Уроки веб-безопасности от RU-CENTER: коронавирус
К сожалению, распространение коронавируса привело не только к сплочению общества. На фоне паники и неразберихи активизировались мошенники, которые в связи с COVID-19 вымогают деньги у доверчивых пользователей.
Мы открываем серию статей о веб-безопасности материалом о том, как не попасться на уловки злоумышленников в сети. Расскажем о распространённых видах мошенничества и объясним, на что обращать внимание.
Сбор пожертвований от имени ВОЗ
В середине марта Честер Вишневски из Sophos (производитель средств информационной безопасности) опубликовал в Твиттере скриншот спам-рассылки. Отправителем значился Фонд солидарности Всемирной организации здравоохранения. В письме получателей призывали пожертвовать биткоины на борьбу с пандемией:
Из аккаунта Честера Вишневски (https://twitter.com/chetwisniewski)
Если вы получите похожее письмо, будьте бдительны. ВОЗ действительно создала Фонд солидарности для сбора средств на борьбу с пандемией COVID-19 и нуждается в поддержке, но публикует инструкции по оплате на официальном сайте:
Кликнув по кнопке, вы попадёте на страницу covid19responsefund.org
Также стоит перепроверять письма, в которых призывают жертвовать средства на лечение людей, заражённых вирусом. Это распространённая мошенническая схема, адаптированная под современные реалии. Если вы хотите отправить деньги настоящим жертвам болезни, обратитесь в региональный Минздрав и выясните, какие фонды собирают средства на борьбу с вирусом.
Как не попасться
- Ориентируйтесь на официальные источники. Перед тем как переводить деньги, проверяйте информацию на сайте ВОЗ (https://www.who.int/) или в пресс-центрах региональных Министерств здравоохранения.
- Проверяйте имя отправителя. Для связи с настоящим Фондом ВОЗ используется ТОЛЬКО e-mail COVID19Fund@unfoundation.org. Если вы видите в графе «От кого» почту частного лица, смело отправляйте письмо в спам. Так стоит поступать и с адресами, которые используют слова, связанные с коронавирусом (кроме названного выше).
- Обращайте внимание на способ пожертвования. В представленном лжеписьме аферисты просят перевести биткоины на кошелёк. Это нелегальный способ, который выдаёт мошенников. На сайте ВОЗ перечислены доступные способы (онлайн-пожертвования на сайте, через Facebook и Google и некоторые другие).
Спекуляция на дефицитных товарах
Повышенный спрос на медицинские товары для защиты (маски, антисептики, перчатки) привёл к дефициту. Например, одноразовые маски быстро исчезли с витрин крупнейших онлайн-магазинов (Ozon, Яндекс.Маркет и т. д.):
Ситуацией воспользовались мошенники. В сети появились поддельные интернет-магазины и аккаунты в социальных сетях и мессенджерах. Платформы типа Avito наполнились объявлениями от недобросовестных продавцов. Стоит ли говорить, что товары продаются с наценкой.
Ещё одним предметом спекуляции стали «волшебные» вакцины от коронавируса и экспресс-тесты для его выявления. На 10 апреля 2020 года не существует клинически доказанного средства против COVID-19, который бы рекомендовала ВОЗ.
Что касается тестов, то, по словам президента РАСПП Виталия Манкевича, одним из официальных поставщиков являются шанхайские биотехнологические компании «Джено Лтд.» (Jeno Bio) и «Чжицзян» (ООО «Хуада Чжизао»), а образцы, которые продаются в интернете в России, могут оказаться просто пустышкой:
Пример экспресс-теста на выявление коронавируса без опознавательных знаков
Мошенническая схема устроена просто. Недобросовестные продавцы просят покупателя перевести стопроцентную предоплату, а потом исчезают.
Несмотря на то, что модераторы платформ и хостинг-провайдеры блокируют такие объявления и сайты, их количество велико и есть риск пополнить число обманутых пользователей.
Как не попасться
- Вакцины от коронавируса не существует. Просто помните это и узнавайте актуальную информацию об успехах учёных на сайте ВОЗ. Если вы не владеете английским, поможет функция «Перевести эту страницу» в браузере Google Chrome.
- Ищите товары в проверенных интернет-магазинах. Не покупайте средства защиты во ВКонтакте, в Instagram, Telegram и на других сайтах/мессенджерах, где нет верификации продавцов.
- Следите за ценами. Если вы всё-таки решили купить товар у непроверенного поставщика, обратите внимание на ценник. Одна из характерных черт недобросовестных продавцов — завышенные цены на товары по сравнению со среднерыночной стоимостью. Проверьте стоимость аналогичного товара на других платформах.
- Не перечисляйте деньги заранее. Этот совет также относится к покупкам на незнакомых сайтах или у частных лиц. Если продавец просит перевести деньги сразу, велик шанс, что на этом сделка и закончится.
- Оберегайте пожилых родственников. Люди пенсионного возраста чаще становятся жертвами мошенников. Если пожилые люди в вашей семье пользуются интернетом, предложите купить необходимые товары вместо них и расскажите о рисках онлайн-покупок.
Приложения-вымогатели
В середине марта компания DomainTools, специализирующаяся на веб-безопасности, опубликовала статью о громком киберпреступлении, которое эксплуатировало тему коронавируса.
