Уроки веб-безопасности от RU-CENTER: коронавирус

К сожалению, распространение коронавируса привело не только к сплочению общества. На фоне паники и неразберихи активизировались мошенники, которые в связи с COVID-19 вымогают деньги у доверчивых пользователей. 

Мы открываем серию статей о веб-безопасности материалом о том, как не попасться на уловки злоумышленников в сети. Расскажем о распространённых видах мошенничества и объясним, на что обращать внимание. 

Сбор пожертвований от имени ВОЗ 

В середине марта Честер Вишневски из Sophos (производитель средств информационной безопасности) опубликовал в Твиттере скриншот спам-рассылки. Отправителем значился Фонд солидарности Всемирной организации здравоохранения. В письме получателей призывали пожертвовать биткоины на борьбу с пандемией:

Из аккаунта Честера Вишневски (https://twitter.com/chetwisniewski)

Если вы получите похожее письмо, будьте бдительны. ВОЗ действительно создала Фонд солидарности для сбора средств на борьбу с пандемией COVID-19 и нуждается в поддержке, но публикует инструкции по оплате на официальном сайте:

Кликнув по кнопке, вы попадёте на страницу covid19responsefund.org

Также стоит перепроверять письма, в которых призывают жертвовать средства на лечение людей, заражённых вирусом. Это распространённая мошенническая схема, адаптированная под современные реалии. Если вы хотите отправить деньги настоящим жертвам болезни, обратитесь в региональный Минздрав и выясните, какие фонды собирают средства на борьбу с вирусом. 

Как не попасться

• Ориентируйтесь на официальные источники. Перед тем как переводить деньги, проверяйте информацию на сайте ВОЗ (https://www.who.int/) или в пресс-центрах региональных Министерств здравоохранения.
• Проверяйте имя отправителя. Для связи с настоящим Фондом ВОЗ используется ТОЛЬКО e-mail COVID19Fund@unfoundation.org. Если вы видите в графе «От кого» почту частного лица, смело отправляйте письмо в спам. Так стоит поступать и с адресами, которые используют слова, связанные с коронавирусом (кроме названного выше). 
• Обращайте внимание на способ пожертвования. В представленном лжеписьме аферисты просят перевести биткоины на кошелёк. Это нелегальный способ, который выдаёт мошенников. На сайте ВОЗ перечислены доступные способы (онлайн-пожертвования на сайте, через Facebook* и Google и некоторые другие). 

Спекуляция на дефицитных товарах 

Повышенный спрос на медицинские товары для защиты (маски, антисептики, перчатки) привёл к дефициту. Например, одноразовые маски быстро исчезли с витрин крупнейших онлайн-магазинов (Ozon, Яндекс.Маркет и т. д.): 

Ситуацией воспользовались мошенники. В сети появились поддельные интернет-магазины и аккаунты в социальных сетях и мессенджерах. Платформы типа Avito наполнились объявлениями от недобросовестных продавцов. Стоит ли говорить, что товары продаются с наценкой.

Ещё одним предметом спекуляции стали «волшебные» вакцины от коронавируса и экспресс-тесты для его выявления. На 10 апреля 2020 года не существует клинически доказанного средства против COVID-19, который бы рекомендовала ВОЗ.

Что касается тестов, то, по словам президента РАСПП Виталия Манкевича, одним из официальных поставщиков являются шанхайские биотехнологические компании «Джено Лтд.» (Jeno Bio) и «Чжицзян» (ООО «Хуада Чжизао»), а образцы, которые продаются в интернете в России, могут оказаться просто пустышкой:

Пример экспресс-теста на выявление коронавируса без опознавательных знаков

Мошенническая схема устроена просто. Недобросовестные продавцы просят покупателя перевести стопроцентную предоплату, а потом исчезают. 

Несмотря на то, что модераторы платформ и хостинг-провайдеры блокируют такие объявления и сайты, их количество велико и есть риск пополнить число обманутых пользователей.

Как не попасться

• Вакцины от коронавируса не существует. Просто помните это и узнавайте актуальную информацию об успехах учёных на сайте ВОЗ. Если вы не владеете английским, поможет функция «Перевести эту страницу» в браузере Google Chrome. 
• Ищите товары в проверенных интернет-магазинах. Не покупайте средства защиты во ВКонтакте, в Instagram*, Telegram и на других сайтах/мессенджерах, где нет верификации продавцов.
• Следите за ценами. Если вы всё-таки решили купить товар у непроверенного поставщика, обратите внимание на ценник. Одна из характерных черт недобросовестных продавцов — завышенные цены на товары по сравнению со среднерыночной стоимостью. Проверьте стоимость аналогичного товара на других платформах.
• Не перечисляйте деньги заранее. Этот совет также относится к покупкам на незнакомых сайтах или у частных лиц. Если продавец просит перевести деньги сразу, велик шанс, что на этом сделка и закончится.
• Оберегайте пожилых родственников. Люди пенсионного возраста чаще становятся жертвами мошенников. Если пожилые люди в вашей семье пользуются интернетом, предложите купить необходимые товары вместо них и расскажите о рисках онлайн-покупок.

Приложения-вымогатели

В середине марта компания DomainTools, специализирующаяся на веб-безопасности, опубликовала статью о громком киберпреступлении, которое эксплуатировало тему коронавируса. 

В ней рассказывалось о приложении на Android (Covid19Tracker). Оно преподносилось как способ отслеживать динамику распространения COVID-19 на тепловой карте. В действительности это был вирус-вымогатель: 

Изображение с сайта https://www.domaintools.com/

После установки приложения на смартфон устройство блокировалось, и злоумышленники давали пользователям 48 часов на то, чтобы заплатить выкуп 100$. В противном случае вымогатели угрожали стереть все данные с памяти телефона.

