Какие способы отъема денег практикуют киберзлоумышленники?

К Всемирному дню безопасного Интернета «Лаборатория Касперского» подготовила обзор наиболее распространенных уловок киберзлоумышленников, которые они применяют для кражи денег пользователей. По данным компании, в России в результате вредоносной атаки пользователь в среднем теряет около 76 долларов США, при этом лишь в 28% случаев ему удается полностью или частично вернуть утраченные средства.

Кража данных от систем онлайн-банкинга является одним из самых распространенных способов мошенничества. Для того, чтобы вредоносное ПО проникло на компьютер или смартфон, пользователю необязательно просматривать ресурсы с нежелательным контентом,  иногда достаточно кликнуть по баннеру, ведущему на вредоносный сайт. Сначала злоумышленники определят тип системы безопасности банка пользователя, найдут в ней уязвимости и дадут команду на обновление вредоносной программе для кражи денег именно из банка пользователя. Например, вредоносное ПО определило, что для авторизации транзакций используются распечатанные на бумаге одноразовые пароли, полученные в банке. При попытке подтвердить операцию пользователь, «благодаря» этой программе, получает сообщение о якобы устаревшем пароле, и каждый следующий пароль тоже оказывается «устаревшим». На самом деле, вредоносное ПО собирает эти одноразовые пароли, дающие полный доступ к системе онлайн-банкинга жертвы.

Еще один способ лишить пользователя денежных средств – украсть данные кредитной карты. Как только вредоносная программа замечает, что пользователь ввел 16 цифр подряд, она тут же начинает собирать дополнительную информацию. Сначала злоумышленники получают номер карты, а затем и все остальное: имя, фамилию, трехзначный код, срок действия. По той же схеме действуют зловреды, ворующие реквизиты от онлайн-кошельков: как только программа понимает, что вы ввели номер кошелька, она начинает собирать всю остальную информацию для осуществления транзакции. Иногда мошенники действуют по другой схеме: при копировании номера кошелька получателя платежа в буфер обмена (например, через Сtrl+C) они подменяют номер кошелька, и средства уходят не по назначению. 

Программы-вымогатели также активно используются злоумышленниками для получения денег. Подобное вредоносное ПО может зашифровать файлы на компьютере или заблокировать доступ к нему, установив на экране картинку-блокер, после чего мошенники требуют от пользователя выкуп за дешифровку или разблокировку системы. При таком сценарии для того чтобы вновь воспользоваться компьютером, жертве придется отправить SMS на короткий номер, перевести деньги на мобильный счет преступников, либо, например, расплатиться биткоинами. Однако даже оплата выкупа не гарантирует восстановление доступа и дешифрование данных. Подобный вид мошенничества весьма распространен, о чем свидетельствуют данные KSN: во втором полугодии 2013 года продукты «Лаборатории Касперского» выявили и заблокировали более 4 миллионов троянцев-вымогателей на компьютерах пользователей.

SMS-мошенничество также остается одним из самых популярных способов кражи денег. Пользователи отправляют  сообщения на короткие номера, чтобы скачать фильм или ПО, узнать о новой диете, прочитать гороскоп и т.д. Зачастую они не только не получают запрашиваемый контент и напрасно тратят средства, но также, не подозревая об этом, оформляют подписку на какой-либо сервис, организованный мошенниками. Такие подписки в дальнейшем будут снимать деньги со счета на регулярной основе.  Жертва, как правило, не догадывается о существовании подписки довольно долгое время, так как  сумма списания может быть небольшая.

«Несмотря на то что мошенники придумывают все более изощренные способы кражи денег, пользователи, зная об уловках злоумышленников, могли бы избежать финансовых потерь, проявляя элементарную осторожность. Помимо установки  и обновления защиты класса Internet Security на компьютере и телефоне, очень часто достаточно не скачивать приложения из неофициальных источников, перепроверять номера счетов, на которые идет отправка средств, да и при малейшем подозрении связываться с  банком или сотовым оператором», – говорит Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru