Фишинг в Казнете. Как не попасть в сети мошенников
Мошенничество в интернете широко распространено и имеет множество форм, которые не могли бы существовать в реальной жизни. Там, где социальная инженерия встречается с современными технологиями, рождаются такие способы обмана, которые и не снились преступникам прошлого: розыгрыши призов от “знаменитостей” в инстаграме; почивший дальний родственник из Нигерии, оставивший вам солидное наследство; фейковые банковские сайты, выжимающие из доверчивого пользователя его кровные денежки.
С последним видом мошенничества многие казахстанские пользователи познакомились лично: в этом году о них часто писали в СМИ. Киберпреступники создавали копии сайтов известных банков, таких, как, допустим, Kaspi, и с их помощью пытались “развести” людей на персональные данные и деньги. Для того чтобы пресекать подобные схемы, в Казахстане существует Служба KZ-CERT. О том, как им это удается и кто стоит за фишингом в Казнете, мы поговорили с начальником Службы реагирования на компьютерные инциденты, Медетом Искаковым.
Как работают схемы фишинга?
Схема фишинга не очень проста. Различаются несколько направлений фишинга, такие как:
1) Телефонный фишинг (вишинг) – вид мошенничества с использованием социальной инженерии, который заключается в том, что злоумышленники, используя телефонную коммуникацию и играя определенную роль (в основном сотрудника банка или покупателя), под разными предлогами выманивают у держателя платежной карты конфиденциальную информацию или стимулируют к совершению определенных действий со своей платежной картой.
2) Электронная рассылка сообщений осуществляется посредством мессенджеров, sms-сообщений и электронной почты. Также в большинстве случаев используется подмена отправителя, то есть письмо может прийти от знакомого вами доверительного контакта или какой-нибудь службы технической поддержки. В письме могут быть указаны требования для пользователя, которые необходимо выполнить, будь то ссылка на интернет-ресурс (не исключается наличие на ресурсе фишинга или вредоносного ПО) на которую нужно перейти или же вредоносный файл во вложении, после открытия которого на компьютере произойдет заражение системы, вплоть до передачи контроля доступа злоумышленнику или шифрованию всех данных.
3) Создаются мошеннические интернет-ресурсы, которые имеют несколько направленностей, основные это сайты-опросники, где якобы проводятся разного рода розыгрыши, акции и прочие возможности получения выгоды для пользователей сегмента Интернет. Зачастую копируются официальные ресурсы именитых брендов и банков, для того чтобы привлечь неосторожных пользователей на свой ресурс, где собираются персональные данные и данные банковских карт.
Кстати, интернет-ресурсы бывают разные. Начиная с сайтов-опросников, эмуляция ресурсов популярных брендов, интернет-магазинов, банков и онлайн-платежных систем.
Если это фишинг акции или розыгрыша, то мошенники сначала предлагают пройти несложный опрос, после чего необходимо выполнить закрепительный платеж. Затем пользователя перенаправляют на еще один фишинговый ресурс, который содержит поля для ввода банковских реквизитов: номер карты, срок годности, имя на карте и CVV/CVC-код. Понятно, что после ввода этих данных мошенник получает доступ к счету банка пользователя.
Как вы видите, результат везде один — предоставление мошенникам доступа к своему банковскому счету.
Основная цель мошенников — это банальная нажива. А благодаря фишингу достичь этой цели можно за один день. Тем более, что посредством почтового шлюза можно осуществить фишинговую рассылку на электронные почты пользователей или же воспользоваться специальными сервисами по рассылке sms-сообщений.
Есть ли сведения о том, кто стоит за последними атаками на пользователей Казнета? Это одна команда злоумышленников или параллельно работает несколько групп?
Мы постоянно мониторим свыше 145 тысяч интернет-ресурсов, имеющих регистрацию в доменной зоне .KZ., посредством инструментария Службы KZ-CERT, и ежедневно фиксируем абсолютно разные инциденты ИБ.
Если говорить о крупных атаках на Казнет, то это такие хакеры и хакерские группировки как Imam, Mister_spy, Dark_Ghost и Am!Ne Dz, чьи «трофеи» в совокупности составляют 62% от общего количества взломанных интернет-ресурсов. По всем выявленным и отработанным инцидентам ИБ направляются уведомления владельцам доменных имен.
Как KZ-CERT выявляет подобные случаи?
