Спам и фишинг

Землетрясение в Японии – хронология IT-угроз

Содержание

Хорошо известно, что киберпреступники часто используют события глобального масштаба в корыстных целях. Примером могут служить такие природные катаклизмы, как землетрясение на Гаити, ураган Катрина или землетрясение в Новой Зеландии. Стихийное бедствие в Японии и его последствия не стали исключением. Подобные события снова и снова позволяют киберпреступникам наживаться на несчастье других людей.

Существует множество способов пожертвовать средства в пользу пострадавших от землетрясения в Японии, однако огромное количество благотворительных организаций и инициатив может любого сбить с толку. Кроме того, не всегда ясно, можно ли доверять организаторам подобных кампаний.

То же самое относится и к ошеломляющему потоку информации и новостей в таких ситуациях. В наши дни традиционные средства массовой информации, такие как телевидение, радио и газеты, дополнились множеством веб-сайтов, блогов, видео-порталов и социальных медиа, предлагающих новости в режиме реального времени.

Такое многообразие крайне выгодно для киберпреступников. Мошеннические схемы, сопровождающие события мирового масштаба, становятся все более изощренными, а раскрыть их с каждым разом все сложнее. Преступники используют современные СМИ и методы социальной инженерии для обмана доверчивых пользователей. При этом они играют на чувствах людей и используют присущие им черты:

  • Милосердие, желание сделать пожертвование
  • Любопытство, любовь к сенсациям
  • Стремление помочь пострадавшим
  • Склонность поддаваться панике

В случае с землетрясением в Японии киберпреступники превзошли самих себя. Сейчас, спустя два месяца после землетрясения и цунами 11 марта, пришло время рассмотреть наиболее важные с точки зрения информационной безопасности события.

Примечание: данная статья не претендует на полноту изложения, но позволяет получить представление о том, как развивались события. Имевшие место инциденты представлены в хронологическом порядке.

 

11 марта – Google вновь запускает сервис Person Finder

В феврале компания Google оказала помощь в устранении последствий землетрясения в Новой Зеландии, выпустив Person Finder. Повторный запуск сервиса Google был произведен с целью поддержать пострадавших от землетрясения в Японии. Person Finder – инструмент, помогающий определить местонахождение пропавших без вести. Back to top

12 марта – Первые случаи Likejacking в Facebook

Первый случай мошенничества Likejacking в Facebook, в котором использовалась тема цунами, был достаточно абсурдным (текст сообщения ниже: «В результате японского цунами КИТ врезался в здание!»):

После клика по ссылке пользователь перенаправлялся на страницу, напоминающую сайт Facebook, с имитацией окна Flash Player, демонстрирующего видеоролик. Однако после клика в любом месте страницы его друзьям рассылалось статус-сообщение («Мне нравится»), а самому пользователю предлагалось пройти опрос, чтобы посмотреть видео и якобы получить возможность выиграть iPad 2, iPhone или ноутбук. Киберпреступники, использующие эту мошенническую схему, получали прибыль с каждой заполненной анкеты.

Еще одна аналогичная схема имела похожий механизм, с той лишь разницей, что веб-сайт, на котором якобы размещено видео, имитировал не Facebook, а YouTube. В рамках этой схемы пользователям тоже предлагалась фальшивая лотерея с iPad и iPhone в качестве призов.

При этом сообщение также рассылалось через новостную ленту Facebook, а пользователей обманом убеждали пройти опрос.

Back to top

13 марта – Новые случаи Likejacking в Facebook со ссылками на несуществующие видеоролики о цунами


Данная мошенническая схема похожа на приведенные выше примеры, но в конце содержит предложение о покупке дешевой страховки. Как и в большинстве подобных случаев, видео не проигрывается.

Пользователь, заходящий на веб-сайт, должен согласиться на одно из предложений в обмен на возможность просмотреть видео – которого опять-таки не существует. Предложения включают браузерные игры, выгодные страховки и темы для оформления личной странички на Facebook. Все это якобы служит для проверки возраста пользователя, желающего просмотреть видео. Back to top

14 марта – Через Twitter рассылаются фальшивые сообщения о сборе пожертвований от имени Американского Красного Креста

Помимо Facebook, для рассылки мошеннических писем, связанных с землетрясением в Японии, также использовался Twitter. Призывы о пожертвованиях рассылались с фальшивых Twitter-аккаунтов Красного Креста. Утверждалось, что переведенные пользователями средства будут использованы для оказания помощи жителям Японии. Back to top

14 марта – В массовой кампании по «черной» поисковой оптимизации используются 1,7 млн. страниц (по данным Google)


По данным SANS и Google, вскоре после бедствия в Японии была проведена масштабная кампания по «черной» поисковой оптимизации, в рамках которой для распространения фальшивого антивируса было задействовано более 1.7 миллиона страниц. Эта кампания продемонстрировала, насколько активны киберпреступники и как быстро они способны реагировать на горячие новости. Back to top

14 марта – SMS-рассылка с ложным сообщением об угрозе радиации вызывает панику на Филиппинах

