Социальная инженерия, фишинг и Android-банкеры: чему учат реальные инциденты

Методы информационной безопасности помогают защититься от мошенников, использующих социальную инженерию, фишинг, взлом аккаунтов «Госуслуг» и вредоносные Android-приложения. Разбираем реальные кейсы, признаки атак, а также способы снизить финансовые и репутационные риски.

 

 

 

 

 

 

1. 1. Введение
2. 2. Кейс 1. Аутентификация на Госуслугах по биометрии
   
   1. 2.1. Шаг 1. Сообщение в мессенджере
   2. 2.2. Шаг 2. Ловушка в браузере
   3. 2.3. Шаг 3. Имитация аутентификации через биометрию
   4. 2.4. Шаг 4. Имитация выгрузки данных
   5. 2.5. Шаг 5. Настоящая атака
3. 3. Кейс 2. Петиция за Героя России. Эксплуатация эмпатии и патриотизма
   
   1. 3.1. Шаг 1. Сообщение от знакомого
   2. 3.2. Шаг 2. Красные флаги на сайте
   3. 3.3. Шаг 3. Фальшивая аутентификация через Госуслуги
   4. 3.4. Шаг 4. Перехват двухфакторной аутентификации (2FA)
4. 4. Кейс 3. Видео с места ДТП
   
   1. 4.1. Шаг 1. Андрей (сосед) пишет о трагедии
   2. 4.2. Шаг 2. Скачивание, установка, запуск
   3. 4.3. Шаг 3. Человек сам выдаёт все доступы
5. 5. Что показала корпоративная песочница?
6. 6. Почему это работает?
7. 7. Выводы

Введение

Как классическая информационная безопасность (ИБ) связана с защитой человека от мошенников? И почему базовый для корпоративной ИБ набор из моделей угроз, индикаторов компрометации и правил реагирования всё чаще пригождается людям в повседневной жизни?

Формально корпоративная ИБ не должна охватывать вопросы защиты работников от мошенников за пределами работы и не должна обеспечивать круглосуточную поддержку по запросам, связанным с личными телефонами, банковскими картами, бытовыми сделками и сообщениями в мессенджерах.

Мошенничество относится к уголовно-правовой сфере, где речь идёт о хищении чужого имущества или приобретении права на него путём обмана либо злоупотребления доверием. В российском законодательстве такие действия подпадают под статью 159 УК РФ, а проверкой сообщений о подобных преступлениях и дальнейшим расследованием занимаются правоохранительные органы.

Работодатель несёт ответственность за безопасность работников в части выполнения требований трудового законодательства, локальных нормативных актов и договорных обязательств. Обеспечение безопасности личного имущества работников и их повседневной жизни в соответствии с законодательством РФ не относится к обязанностям работодателя.

Мы рассматриваем ИБ шире и не ограничиваемся выполнением рабочих задач. Совместно с руководством компании наш отдел информационной безопасности открыл внутреннюю линию для консультаций по вопросам ИБ в повседневной жизни. Причиной стало стремительное расширение поверхности атаки, которая не ограничивается корпоративными каналами передачи информации. Сейчас атаки на организацию всё чаще реализуются через человека — его эмоции, привычки и близкое окружение.

Например, установка работником вредоносного приложения или передача доступа к учётной записи не ограничиваются личными последствиями и могут отразиться на ИБ организации. Это может привести к рассылкам по корпоративным контактам, атакам на коллег или сбору информации о компании.

На наш взгляд, обучить и подстраховать человека дешевле, чем потом разбирать последствия.

Хочу рассказать о трёх кейсах, которые наш отдел рассмотрел в течение одной недели. В первом не было ни одной строки вредоносного кода — вся атака проводилась с помощью социальной инженерии. Во втором использовался фишинг с перехватом второго фактора аутентификации и зарубежным хостингом. В третьем применялись банковские вредоносные программы, которые мы затем разобрали в корпоративной песочнице.

Техническая сложность реализации растёт от случая к случаю, но отправная точка в каждом кейсе одна и та же — эмоция.

Кейс 1. Аутентификация на Госуслугах по биометрии

Коллеге в мессенджере пришло обычное на вид сообщение о необходимости провести сверку по рабочим часам от «коллеги». Каналом связи в такой схеме может быть любой мессенджер или социальная сеть. Получив это сообщение, сотрудник обратился к нам, чтобы мы изучили ситуацию со стороны ИБ. Далее приведено подробное описание используемой схемы, сформированное по результатам анализа.