Специалисты DomainTools провели расследование и опубликовали ключ для разблокировки смартфонов. Сайт, с которого распространялось приложение, был заблокирован, но нет гарантий того, что злоумышленники не создадут новый сайт и новое приложение с похожей механикой. 

Подробное расследование о приложении и поиске его создателя можно найти в статье CovidLock Update: Deeper Analysis of Coronavirus Android Ransomware. 

Как не попасться

• Сверяйтесь с надёжными источниками. Технические инновации, связанные с коронавирусом, публикуются на сайтах официальных источников (например, карта распространения коронавируса в России и мире от Яндекс). 
• Загружайте приложения для Android только с Google Play. Скачивая программы и приложения с незнакомых интернет-ресурсов, вы с большей вероятностью можете наткнуться на вредоносную программу. 
• Используйте аппаратную защиту Android. Устанавливайте надёжные пароли и следуйте рекомендациям Центра безопасности Android. Регулярно обновляйте систему безопасности. 

Спам-рассылки с вредоносными ссылками

Киберпреступники воруют/вымогают не только деньги, но и персональные данные. Речь идет о многочисленных спам-рассылках с вредоносными ссылками. Константин Игнатьев, специалист «Лаборатории Касперского», считает, что счёт их «может идти на тысячи в день». 

Как правило, злоумышленники рассылают письма от имени медицинских организаций (ВОЗ, Центров по контролю и профилактике заболеваний и других). Сами письма содержат советы о том, как избежать заражения, или новости, связанные с распространением вируса.

Главное, что отличает их от настоящих писем, — фишинговая ссылка, которая ведёт на вредоносный ресурс. Перейдя по ней, пользователи попадают на фишинговый сайт, имитирующий оригинальный. Их цель — получить конфиденциальную информацию пользователей (логины, пароли, номера банковских карт и т. п). 

Пример вредоносного письма, отправленного от имени организации «Центры по контролю и профилактике заболеваний» (по-английски: Centres for Disease Control and Protect с доменом cdc.gov). Злоумышленники использовали похожий адрес cdc-gov.org вместо cdc.gov):

Изображение с сайта https://www.kaspersky.ru/blog/coronavirus-phishing/26308/

Как не попасться

• Не переходите по ссылкам из писем. Речь идёт о рассылках, связанных с темами здоровья и коронавируса. Если не уверены в отправителе, проигнорируйте или отправьте письмо в спам.
• Проверяйте имя отправителя. Мы уже давали этот совет, но для этого случая он настолько же актуален. Проверьте, что стоит в поле «От кого». Чтобы понять, принадлежит ли адрес существующей организации, просто скопируйте его из письма и сопоставьте с контактными данными на официальном сайте. Также можно воспользоваться поисковыми системами.
• Проверьте ссылку, не переходя по ней. Наведите курсор на ссылку, в небольшом всплывающем окне появится её фактический URL. Если он не совпадает с заявленным в тексте ссылки, это повод насторожиться и отказаться от идеи переходить на сайт.
• Установите антифишинговое расширение. Они сигнализируют в браузере, если вы попадаете на сайт, с которым что-то нечисто. Можно использовать AdGuard и другие аналогичные варианты. 

«Коронавирусные» домены

Последний блок нашей статьи будет связан с мошенничеством косвенно. Расскажем о том, как тему коронавируса эксплуатируют в рамках доменного рынка.

Из исследования Check Point, компании, работающей в сфере IT-безопасности, стало известно, что с января 2020 года было зарегистрировано не менее 4 000 доменов, связанных с коронавирусом. Не менее 3% из них были признанными вредоносными, а не менее 5% — подозрительными. 

Ситуация не устраивала правоохранительные органы США, ведь такие домены используются для того, чтобы вымогать деньги и данные по механикам, описанным выше. Чтобы препятствовать злоумышленникам, в конце марта генеральная прокуратура призвала американских регистраторов (GoDaddy, Dynadot и др.) блокировать вредоносные домены и препятствовать регистрации новых. 

По сведениям Координационного центра доменов, с 1 января по 27 марта в национальных зонах .RU и .РФ было зарегистрировано более полутора тысяч доменов, содержащих слова corona, covid, virus, корона, ковид, вирус. Точное соотношение «добросовестных» и «недобросовестных» доменов неизвестно. 

Чтобы сделать интернет безопаснее, компания DomainTools, о которой мы уже упоминали, создала бесплатный кураторский список угроз. В нём перечислены «коронавирусные» домены с датой создания и оценкой риска от 70% до 100%. Его можно заказать на электронную почту с сайта компании, заполнив форму. 

Фрагмент кураторского списка Domain Tools

Закрепим. Чтобы не стать жертвой «коронавирусных» мошенников, придерживайтесь трёх основных рекомендаций: 

1. Проверяйте любую информацию, связанную с коронавирусом, на сайтах авторитетных источников (ВОЗ, правительственные сайты).
2. Будьте бдительны с сайтами, электронными письмами, ссылками и файлами, связанными с темами здоровья и коронавируса. 
3. Не покупайте средства защиты и другие товары, ставшие дефицитными на почве коронавируса, у неизвестных поставщиков (подозрительные сайты в интернете, мессенджеры и социальные сети). 

Читайте также:

• Уроки веб-безопасности RU-CENTER: Как защитить свой компьютер при работе из дома
• Что делать, если с вашего сайта украли фото. Пошаговая инструкция
• Я занимаюсь бизнесом и совсем не понимаю, что такое SSL-сертификаты

*Деятельность социальных сетей Instagram и Facebook, принадлежащих компании Meta Platforms Inc, на территории Российской Федерации признана экстремистской и запрещена на основании решения Тверского районного суда города Москвы от 21.03.2022.