Согласно сообщениям Spiegel и BBC , на Филиппинах рассылались SMS-сообщения, содержащие лживую информацию. В тексте сообщения, якобы отправленного британским новостным каналом, утверждалось, что радиоактивное облако накроет Манилу в понедельник 14 марта около 16.00. Похоже, целью этой фальшивки было просто вызвать панику среди населения, поскольку нет оснований считать, что злоумышленникам удалось извлечь из своих действий материальную выгоду. Back to top

15 марта – Мошенники организуют в Facebook группы якобы для сбора средств в пользу Японии

Всего за несколько дней на Facebook появились сотни групп и страниц с призывами о пожертвованиях. Одни обещали, что определенная сумма денег будет перечисляться в пользу пострадавших каждый раз, когда пользователь нажмет на кнопку «Мне нравится», другие предлагали перевести деньги через систему онлайн-платежей. Определить реальные намерения создателей многих подобных групп было очень сложно. Back to top

15 марта – IT-экперт Майкл Хорн (Michael Horn), также известный как Nibbler, запускает проект geigerCrowd

Хакеры помогают Японии: IT-эксперт Майкл Хорн, также известный как Nibbler, запустил проект geigerCrowd (http://www.geigercrowd.net/), в котором использовал краудсорсинг для разработки программного обеспечения, а также обработки данных об уровне радиации в разных районах страны и представления этой информации в графическом виде. Back to top

16 марта – Рассылаются спам-сообщения со ссылками на вредоносный сайт

В одной из первых волн спама, эксплуатирующего ситуацию в Японии, были использованы несколько подлинных заголовков новостей BBC. Однако ссылки с них вели на вредоносный веб-сайт, использующий Java-эксплойты для распространения вредоносного ПО.

На скриншоте показано сообщение, полученное 19 марта. Наш коллега Николя написал в своем блоге о похожем сообщении, которое было получено 16 марта. Back to top

17 марта – Поддельные письма якобы от Twitter обещают просмотр видео со станции Фукусима-1

В этом письме, якобы отправленном службой поддержки социальной сети Twitter, обещан просмотр видеоролика, снятого в запретной зоне вокруг станции Фукусима-1. Ссылка перенаправляет пользователей на вредоносный веб-сайт, заражающий их компьютеры различными вариантами Trojan-Downloader.Win32.Codecpack с помощью нескольких эксплойтов, входящих в набор Incognito.

Наш коллега Николя написал об этом блогпост. Back to top

18 марта – Раскрыто мошенничество с авиабилетами

Согласно Koreatimes.co.kr, жители Южной Кореи стали жертвой мошенников, заплатив за несуществующие авиабилеты. Билеты были распроданы в результате паники среди населения и связанного с ней резкого роста числа людей, желающих покинуть страну.

В мошенническом сообщении говорилось, что два билета сданы и продаются. Предложение якобы исходило от сотрудника туристического агентства. Жертв просили прислать копию паспорта и перевести $674. Таким образом, киберпреступники получили и деньги, и личные данные обманутых пользователей. Back to top

18 марта – Спам с ложными обращениями о сборе пожертвований для Японии

Отправитель этого спам-сообщения якобы является представителем форума японской общины в Испании. Пожертвование должно быть сделано через интернет-портал Western Union, который часто используется в подобных мошеннических схемах, так как обеспечивает злоумышленникам высокий уровень анонимности.

Наш коллега Майкл написал об этом случае в своем блоге. Back to top

23 марта – Рассылка спама от имени Британского Красного Креста

Это относительно поздний образец фальшивого письма с просьбой о пожертвованиях. Мошенники всячески старались, чтобы сообщение выглядело так, как будто оно отправлено Британским Красным Крестом. Однако адрес отправителя – поддельный.

Примечательно то, что авторы этого письма максимально облегчили доверчивым пользователям перевод денежных средств… которые, конечно же, попадали прямиком в карманы киберпреступников. В конце сообщения размещена HTML-форма для совершения пожертвования. Потенциальных жертв также просили предоставить свои личные данные. Таким образом, в этом случае киберпреступники также убивали сразу двух зайцев.

Back to top

25 марта – Продолжается распространение вредоносного ПО через веб-сайты

25 марта наш коллега Майкл обнаружил еще один веб-сайт, распространяющий вредоносные программы. Сайт рекламирует видео, название которого можно перевести как «Новое цунами достигло области Сендай, Япония объявляет чрезвычайное положение на атомной электростанции». Однако после клика на странице загружается и запускается файл, детектируемый нами как Trojan-Downloader.Win32.AutoIT.po, который, в свою очередь, загружает три дополнительных бинарных файла.

Back to top

28 марта – Еще одна спам-рассылка от имени Красного Креста

Еще одна волна фальшивых сообщений от имени Красного Креста (на этот раз якобы отправленных из филиала в Японии) с просьбами о пожертвованиях.

Back to top

Землетрясение в Японии – хронология IT-угроз

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике