Кредитните карти и банковите сметки са на прицел в нова, пост-ковид серия от фишинг измами и ATM/POS вируси (снимка: CC0 Public Domain)
В началото на 2020 г. пандемията от коронавирус даде на киберпрестъпниците нова тема, която да използват в своите измамнически писма. Зловредният код за ATM и POS системи пък намаля, защото хората не излизаха да пазаруват. Сега вирусът отново е актуален във фишинг писмата на кибер-злодеите, а вирусите за ATM/POS са във възход.
В доклад, публикуван на 11 октомври, доставчикът на системи за имейл-сигурност Inky отчита скорошен възход на фишинг кампаниите, който се възползва от темата за ковид в опит да открадне идентификационни данни за банкови сметки от бизнес-потребителите.
Ковид-фишинг: обещания за грантове
Потребителите получават имейл, който твърди, че съдържа заявление за кандидатстване за безвъзмездна помощ по линия на програми за подкрепа на малкия бизнес за справяне с последиците от ковид. Такива схеми се прилагаха активно през 2020 г. и 2021 г., тъй като много предприятия изпитваха финансови затруднения поради пандемията и бяха отпуснати помощи за компенсиране на загубите. Оттогава насам обаче повечето администрации по света не прилагат подобни програми. Изглежда това не пречи на измамниците да спекулират с идеята за тези грантове.
Обещавайки безвъзмездни пари, фишинг имейлът включва бутон „Кандидатствай сега“, който отвежда потребителите до формуляр за „проучване“. Той следва да бъде попълнен, за да се определи дали фирмата-кандидат отговаря на условията за безвъзмездна помощ. Самият формуляр е генериран с помощта на Google Forms – безплатен уеб базиран инструмент за проучване, предлаган от Google.
Първоначалните въпроси във формуляра изглежда са взети директно от легитимно съобщение за отпускане на финансова помощ заради ковид. Това лесно може да заблуди нищо неподозиращите собственици на малък бизнес. Но след безобидните въпроси формулярът преминава в по-чувствителна територия, изисквайки данни като номера на кредитни карти или банкови сметки, номер на лична карта или на шофьорска книжка.
Попълването и след това изпращането на формуляра задейства последно съобщение за потвърждение, че „информацията е получена“. Разбира се, предоставената информация се прибира от нападателите, което им позволява лесно да получат достъп до банковата сметка на жертвата или да продадат данните ѝ в тъмната мрежа.
Престъпниците зад тази измама използват комбинация от тактики, за да звучат убедително. Обещаването на безвъзмездна помощ в резултат на пандемията звучи нормално – тези програми за подкрепа предизвикат интерес и любопитство сред собствениците на фирми и потребителите. Използването на формуляри на Google за създаване и хостване на анкетата е умен метод, тъй като това е безплатен инструмент, който се ползва с доверие от бизнеса. Той не предизвиква аларми сред инструментите за сигурност.
Но както при много фишинг имейли и формуляри, кампаниите имат своите слабости. Най-често това са дребни издайнически детайли в писмата, сред които граматически и правописни грешки, неясни обръщения и др.
POS/ATM зарази
Локдауните по целия свят по време на пандемията сериозно намалиха активността на зловредния софтуер за банкомати и PoS. През 2020 г. броят на атаките срещу ATM/PoS е намалял значително в сравнение с 2019 г., от приблизително 8000 атаки на 4800.
През 2021 г. се наблюдава 39% увеличение на атаките, което показва, че отпадащите ограничения позволяват на клиентите да се върнат към обичайните си потребителски навици – и на киберпрестъпниците да действат отново. Още по-голям ръст е налице през 2022 г.
От наличните данни се вижда, че от 2017 г. до 2021 г. Русия винаги е била най-засегнатата страна. Остарелите банкомати улесняват хакерите да получат достъп и да откраднат пари от тези устройства, според Kaspersky.
Бразилия е в същата ситуация, с остарял парк от банкомати, но в допълнение Бразилия има и будна генерация киберпрестъпници, които създават нови POS вируси. От Бразилия произхожда и най-популярният в момента ATM/POS вирус – HydraPOS. На него се приписват около 36% от всички ATM/POS инфекции.
Зимбабве се също е сред „лидерите“ през 2021 г. и все още е там през 2022 г. Причината за това, според Kaspersky, е, че китайските инвеститори отварят нови бизнеси в тази страна, генерирайки икономически растеж и правейки държавата привлекателна за киберпрестъпниците.
Любопитна подробност е, че сред топ-5 зарази за банкомати и POS терминали все още е RawPoS – един от най-старите вируси в тази област. Той е в „обращение“ още от 2008 година насам.