверьте регистрационные данные домена, прежде чем что-либо загружать оттуда.
• Используйте надежное защитное решение, например Kaspersky Security Cloud, которое выявляет вредоносные вложения и блокирует фишинговые сайты.

Чтобы защитить себя от вредоносного ПО при попытке просмотра контента стриминговых платформ или их оригинальных сериалов:

• По возможности осуществляйте доступ к стриминговым платформам только по принадлежащей вам платной подписке через официальный сайт или приложение, скачанное с одного из официальных магазинов приложений.
• Не загружайте неофициальные или модифицированные версии приложений для этих платформ.
• Используйте уникальный, надежный пароль для каждой из ваших учетных записей.
• Используйте надежное решение, такое как Kaspersky Security Cloud, предоставляющее расширенные возможности защиты на всех ваших устройствах.