Эволюция фишинга: биодроны жмут на ссылки и запускают стилеры
Эксперты предупредили о росте числа хакерских атак с использованием стилеров
Приметы фишинга
По итогам первых шести месяцев 2024 года социальная инженерия стала ведущим методом атак на организации в России и странах СНГ — ЕАЭС. Ее применяли в 52% успешных случаев, сообщила глава исследовательской группы Positive Technologies Ирина Зиновкина.
Фишинг — разновидность социальной инженерии, при которой пользователя обманом вынуждают открыть вредоносный файл или нажать на ссылку. В 2023 году 68% атак на компании в России и странах СНГ начинались с фишинговых рассылок, а к середине 2024 года их доля выросла до 76%, пишут «Известия» со ссылкой на данные компании по управлению цифровыми рисками Bi.Zone. В 79% случаев фишинговые письма маскируются под финансовые документы, 8% — под договоры и соглашения, 5% — под резюме и 4% — под сообщения от регуляторов.
По словам Петра Иванова из компании «Первый Бит», мошенники также пытаются напугать сотрудников госорганов вниманием ФСБ и спровоцировать их на нарушение не только внутренних правил, но и законов РФ. Иванов отмечает, что появился даже термин «биодроны» для обозначения таких жертв.
Кирилл Лукьянов из iTProtect подчеркнул, что на страны СНГ приходится более 90% неперсонифицированных фишинговых атак. Злоумышленники совершенствуют формы писем, чтобы они выглядели максимально достоверно, снижая вероятность вызвать подозрения у жертв.
Однако Ярослав Каргалев из F.A.C.C.T. пояснил «Известиям», что большая часть фишинга — это массовые рассылки низкого качества. Хотя они малоэффективны, результат достигается за счет объема. По оценкам Ideco, всего около 2% фишинговых писем на данный момент действительно качественные, с ориентацией на конкретных получателей. Тем не менее значительного улучшения качества рассылок злоумышленникам и не требуется. Их цель — выявить самое уязвимое звено в защите корпоративной сети, а не взломать всех сотрудников.
Индустрия стилеров
Аналитик Kaspersky Digital Footprint Intelligence Сергей Щербель рассказал изданию, что сейчас особую угрозу представляют стилеры (от английского to steal — «красть»). Это вредоносные программы для кражи данных, используемых для удаленного подключения к онлайн-сервисам. Основная особенность заключается в автоматическом похищении данных с компьютера жертвы. В отличие от вирусов, червей, троянов и программ удаленного доступа, стилеры выполняют конкретное действие. Обычно они собирают логины, пароли и файлы cookies, содержащие информацию о системе и соединении, и отправляют их на командный сервер злоумышленников.
Кибермошенники распространяют ссылки на скачивание стилеров не только в письмах, но и через видеообзоры игр на YouTube, софт для майнинга или NTF-файлы на форумах, а также через розыгрыши в соцсетях.
По данным F.A.C.C.T., стилеры собирают следующую информацию:
- имя пользователя;
- имя компьютера;
- список установленных программ;
- характеристики оборудования;
- сохраненные браузером пароли, cookies, данные банковских карт и криптокошельков.
Сохраненные пароли облегчают доступ к различным сервисам. Украденные почтовые аккаунты часто используются для спама, а данные — для входа в игровые сервисы продаются. Если на ПК есть данные банковских карт или криптокошельков, мошенники могут украсть деньги.
Исследование Kaspersky показало, что за последние пять лет стилеры похитили учетные данные для входа на 443 тысячи сайтов по всему миру. В зоне .ru хакеры с их помощью украли 2,5 миллиона пар логинов и паролей.
Всего с 2020 по 2023 годы эксперты выявили более 100 видов стилеров. Доля атак с новыми семействами зловредов выросла с 4% в 2021 году до 28% в 2023-м, сообщил Щербель.
Где хакеры берут стилеры
Стилеры продают по подписке в даркнете. Там злоумышленники получают доступ к веб-панели для скачивания актуальных версий программ и лог-файлов с украденными данными. Наиболее популярные программы — Vidar, Lumma, RedLine, Raccoon. В 2020—2023 годах RedLine использовался в 51% случаев заражений устройств, Vidar — в 17%, Raccoon — в 12%.
Стоимость подписки зависит от срока, типа стилера и дополнительного функционала, уточнил Андрей Шабалин из NGR Softlab. Бесплатные исходники часто требуют доработок из-за высокого коэффициента их обнаружения. Начальные вредоносные программы стоят от трех до пяти тысяч, сложнодетектируемые — минимум 30 тысяч рублей. Максимальная цена зависит от «совести» разработчика.
Иван Королев из компании «Доктор Веб» подтвердил, что надежные стилеры обычно стоят от 17—26 тысяч рублей в месяц. В набор входят троян-файл, панель администрирования и поддержка.
По данным Positive Technologies, в даркнете доступны как подписки, так и разовые покупки. Подписка на месяц стоит около 250, разовая покупка — до 900 долларов.
Можно ли бороться со стилерами
Противостояние стилерам можно сравнить с борьбой против глобального хакерства, утверждает Владислав Иванов, ведущий специалист по киберугрозам из Infosecurity (ГК Softline). «Это выполнимая задача, но требует координации правоохранительных органов разных стран. Популярность стилеров объясняется низким уровнем киберграмотности у большинства пользователей», — пояснил он.
По мнению аналитика Андрея Шабалина, методы борьбы со стилерами схожи с методами противодействия вредоносному ПО в целом. Против стилеров необходимо задействовать несколько направлений.
Во-первых, важно повысить осведомленность сотрудников о текущих и самых значимых угрозах информационной безопасности для их организации. Кроме того, контролирующие органы должны ограничить доступ к потенциально опасным источникам.
«Противодействие стилерам возможно с помощью инструментов, проверяющих достоверность источников данных, — считает IT-директор РДТЕХ Максим Лапшев. — Современные блокчейн-системы помогут выявить основной пул мошенников, использующих фишинг».
Рекомендации по защите от фишинга
Эксперты советуют пользователям не загружать ПО из ненадежных источников, использовать виртуальные машины или альтернативные операционные системы для установки, не сохранять пароли в браузере и регулярно очищать cookies. Компаниям рекомендуется проактивно заниматься цифровой безопасностью и использовать современные технологии для мониторинга и реагирования на угрозы.
«Единственная эффективная мера против фишинга — широкое информирование и регулярное обучение пользователей, включая тренировки по проверке их устойчивости к фишинговым атакам», — отметил директор Ideco Дмитрий Хомутов.
В 2024 году Роскомнадзор заблокировал 37,6 тысячи таких сайтов, в 2023-м были ограничены 43,1 тысячи мошеннических ресурсов, а в 2022-м — 13,8 тысячи. Чаще блокировали сайты, связанные с поддельными документами и незаконной финансовой деятельностью.
Чтобы не стать жертвой мошенников, в Роскомнадзоре также рекомендуют соблюдать правила цифровой гигиены — не переходить по подозрительным ссылкам, не реагировать на слишком выгодные предложения и не предоставлять личные данные в обмен на скидки или бесплатные услуги. Пострадавшие от мошенников могут обратиться за бесплатной помощью в Центр правовой помощи гражданам в цифровой среде.
Ранее сообщалось, что в Подмосковье мошенники стали обманывать жильцов в домовых чатах.
Самые важные и оперативные новости — в нашем телеграм-канале «Ямал-Медиа».