Сценарий состоит из двух частей. Человек переходит по ссылке в полученном сообщении, сайт запрашивает доступ к камере, а затем показывает ему его же лицо в интерфейсе, похожем на проверку личности по биометрии. В этот момент создаётся ощущение, что биометрическая аутентификация уже началась или даже прошла успешно. В стрессовой ситуации этого достаточно, чтобы связать изображение с «Госуслугами», решить, что вход выполнен по биометрии, и начать паниковать.

После этого схема переходит в ручной режим. Человеку звонит «специалист» и подхватывает уже начавшуюся панику. Его не просто пугают, а удерживают в состоянии срочности. Не дают спокойно подумать, проверить информацию, позвонить близким или обратиться в банк. Под этим давлением жертву подводят к нужному действию, чаще всего — к переводу денег на «безопасный счёт» или передаче их курьеру.

Шаг 1. Сообщение в мессенджере

Человеку пишет «коллега» (например, «Екатерина из отдела кадров») с вопросами по рабочим часам. Имя и роль не вызывают подозрений, обращение бытовое и рутинное. Далее следует искусственное ограничение по времени («заполните до вечера, по возможности») и поддельная ссылка, замаскированная под документ вроде «Табель учёта рабочего времени.xls». Эмоциональный фон на этом этапе стабильный: критическое мышление не включается, потому что в стандартной трудовой процедуре нет ничего необычного.

С точки зрения ИБ уже есть признаки атаки: сообщение пришло вне корпоративной инфраструктуры. При попытке открыть «файл» открывается ссылка. В текущем кейсе наш коллега поступил корректно: он не выполнял никаких действий и обратился к нам.

Разберём, что произошло бы дальше, если бы работник решил «заполнить табель».

 

Рисунок 1. Создание рабочей рутины

 

Шаг 2. Ловушка в браузере

Ссылка ведёт на сайт со случайным адресом, где запрашивается доступ к камере.

Это первый явный сигнал, который должен насторожить. Государственные сервисы не запускают биометрию через случайные ссылки из сторонних мессенджеров, тем более с доменов, которые не относятся к официальной инфраструктуре.

 

Рисунок 2. Красные флаги после перехода по ссылке

 

Шаг 3. Имитация аутентификации через биометрию

Пользователь разрешает доступ к камере и видит своё лицо в овальной рамке с сопровождающим текстом «убедитесь, что лицо в кадре».

На этом этапе у человека возникает важная эмоция — страх: он думает, что сайт уже обрабатывает его биометрию. На самом деле он видит себя только потому, что сам разрешил браузеру включить камеру. Лицо в рамке действует как зеркало, передача биометрических данных в государственную биометрическую систему не осуществляется.

 

Рисунок 3. Этап вызова эмоций

 

Шаг 4. Имитация выгрузки данных

На поддельной странице, стилизованной под «Госуслуги», появляется галочка и текст «Вы успешно авторизовались на портале по биометрическим данным».

После якобы успешной «аутентификации по биометрии» сайт показывает анимацию, имитирующую выгрузку паспорта, ИНН и справки 2-НДФЛ для попытки оформления кредита. Это заранее разработанный процесс, задача которого — не получить документы, а напугать человека.

К этому моменту эмоциональная манипуляция уже достигает высокого уровня, человек начинает верить, что на него прямо сейчас оформляют кредиты. Находясь в состоянии, близком к панике, он становится готовым почти на любые действия ради «спасения».

 

Рисунок 4. Имитация выгрузки данных

 

Шаг 5. Настоящая атака

Вскоре поступает звонок. На другой стороне человек представляется работником службы безопасности, ФСБ или «Госуслуг», сообщает о попытке оформления кредита и предлагает помочь защитить средства. Именно на этом этапе начинается распространённая схема хищения средств или вовлечения в противоправную деятельность.

Кейс 2. Петиция за Героя России. Эксплуатация эмпатии и патриотизма

Человеку пишут со взломанной учётной записи реального друга, сообщают, что он погиб, и просят поучаствовать в сборе подписей для присвоения звания Героя России.

Шаг 1. Сообщение от знакомого

 

Рисунок 5. Пример сообщения от знакомого

 

Здесь можно выделить сразу несколько рычагов давления.

Первый связан с доверием к знакомому контакту. Сообщение приходит не от неизвестного номера, а от человека из списка контактов.

Второй связан с шоком и эмпатией. Трагичная новость снижает способность спокойно воспринимать информацию и проверять её достоверность.

