Пандемия и новые приемы фишинга

22.05.2020 Распечатать новость

Пока «короновирусный кризис» остается в фокусе внимания, киберпреступники не дремлют. Ведь громкий инфоповод – отличный способ «проапгрейдить» незаконную деятельность.

Пристальное внимание к эпидемиологической ситуации вдохнуло новую жизнь в фишинговые кампании, значительно повысив их эффективность. Раньше мошенникам нужно было изобретать велосипед – придумывать правдоподобную оболочку для писем-обращений к жертве. Теперь достаточно вставить в заголовок «COVID-19» и незадачливый реципиент тут же откроет послание и запустит вложение.

Тревогу забили практически все международные компании, специализирующиеся на информационной безопасности. Однако маркером, подчеркивающим серьезность угрозы, является рассылка, проведенная Секретной Службой США (USSS) еще в начале апреля. Изучив ряд случаев утечки данных, специалисты службы пришли к выводу о резком всплеске спам-рассылок. В своем информационном сообщении они подчеркивают, что стоит предельно внимательно относиться к письмам с новостями о COVID-19, которые приходят от работодателей, поставщиков и бизнес-партнеров.

Методика атак, по данным Секретной Службы, предельно проста. Злоумышленники рассылают фишинговое послание о короновирусной инфекции, содержащее вредонос, который, чаще всего, маскируется под файлы Microsoft Office или WordPad. Далее, чтобы заразить всю систему, опасное ПО использует уязвимость Microsoft Office. Цели таких атак варьируются. Одни хакеры хотят украсть финансовые данные, другие – заблокировать систему, чтобы начать шантаж, третьи – тихо устанавливают майнер и начинают добывать криптовалюту на мощностях ничего не подозревающего бизнеса.

Еще один успешный метод фишинга, который породила волна короновируса – уведомление от заведений здравоохранения и госрегуляторов. Жертва получает послание о том, что могла контактировать с инфицированным. К письму прикреплена таблица Excel, якобы содержащая список потенциально опасных знакомств. Как только вложение запускается – вредонос начинает планомерное распространение в системе.

От действий мошенников пострадали не только частные и корпоративные пользователи. Лакомым куском, содержащим максимум чувствительной информации, была и остается отрасль здравоохранения. Для нее злоумышленники используют другую приманку: притворяясь меценатами, они отправляют письма со списком медицинского оборудования, а также перечнем средств индивидуальной защиты для врачей, готовых к поставке на безвозмездной основе. Естественно, вложение содержит вредоносное ПО.

Как оказалось, даже исполняемый EXE-файл, замаскировать не так уж и сложно. Достаточно добавить к нему префикс PDF и среднестатистический пользователь не заметит опасность.

Как заявляет Марк Коулман, помощник специального агента, ведущего расследование: «главной дырой», позволившей многим злоумышленникам реализовать коварный план, была уязвимость Microsoft Office — CVE-2017-11882, выявленная достаточно давно. Несмотря на то, что патч-исправление увидел свет в ноябре 2017 года, только в 2019 было зарегистрировано более 600 атак с использованием этой уязвимости.

Комбинация, сочетающая в себе фокусировку на старых уязвимостях и мощный инфоповод, продемонстрировала колоссальный эффект. Бывший специалист по безопасности в Microsoft, Роджер Граймс утверждает, что порядка 25% компаний не удосуживаются обновлять ПО после выхода обновлений, создавая идеальные условия для хакеров. По его словам, от 80% до 90% утечек данных происходят благодаря использованию старых «дыр» в сочетании с приемами социальной инженерии. Результат: в марте из-за массового внимания к пандемии COVID-19 интенсивность фишинга выросла на 670%.

Несмотря на то, что большинство силовых структур в различных странах мира всерьез озаботилось противодействием злоумышленникам, поднявшим голову на волне эпидемии, защита информации все равно остается личной задачей каждого бизнеса. Ждать, пока всех мошенников поймают и посадят – как минимум наивно и контрпродуктивно.

Специалисты по информационной безопасности сходятся во мнении: снизить риски и защитить ценные данные помогут несколько простых шагов. Во-первых, не стоит игнорировать свежие обновления операционных систем, офисных и защитных программ. Своевременная установка патчей поможет закрыть потенциальные «дыры». Во-вторых, в текущих условиях необходимо ввести дополнительный контроль переписки в почте и мессенджерах. Только такой способ позволит обнаружить фишинговую атаку до того, как хакеры заразят сеть и попадут в конфиденциальные хранилища информации. И, в-третьих – не стоит пренебрегать внедрением систем мониторинга персонала. Это единственный шанс обнаружить «вражескую» активность социальных инженеров.