В 2017 году с помощью технологий Лаборатории Касперского было обнаружено более 246 миллионов попыток пользователей посетить фишинговые сайты. Более 53% из страниц представляли собой поддельные страницы финансовых учреждений и сервисов. Это на 6 процентов больше, чем в 2016 году!
Впервые за всё время наблюдений «удалось достигнуть» цифры в 50%.
Подобные фишинговые атаки представляют собой сообщения, которые ведут на скопированные сайты, которые максимально похожи на оригинальные, но в то же время служат только для сбора логинов и паролей для доступа к онлайн кошелькам и онлайн банкам - всё для того, чтобы в конце концов украсть деньги пользователей.
В тоже время атаки на различные крупные сайты нефинансовой тематики - социальные сети, поисковики и др. - значительно снизились, снижение составило более 13%. Это говорит о том, что злоумышленники проявляют меньше интереса в этом направлении и сосредоточились на получении прямого доступа к деньгам пользователей.
Также опубликованная информация показывает, что пользователи Mac находятся под угрозой. Несмотря на популярный миф о безопасности этой ОС, более 31% в 2016 атак было направлено как-раз на пользователей этой системы. В 2017 эта цифра выросла до 55.6.
Для того, чтобы максимально обезопасить себя от возможных потерь, сотрудники Лаборатории Касперсокго рекомендуют:
Всегда проверять сайты на оригинальность, с помощью которых вы проводите финансовые операции. Проверка должна включать в себя https протокол и доменное имя принадлежащее компании, с которой вы работаете.
Использовать проверенное средство для обеспечения безопасности, антифишинговые средства которого основаны на поведенческом анализе.
Что ещё можно найти в отчёте:
Фишинг
В 2017 доля финансовых фишинговых сообщений среди всех остальных обнаруженных выросла с 47.5% до 54%.
Каждая четвёртая из заблокированных Лабораторией Касперского страниц относится к финансовой тематике. Доля пользователей Мак, которым отправлялись фишинговые сообщения почти удвоилась и дошла до 56%.
Банковское вредоносное ПО:
Общее количество пользователей, атакованных подобным софтом, уменьшилось с 1,088,900 в 2016 до 767,072 в 2017, или приблизительно на 30%.
19% от всех пользователей составили корпоративные.
Наиболее атакуемые страны: Германия, Россия, Китай, Индия, Вьетнам, Бразилия и США.
Zbot является наиболее распространённым типом используемых программ для атаки (почти 33%). Но на пятки наступает семейство вирусов Gozi (27.8%).
Android:
В 2017 году количество атакованных пользователей снизилось на 15% и составило 259,828.
Всего три различных семейства вирусов атаковало большинство пользователей.
Наибольшее количество атак произошло в этих трёх странах: Россия, Австралия и Туркменистан.
Эксперты отмечают рост количества атак с использованием вредоносных документов и числа банковских троянов для мобильных устройств.
Как следует из доклада, в третей половине 2017 года резко возросло количество пользователей, атакованных мобильным банковским трояном Asacub. В июле текущего года количество жертв трояна выросло почти втрое, составив порядка 29 тыс. Также исследователи обнаружили новую модификацию мобильного трояна Svpeng, способного считывать введенный пользователем текст, отправлять SMS-сообщения и препятствовать своему удалению.
В отчете также говорится о расширении списка мобильных приложений, атакуемых банковским трояном FakeToken. Если раньше троян и его модификации перекрывали окном в основном банковские приложения и некоторые приложения Google, такие как Google Play Store, то теперь в сферу их интересов вошли приложения для вызова такси, заказа авиабилетов и бронирования номеров в гостиницах. Основная цель трояна – сбор данных банковской карты пользователя.
Помимо этого, наблюдается рост активности троянов, похищающих деньги пользователей посредством подписок. Данные трояны могут посещать сайты, позволяющие оплачивать услуги средствами со счета мобильного телефона пользователя. Вредоносное ПО может нажимать кнопки на данных сайтах, используя специальные JS-файлы, таким образом осуществляя оплату неких услуг втайне от пользователя.