Если мы раскроем весь инструментарий, который используется для работы по выявлению инцидентов ИБ, то на порядок увеличатся ряды мошенников, и, соответственно, их жертв.
Но, если в двух словах, то это, в первую очередь, ежедневный мониторинг на наличие инцидентов ИБ доменных имен зоны .KZ. Также мониторинг интернет-ресурсов, находящихся в странах дальнего и ближнего зарубежья. Взаимодействие с международными партнерами. Кстати, в этом плане Служба KZ-CERT ведет активную работу по заключению соглашений с зарубежными странами. На сегодня уже заключено около 25 соглашений.
Что это нам дает?
То, что мы и коллеги из других стран при выявлении инцидента ИБ предупреждаем друг друга. Таким образом, обеспечиваем безопасность не только своего государства, но и всего сегмента Интернет.
Ну, к примеру, нашли мы фишинг, который размещен на серверах РФ. Мы сообщаем коллегам, и они уже проводят работу по нейтрализации данного интернет-ресурса. Сами мы, конечно, не спим спокойно в это время и так же отрабатываем с уполномоченным органом ряд процедур для обеспечения киберзащиты граждан с целью недопущения инцидента ИБ, связанного с указанным интернет-ресурсом.
И, конечно, мы получаем информацию от наших сограждан, которые обращаются к нам для проверки подозрительных интернет-ресурсов на номер 1400, telegram группа Информационная безопасность (https://t.me/kzcert) почту: [email protected], [email protected] и посредством социальных сетей Службы KZ-CERT.
Кстати, благодаря обращениям наших граждан, были выявлены мошеннические интернет-ресурсы, дублирующие официальные ресурсы банков второго уровня РК.
Существуют ли способы, с помощью которых банки могли бы защитить своих клиентов от действий злоумышленников?
Как рекомендация, это, в первую очередь, информирование клиентов банка о проходящих акциях на официальных страницах и интернет-ресурсах банка с использованием «водяных» знаков на изображениях. Часто злоумышленники используют изображения из ранее проводимых акций, как это было с розыгрышем от Хабиба Нурмагомедова.
Конечно, по выявленным инцидентам ИБ и угрозам, Службой KZ-CERT на постоянной основе проводится информирование пользователей казахстанского сегмента сети Интернет, но тем не менее для профилактики рекомендуем:
1) обращать внимание на доменное имя в строке поиска;
2) не заполнять формы с указанием личных и банковских данных, без проверки подлинности ресурса (п.1);
3) если вам звонят и представляются сотрудниками банка, то перезванивайте в банк лично;
4) не открывать сомнительные файлы из email;
5) проявлять бдительность при вводе логинов и паролей на интернет-ресурсах.
Это конечно не панацея от всех видов фишинга, но соблюдая эти меры предосторожности, можно избежать возможности стать жертвой злоумышленников в 80% случаев.
Помимо фишинга, какие еще угрозы актуальны для пользователей Казнета?
Небольшая сравнительная статистика в разрезе 2018 — 2019 гг. Так, по сравнению с 2018 годом, снизилось количество ботнетов. Если в 2018 году их было зафиксировано 17 700, то в 2019 количество составило 14 001.
Мы видим рост вредоносных программ с 311 до 396. А вот количество взломов резко сократилось с 1079 до 175, что говорит об эффективности принимаемых мер в части обеспечения ИБ. Однако злоумышленники переключились на другие виды инцидентов ИБ, такие, как фишинг. В 5,5 раз выросло количество фишинга, со 157 до 855. И это пугающая статистика, ведь в зоне риска находится каждый из нас и наши близкие. Если в остальных случаях, как с DDos-атаками или взломами, работать приходится с юридическими лицами, которые понимают необходимость соблюдения мер по обеспечению киберзащиты, фишинг направлен на каждого пользователя отдельно.
Также в 4 раза увеличилось количество DDos-атак с 39 до 159. Хотелось бы обратить ваше внимание на то, что указанная статистика за 2019 год представлена в разрезе с января по август.
Из слов спикера можно понять — от фишинга нет универсальной вакцины, кроме бдительности, которая граничит с паранойей. Это единственный способ противостоять современному вредоносному маркетингу. Возможно, что банкам и государству нужно более широко распространять информацию о схемах, которыми пользуются мошенники, чтобы у людей была возможность не попасться на виртуальный крючок киберпреступников.