Третий связан с чувством гражданского долга. Человека просят не о деньгах, а о поддержке.

Сайт по присланному адресу выглядит официально и внушает доверие. Там есть «Единый портал общественных инициатив», счётчики подписей, карточки, блок «правовая информация», ссылки на 152-ФЗ. Однако при детальном рассмотрении можно выявить подделку. Например, сам ресурс расположен на домене .com, а не на официальном российском адресе.

Шаг 2. Красные флаги на сайте

 

Рисунок 6. Имитация портала госуслуг

 

Дальше схема похожа на историю с первым кейсом по биометрии. Открывается почти точная копия формы входа на «Госуслуги», где пользователя просят ввести привычные данные: номер телефона, почту или СНИЛС, а затем пароль.

Шаг 3. Фальшивая аутентификация через Госуслуги

 

Рисунок 7. Фальшивая авторизация через Госуслуги

 

Пользователь вводит логин и пароль на поддельной странице, мошенник тут же использует их на настоящем сайте «Госуслуг». Чаще всего это происходит автоматически. Настоящие «Госуслуги» отправляют СМС-код, и человек, уверенный, что подтверждает собственный вход, вводит код на поддельной странице.

Один из ключевых признаков такой схемы — необъяснимая пауза. Страница зависает или долго не реагирует на нажатия мыши или клавиш клавиатуры. В это время данные передаются атакующему, а тот пытается войти в настоящий сервис.

Шаг 4. Перехват двухфакторной аутентификации (2FA)

 

Рисунок 8. Процесс перехвата 2FA

 

В результате анализа данного кейса мы выявили, что сервер размещён за рубежом: по IP-адресу он относится к диапазону 45.84.204.0/24, провайдер — Hostinger, локация — Вильнюс, Литва. Получается, атака, опирающаяся на чувство гражданского долга, технически управлялась из-за границы.

 

Рисунок 9. Локализация источника атаки

 

В «биометрическом» и «патриотическом» сценариях финал один. Компрометация профиля «Госуслуг» становится только началом, за которым следует атака со стороны мошенников, уже осведомлённых о ситуации.

Кейс 3. Видео с места ДТП

На следующий день поступило третье обращение. Схема также направлена на эмоции. Сообщение приходит от знакомого контакта. В мессенджере пишет Андрей (сосед). Текст рассчитан на шок: сообщается, что якобы общий знакомый Юра погиб в ДТП сегодня утром, и к сообщению приложено видео.

На самом деле к сообщению приложен установочный файл с характерным расширением «apk». В отличие от первых двух случаев, целью этой атаки является загрузка вредоносной программы. Даже если пишет действительно Андрей (сосед), не стоит забывать, что аккаунт знакомого могли взломать мошенники.

Шаг 1. Андрей (сосед) пишет о трагедии

Первым шагом, как обычно, является сообщение. В эмоциональной форме человеку сообщают «новость».

 

Рисунок 10. Пример сообщения от соседа

 

Шаг 2. Скачивание, установка, запуск

Дальше «жертва» следует по цепочке привычных действий. Сначала скачивает, затем устанавливает, потом запускает. Каждый шаг выглядит почти нормальным, если не задумываться о рисках.

Пользователь скачивает не видео, а Android-приложение. После установки его подталкивают нажать «Открыть», а затем появляется поддельное окно обновления через RuStore с пометкой «проверено антивирусом».

Создаётся ощущение безопасности, однако на самом деле запускается вредоносное приложение.

 

Рисунок 11. Скачивание, установка, открытие

 

Шаг 3. Человек сам выдаёт все доступы

После установки приложение последовательно запрашивает разрешения: предлагает назначить себя СМС-приложением по умолчанию, дать доступ к уведомлениям и выдать права на управление устройством.

Вместо видео открывается пустая страница vid*****online с бесконечной загрузкой, видео не появится.

 

Рисунок 12. Объём информации, которую человек сам выдаёт

 

Что показала корпоративная песочница?

Теперь поговорим о том, что остаётся за кадром для пользователя. Исследование APK-файла по корпоративным стандартам безопасности, включая анализ в специализированной песочнице, помогло выявить, что перед нами Android-банкер, то есть приложение для компрометации банковской информации. С высокой вероятностью вредоносная программа относится к семейству Mamont — так называют российско-ориентированный банкер, который распространяют под видом «архива с фото» или «видео ДТП».

 

Рисунок 13. Результат работы корпоративной песочницы безопасности

 

Что делает это вредоносное приложение на устройстве?