Странами с самым большим процентом атакованных мобильных устройств в третьем квартале 2017 года стали Иран (35,12%), Бангладеш (28,3%) и Китай (27,38%). Россия заняла 35-е место, на ее долю пришлось 8,68% мобильных угроз. В то же время Россия заняла первое место по количеству атак банковскими троянами - на ее долю пришлось 1,2%, на втором и третьем местах расположились Узбекистан (0,4%) и Казахстан (0,36%).
Также эксперты отметили рост количества атак с использованием вредоносных документов. Выросло число комбинированных документов (в которых содержится и эксплоит, и фишинговое сообщение) на тот случай, если встроенный в документ эксплоит не сработал.
В отчете также говорится о новой волне атак шифровальщика Crysis, которая пришлась на август текущего года.
В июле 2017 года авторы вымогательского ПО Petya опубликовали свой мастер-ключ, с помощью которого возможна расшифровка ключей Salsa, необходимых для расшифровки базы данных MFT и разблокировки доступа к системам, пострадавшим в ходе атак вредоносного ПО Petya/Mischa и GoldenEye. Произошло это вскоре после эпидемии заражения вымогательским ПО ExPetr, который использовал часть кода от GoldenEye. Данный ход навел исследователей на мысль, что авторы Petya/Mischa/GoldenEye попытались таким образом дистанцироваться от ExPetr. Хотя количество атак росло на протяжении квартала, оно остается ниже показателей мая и июня, когда прогремели две массовые эпидемии - WannaCry и ExPetr.
По количеству заражений вымогательским ПО первое место занимает Мьянма (0,95%), второе - Вьетнам (0,92%) и третье - Индонезия (0,69%). Россия, занимавшая 10-е место во втором квартале, теперь находится на 6-й позиции (0,51%).
Более подробно с данными отчета можно ознакомиться .
Исследователи Kaspersky Lab ICS CERT провели анализ уязвимостей информационных систем промышленных предприятий за вторую половину 2017 года и опубликовали подробный отчет, включая сравнительную статистику по двум полугодиям.
Хайлайты обзора
- 55 % брешей автоматизированных систем приходится на отрасль энергетики.
- Все самые опасные уязвимости характеризуются проблемами аутентификации, удаленным исполнением кода и простотой эксплуатации.
- Самые распространенные типы брешей - переполнение буфера и неправильная аутентификация.
- Обнаружены серьезные уязвимости в программных платформах и сетевых протоколах, которые можно использовать для атаки на системы автоматизации многих промышленных предприятий.
- Возросло количество брешей в IoT-устройствах, за ним увеличилось число ботнетов.
Вряд ли компьютеры технологической сети подвергаются целевой атаке майнеров: у специалистов нет этому достоверных подтверждений. В основном, системы цепляют майнеры из Интернета, вчетверо реже - со съемных носителей.
Атаки ботнет-агентов случались чаще: им подверглись 10,8 % всех систем промышленной автоматизации.
Несмотря на преимущественно случайный характер заражения, в 2017 году зарегистрированы две целевые атаки - Industroyer и Trisis/Triton . Кроме того, промышленные организации подвергались фишинговым атакам, из них самая известная - шпион Formbook, который эксплуатирует уязвимость CVE-2017-8759 или использует макросы.
Статистика угроз
Во второй половине 2017 года безуспешно атакованы 37,8 % компьютеров промышленных сетей, защищаемых продуктами Kaspersky Lab. Статистика показывает спад активности вредоносов к середине лета:
Специалисты проследили различие в статистике атак, распределенной по индустриям, между двумя полугодиями 2017 года.
Основные источники те же - Интернет, съемные носители, а также почтовые клиенты.
Во второй половине 2017 года 26,6 % атак исходили от вредоносных программ, принадлежащих классу Trojan.
Самой популярной целью остается Windows x86, хотя к концу года количество атак, рассчитанных на JavaScript, заметно увеличилось, что подвинуло платформу на третью строку списка. Исследователи связывают этот факт с распространением фишинговых писем, содержащих Trojan-Ransom.Win32.Locky.
Специалисты Kaspersky Lab составили карту, отражающую процент атакованных компьютеров в стране. Самый высокий уровень во Вьетнаме - 69,6 %. Россия с 21 места поднялась до 13, ее показатель составляет 46,8 %.
