С избухването на пандемията Covid-19 стана ясно, че фишинг атаките ще се възползват от новата модна тема и ще „яхнат” коронавируса. През цялата тази година киберпрестъпниците използваха всеки аспект на тревогите около вируса, за да се възползват от страха, безпокойството и любопитството, които хората естествено изпитват.
Нов доклад на фирмата за киберсигурност Armorblox разглежда четири вида фишинг кампании, свързани с коронавируса, които се появиха тази година и сега са се усъвършенствали – и предлага начини за защита срещу тях.
До средата на април групата за анализи на заплахите на Google е открила 18 милиона вредоносни имейла, експлоатиращи темата коронавирус – най-вече носещи злонамерен софтуер или фишинг „въдица”. Сега, на финала на 2020 г., подобни имейл атаки продължават, отбелязва Tech Republic. Някои са зле проектирани и неубедителни, но други са създадени експертно и са по-трудни за разграничаване от легитимните съобщения.
Помощи от фондове
Тези писма са много актуални: те примамват с документ за кандидатстване по фондовете за помощ на пострадалите от Covid-19. Кликването върху връзката отвежда наивния посетител до формуляр, който изисква попълване на редица лични данни.
Кампанията използва разнообразни тактики за социално инженерство – с голям ефект. Темата обичайно реферира към някакъв държавен орган – агенция или министерство – и задължително споменава думи като фонд, помощ, Covid-19. Напълно възможно е страницата, която изисква попълване на данни, да изглежда съвсем легитимно – с лого и https в адресното поле – съвсем като истинска.
Компенсации от МВФ
Разпространяват се също имейли, които претендират да носят новини за финансова помощ по линия на Международния валутен фонд. За да получи тази компенсация, потребителят евентуално ще бъде помолен да отговори на писмото, за да предостави допълнителни подробности, които в крайна сметка ще бъдат използвани злонамерено от нападателя.
Интересното тук е, че има и случаи, в които измамните имейли не включват действителна връзка към фишинг страница. Така те се промъкват ловко покрай всички филтри за сигурност, които блокират подозрителни връзки. Възможно е съобщението да включва и цяла „нишка” на разговор с участието на директор на МВФ. Може дори да има референтен номер на писмото, заради което то изглежда съвсем легитимно.
Резултати от тест
В този случай имейлът имитира автоматично съобщение от лаборатория, обещавайки резултатите от тест за Covid-19 на получателя. Кликването върху връзката за резултатите се опитва да инсталира заразен със злонамерен софтуер RAR файл в системата.
Писмото изглежда легитимно, защото се споменава, че идва от отдела по поддръжка при лаборатория, поликлиника или конкретен лекарски кабинет, а също и благодарение на споменаването на конкретно име на медицинска сестра. Самото съобщение включва парола/ПИН за достъп до прикачения файл с „резултатите от теста”, което дава на потребителя измамно чувство за сигурност.
Изисквания
В тази измама имейлът се представя за автоматично съобщение от SharePoint, в което се твърди, че предлага файл относно „изискванията на Covid-19”. Разчита се на любопитството и страха на гражданите, за да кликат върху връзката – това ще отведе жертвите до измамен сайт, хостван на AWS.
Името на подателя „Sharepoint Online” и шаблонът имитират информация, която обикновено се вижда в автоматизирани писма от съвсем легитимни облачни приложения. Самото съобщение носи и бележка под линия, в което се твърди, че връзката ще сработи само за получателя на имейла – ключов начин да приспи получателите, като им създаде измамно чувство за сигурност.
Препоръки
За да се защитят получателите на подобни писма, Armorblox предлага следните насоки:
– да използват двуфакторно удостоверяване (2FA) във всички възможни бизнес и лични акаунти; да не използват едни и същи пароли за различни приложения и старателно да избягват лесни пароли като „password123” или „MoetoIme123”;
– да подлагат на съмнение писма, които говорят за Covid – да ги разглеждат по предпазлив и рационален начин, като се запитат кой е подателят, защо изпраща това писмо, дали имейл адресът съответства на институцията, има ли някакви логически несъответствия;
– да бъдат разумно подозрителни: ако човек не се е уговарял с лабораторията да му изпращат резултати по имейла, защо ги изпращат? Та нали има код и парола за достъп до онлайн системата на лабораторията? Откъде-накъде някое министерство ще пише лични писма до личните или служебните пощи на хората?