Сезон праздничных распродаж начался рано, и среди пользователей заранее начали распространяться новости о выгодных предложениях к «черной пятнице» и всемирному дню шопинга.
Злоумышленники, в свою очередь, хотят получить часть прибыли, и потому создают поддельные веб-сайты, аккаунты в социальных сетях, адреса электронной почты и готовят инструменты для фишинговых рассылок. В рассылках мошенники часто информируют пользователя о выгодных предложениях (например, о больших скидках и розыгрышах призов) и используют темы, связанные с отслеживанием заказов, доставкой посылок.
Фишинговые письма могут также содержать уведомления о необходимости обновить платежные данные в интернет-магазине. В III квартале 2022 года, согласно данным Positive Technologies, доля атак на частных лиц составила 19%, при этом в 93% таких атак злоумышленники использовали социальную инженерию.
В период распродаж преступников крайне интересует отрасль торговли. Больше всего атак на ритейл происходит в IV квартале: в среднем на этот период приходится треть от общегодового количества атак на отрасль торговли. При этом после традиционного затишья в III квартале число кибернападений на ритейл, наблюдаемых в следующем, IV квартале, обычно увеличивается почти вдвое: в это время массовые атаки на покупателей через скомпрометированные онлайн-магазины становятся масштабнее, а в базах данных магазинов содержится большее количество информации о клиентах.
Массовая компрометация легитимных сайтов
Злоумышленники готовятся заранее. Для проведения атак они не только создают фишинговые ресурсы, но и взламывают легитимные сайты, а после компрометации сервиса размещают на нем вредоносный код, способный украсть данные пользователя или же перенаправить его на вредоносный ресурс.
Сайты электронной коммерции наиболее подвержены риску. В 2021 году накануне «черной пятницы» Национальный центр кибербезопасности Великобритании (NCSC) предупредил более 4000 владельцев сайтов малого бизнеса о скомпрометированных платежных порталах на их платформах электронной коммерции. Уже в этом году летом исследователи фиксировали кампании по заражению веб-ресурсов веб-скиммерами и фишинговыми комплектами.
Для компрометации сайтов злоумышленники чаще всего эксплуатируют уязвимости в популярных CRM-системах, взламывают слабые пароли. Например, продолжаются атаки Magecart: в одной из недавних кампаний преступники эксплуатировали уязвимости Magento, чтобы получить доступ к исходному коду сайта и внедрить веб-скиммер для кражи данных из платежных форм, страниц оформления заказа. Кроме того, злоумышленники внедряют в скомпрометированные сайты фишинговые инструменты для кражи данных пользователей. Например, чтобы распространить набор для фишинга, направленный на пользователей PayPal, преступники взламывали сайты, для управления которыми использовались учетные записи WordPress со слабыми паролями.
В III квартале исследователи PT Expert Security Center обнаружили более 12 тысяч скомпрометированных сайтов под управлением Bitrix: в код этих страниц был встроен вредоносный скрипт. Если пользователь попадал на взломанный ресурс, скрипт проверял, посещал ли пользователь в этот день другие скомпрометированные страницы и пришел ли он из поисковой системы. При выполнении обоих условий скрипт перенаправлял пользователя по вредоносной ссылке, и в результате посетитель сайта оказывался на одной из фишинговых страниц, имитирующих легитимные (например, ряд известных онлайн-магазины). В итоге злоумышленник запрашивал у жертв данные их платежных карт.
Фишинг как услуга
Во второй половине 2022 года большое распространение получает модель PhaaS (phishing as a service). Появляются платформы для продажи фишинговых комплектов и готовых мошеннических сайтов. Такие платформы позволяют легко создавать поддельные сайты, и провести атаку может даже неопытный злоумышленник с низкой квалификацией, потому мы ожидаем увеличения числа атак на покупателей.
Недавние атаки
1. Исследователи Trend Micro обнаружили фишинговые сайты, которые достаточно сложно отличить от оригинальных.
2. В честь «черной пятницы» был проведен «розыгрыш призов от Amazon».
За участие жертвам предлагалось заплатить скромную сумму в размере 1 евро и 95 центов, однако средства перечислялись злоумышленнику. Кроме того, преступник получал платежные данные, которые он сможет использовать в дальнейшем: например, для мошенничества или же для продажи на теневых площадках.
3. В другой атаке злоумышленники распространяли в WhatsApp сообщения, содержащие ссылки на поддельный сайт авиакомпании, которая якобы проводит розыгрыш билетов к «черной пятнице». Пользователям предлагалось пройти небольшой опрос и поделиться сообщением в социальных сетях, чтобы получить приз.
Рекомендации
- Совершайте покупки только в известных и надежных интернет-магазинах. Заходя на сайт, перепроверяйте его название и ссылки в адресной строке браузера. Не спешите: если у вас возникают сомнения относительно надежности ресурса, лучше отказаться от покупки и поискать более безопасный вариант, чем потерять деньги.
- Внимательно изучайте сайты: медленная загрузка страниц, ошибки в адресах могут свидетельствовать о мошенническом ресурсе. Прежде чем вводить платежные и персональные данные, убедитесь, что страница действительно принадлежит магазину или банку, что используется безопасное соединение HTTPS (проверьте наличие замочка в браузере рядом с адресной строкой).
- Отслеживайте информацию о заказах и посылках самостоятельно: мы ожидаем сезонного увеличения числа фишинговых писем-уведомлений якобы от транспортных компаний и онлайн-магазинов.
- Не стоит доверять слишком выгодным предложениям даже в период распродаж, особенно если магазин вам неизвестен. Кратковременные акции и ограниченные предложения часто являются атрибутами мошенников, которые стараются заставить вас быстрее перевести им деньги и не дать времени на размышления.
- Не следует переходить по подозрительным ссылкам, а также открывать вложения в письмах, если вы не уверены в надежности отправителя.
- Рекомендуем завести отдельную карту для шопинга, например виртуальную, и хранить на ней небольшие деньги. В этом случае, даже если данные платежной карты будут скомпрометированы, вы потеряете только ограниченную сумму.
- Если вы загружаете мобильное приложение онлайн-магазина, убедитесь, что оно действительно официальное: проверьте его название, разработчика, дату создания, отзывы и разрешения, которые приложение запрашивает.
Автор материала — Екатерина Семыкина, аналитик исследовательской группы Positive Technologies.