Меньше всего атак зарегистрировано в Израиле (8,6 %), Дании (13,6 %) и Великобритании (14,5 %).
Об отборе данных исследователи рассказали в разделе «Методология» .
В заключение специалисты составили списки рекомендаций для промышленных организаций, включающие меры по защите от случайных и целевых атак, а также от конкретных угроз, выявленных в исследовании.
«Лаборатория Касперского» проанализировала основные тенденции на спам-арене в своем отчете по итогам 2017 года.
Как и годом ранее, мошенники продолжают следить за мировыми событиями и активно используют их в спам-рассылках в качестве приманки. Авторы классических «нигерийских» писем использовали природные катаклизмы - ураганы, наводнения и пожары для того, чтобы привлечь внимание потенциальной жертвы.
Еще один популярный сюжет спам-рассылок - спортивные события. В качестве инфоповода мошенники использовали билеты на Олимпийские игры или футбольные матчи. Нередко мошенники сообщали о мнимом выигрыше билетов на предстоящий чемпионат мира по футболу.
В спаме по-прежнему часто упоминались известные персоны и политические деятели. Одним из самых популярных персонажей подобных рассылок в прошлом году стал американский президент Дональд Трамп.
Следуя актуальным трендам, компьютерные мошенники провели оперативный ребрендинг традиционных методов обмана и активно эксплуатируют тему криптовалют в спам-рассылках. Диапазон уловок киберпреступников широк - от фальшивых семинаров, обещающих быстрый заработок, до предложений об аренде облачных сервисов для майнинга. Продавцы баз данных с адресами для рассылок теперь нередко выделяют владельцев биткойн-кошельков в отдельный сегмент. Это означает, что на обладателей криптовалюты возможны прицельные атаки спамеров.
Прямая рассылка вредоносных программ в 2017 году стала менее популярной. Количество срабатываний почтового антивируса у клиентов «Лаборатории Касперского» уменьшилось в 1,6 раза. Аналитики связывают это с нестабильной работой ботнета Necurs. За прошедший год известная спам-сеть несколько раз пропадала с радаров, но каждый раз с новыми угрозами.
Между тем доля спама в почтовом трафике за год сократилась незначительно. На несанкционированные рассылки пришлось более половины всех отправлений прошлого года. Основным источником таких писем являются США - 13,21% исходящего спама. В тройку лидеров вошли также Китай (11,25%) и Вьетнам (9,85%). Россия занимает шестое место - ее доля возросла на 1,87 п. п. и составляет 5,46%.
Среди получателей спама лидирует Германия, на долю которой в минувшем году пришлось 16,25% мусорных писем. Россия заняла в этом рейтинге третье место с показателем 6,87%.
Фишинговые сайты повсеместно на защищенные соединения. Вслед за усилением мер безопасности со стороны разработчиков браузеров наличием SSL-сертификата озаботились не только владельцы легитимных ресурсов, но и кибермошенники. Защиту по HTTPS для криминальных страниц злоумышленники нередко получают через пробные шестимесячные сертификаты от популярных центров. Кроме того, для размещения ловушек киберпреступники часто выбирают не слишком внимательные к контенту бесплатные площадки, а также используют взломанные сайты.
Так же как и в случае со спамом, создатели фишинговых сайтов активно используют . Мошенники имитируют страницы популярных биткойн-сервисов, стараясь заставить жертву перевести им свои деньги. Среди других криминальных приманок года - iPhone X, возврат налогов, а также лотереи с бесплатными билетами от известных авиакомпаний.
В прошлом году фишеры стали чаще использовать Punycode. Название домена, в котором использованы символы национальной кодировки, иногда сложно отличить от оригинального. Такое мошенничество чем-то напоминает знаменитые abibas и pawasonic, однако в случае с поддельными сайтами определить фальшивку сложнее, а последствия могут быть гораздо серьезнее.
Злоумышленники чаще всего подделывали сайты финансовых организаций, онлайн-компаний и глобальные интернет-порталы. На долю социальных сетей пришлось более 10% фальшивых ресурсов, а Facebook стал самым популярным среди фишеров брендом.