В ней рассказывалось о приложении на Android (Covid19Tracker). Оно преподносилось как способ отслеживать динамику распространения COVID-19 на тепловой карте. В действительности это был вирус-вымогатель:
Изображение с сайта https://www.domaintools.com/
После установки приложения на смартфон устройство блокировалось, и злоумышленники давали пользователям 48 часов на то, чтобы заплатить выкуп 100$. В противном случае вымогатели угрожали стереть все данные с памяти телефона.
Специалисты DomainTools провели расследование и опубликовали ключ для разблокировки смартфонов. Сайт, с которого распространялось приложение, был заблокирован, но нет гарантий того, что злоумышленники не создадут новый сайт и новое приложение с похожей механикой.
Подробное расследование о приложении и поиске его создателя можно найти в статье CovidLock Update: Deeper Analysis of Coronavirus Android Ransomware.
Как не попасться
- Сверяйтесь с надёжными источниками. Технические инновации, связанные с коронавирусом, публикуются на сайтах официальных источников (например, карта распространения коронавируса в России и мире от Яндекс).
- Загружайте приложения для Android только с Google Play. Скачивая программы и приложения с незнакомых интернет-ресурсов, вы с большей вероятностью можете наткнуться на вредоносную программу.
- Используйте аппаратную защиту Android. Устанавливайте надёжные пароли и следуйте рекомендациям Центра безопасности Android. Регулярно обновляйте систему безопасности.
Спам-рассылки с вредоносными ссылками
Киберпреступники воруют/вымогают не только деньги, но и персональные данные. Речь идет о многочисленных спам-рассылках с вредоносными ссылками. Константин Игнатьев, специалист «Лаборатории Касперского», считает, что счёт их «может идти на тысячи в день».
Как правило, злоумышленники рассылают письма от имени медицинских организаций (ВОЗ, Центров по контролю и профилактике заболеваний и других). Сами письма содержат советы о том, как избежать заражения, или новости, связанные с распространением вируса.
Главное, что отличает их от настоящих писем, — фишинговая ссылка, которая ведёт на вредоносный ресурс. Перейдя по ней, пользователи попадают на фишинговый сайт, имитирующий оригинальный. Их цель — получить конфиденциальную информацию пользователей (логины, пароли, номера банковских карт и т. п).
Пример вредоносного письма, отправленного от имени организации «Центры по контролю и профилактике заболеваний» (по-английски: Centres for Disease Control and Protect с доменом cdc.gov). Злоумышленники использовали похожий адрес cdc-gov.org вместо cdc.gov):
Изображение с сайта https://www.kaspersky.ru/blog/coronavirus-phishing/26308/
Как не попасться
- Не переходите по ссылкам из писем. Речь идёт о рассылках, связанных с темами здоровья и коронавируса. Если не уверены в отправителе, проигнорируйте или отправьте письмо в спам.
- Проверяйте имя отправителя. Мы уже давали этот совет, но для этого случая он настолько же актуален. Проверьте, что стоит в поле «От кого». Чтобы понять, принадлежит ли адрес существующей организации, просто скопируйте его из письма и сопоставьте с контактными данными на официальном сайте. Также можно воспользоваться поисковыми системами.
- Проверьте ссылку, не переходя по ней. Наведите курсор на ссылку, в небольшом всплывающем окне появится её фактический URL. Если он не совпадает с заявленным в тексте ссылки, это повод насторожиться и отказаться от идеи переходить на сайт.
- Установите антифишинговое расширение. Они сигнализируют в браузере, если вы попадаете на сайт, с которым что-то нечисто. Можно использовать AdGuard и другие аналогичные варианты.
«Коронавирусные» домены
Последний блок нашей статьи будет связан с мошенничеством косвенно. Расскажем о том, как тему коронавируса эксплуатируют в рамках доменного рынка.
Из исследования Check Point, компании, работающей в сфере IT-безопасности, стало известно, что с января 2020 года было зарегистрировано не менее 4 000 доменов, связанных с коронавирусом. Не менее 3% из них были признанными вредоносными, а не менее 5% — подозрительными.
Ситуация не устраивала правоохранительные органы США, ведь такие домены используются для того, чтобы вымогать деньги и данные по механикам, описанным выше. Чтобы препятствовать злоумышленникам, в конце марта генеральная прокуратура призвала американских регистраторов (GoDaddy, Dynadot и др.) блокировать вредоносные домены и препятствовать регистрации новых.
По сведениям Координационного центра доменов, с 1 января по 27 марта в национальных зонах .RU и .РФ было зарегистрировано более полутора тысяч доменов, содержащих слова corona, covid, virus, корона, ковид, вирус. Точное соотношение «добросовестных» и «недобросовестных» доменов неизвестно.
Чтобы сделать интернет безопаснее, компания DomainTools, о которой мы уже упоминали, создала бесплатный кураторский список угроз. В нём перечислены «коронавирусные» домены с датой создания и оценкой риска от 70% до 100%. Его можно заказать на электронную почту с сайта компании, заполнив форму.
Фрагмент кураторского списка Domain Tools
Закрепим. Чтобы не стать жертвой «коронавирусных» мошенников, придерживайтесь трёх основных рекомендаций:
- Проверяйте любую информацию, связанную с коронавирусом, на сайтах авторитетных источников (ВОЗ, правительственные сайты).
- Будьте бдительны с сайтами, электронными письмами, ссылками и файлами, связанными с темами здоровья и коронавируса.
- Не покупайте средства защиты и другие товары, ставшие дефицитными на почве коронавируса, у неизвестных поставщиков (подозрительные сайты в интернете, мессенджеры и социальные сети).