• Читает входящие СМС, чтобы перехватывать одноразовые банковские коды.
• Считывает MSISDN и MCC/MNC оператора SIM-карты. Это помогает идентифицировать устройство и оператора.
• Собирает список установленных приложений и определяет, какие банковские и государственные сервисы есть на устройстве.
• Пытается закрепиться, предпринимая технические меры, чтобы переживать перезагрузки и не выгружаться из памяти.
• Скрывается. Данные хранятся в SQLite и SharedPreferences, загружается нативная библиотека, активно используется рефлексия. Это означает, что программа старается усложнить анализ и обнаружение.

В отчёте видно, что заражённый телефон подключается к внешнему серверу 95...122:49500 и работает как SOCKS5-прокси (сервер-посредник). Злоумышленники используют телефон человека как промежуточную точку для своего трафика. Через него они могут проводить мошеннические действия, заходить на страницы сервисов и скрывать свой настоящий IP-адрес. Внешне это будет выглядеть так, будто действия выполняются с телефона или сети пользователя.

Почему это работает?

Самое важное в подобных кейсах — не конкретная схема, а критическое мышление человека. Схема вторична: меняется обёртка, но механизм остаётся тем же.

Наш мозг обрабатывает всё, что поступает через органы чувств, но делает это неравномерно. Когда возникает ощущение угрозы для жизни, управление перехватывает так называемый контур выживания, а способность к анализу снижается. Биохимически это всплеск кортизола, который приходит в норму только через несколько суток. Поэтому человек после атаки несколько дней «не в себе» и не может толком вспомнить подробности произошедшего.

Именно на этом построена индустрия мошенничества.

Мошеннические кол-центры работают как конвейер. Первая линия занимается холодными контактами. Её задача — зацепить человека и втянуть в разговор. Вторая линия работает уже с «горячими» контактами. Там сидят более опытные операторы, которые доводят человека до паники и удерживают его в этом состоянии, заставляя выполнять нужные действия.

Сама схема почти всегда строится одинаково. Сначала мошенники находят простой повод для контакта (доставка, домофон, голосование, сверка данных, срочный звонок от банка или ведомства), затем формируют доверие и ощущение важности. Жертве дают роль помощника, свидетеля или участника «секретной операции».

Далее добавляется давление, человека раскачивают между страхом и обещанием спасения. Его убеждают, что есть угроза деньгам, свободе, работе или близким, а избежать последствий можно только через сотрудничество.

Финальный этап всегда связан с нужным действием (перевод денег, установка приложения, озвучивание кода, оформление кредита, передача доступа или выполнение инструкции «специалиста»). Для убедительности могут использоваться поддельные документы, номера, должности, печати, QR-коды и официальный стиль общения.

Главная уязвимость здесь не техническая, а человеческая. Мошенники используют страх, усталость, одиночество, стресс, доверие к авторитетам и желание быть полезным.

Выводы

Эти случаи показывают, что мошенничество давно перестало быть только личной проблемой человека. Да, формально оно находится за пределами классической корпоративной ИБ, но на практике часто влияет на безопасность организации.

Классическая информационная безопасность здесь всё равно полезна, ведь она умеет выявлять угрозы в техническом шуме, проверять индикаторы, анализировать инфраструктуру, домены, файлы, разрешения, сетевые соединения и поведение приложений.

Но одной техники недостаточно. Если человек уже находится в уязвимом состоянии, он может сам установить приложение, ввести пароль, передать код, выдать разрешения и выполнить инструкцию мошенника. В этот момент атакующий фактически использует личность как интерфейс доступа.

Поэтому, на наш взгляд, безопасность должна начинаться раньше. Для этого нужна понятная линия консультаций, простые правила остановки и выработанная привычка задавать вопросы ИБ превентивно, а не после получения ущерба.

Организация не обязана защищать личную жизнь работника, но ей выгодно помогать ему распознавать такие атаки, потому что скомпрометированный человек быстро превращается в корпоративный риск через учётные записи, контакты, устройства, переписки и доверие коллег.

Мошенники работают как индустрия: у них есть сценарии, роли, поддельные документы, инфраструктура, вредоносные приложения и психологические приёмы. Современная поверхность атаки проходит не только через инфраструктуру и сетевой периметр, но и через внимание, страх и доверие человека. Противопоставить этому можно только связку из технической экспертизы и подготовки людей. Именно поэтому информационная безопасность личности становится частью общей модели защиты.

Берегите себя и своих близких.