Волна взломов мессенджеров прокатилась по татарстанским чиновникам. Хакеры делали рассылки от их лица и звонили знакомым. Разбираемся вместе с экспертами, какую цель преследовали злоумышленники, и как защититься обычному пользователю.
В начале 2024 года хакеры усилили атаки на министров и представителей государственного сектора Татарстана. Первой «жертвой» злоумышленников стал министр промышленности и торговли Татарстана Олег Коробченко, который заметил подозрительную активность в мессенджере и предупредил об этом коллег.
— Взломали мой телефон. В Telegram идет рассылка от моего имени. Никому никаких заданий и просьб на эти дни не отправляю. Пожалуйста, будьте внимательны, — сказал глава Минпромторга в своем обращении.
На следующий день хакеры «добрались» до министра сельского хозяйства и продовольствия Татарстана Марата Зяббарова. Неизвестные аналогичным образом получили доступ к аккаунту в Telegram и начали рассылку от его лица.
После двух первых случаев последовала цепная реакция. Мошенники добрались до социальных сетей главы комитета по развитию туризма Казани Дарьи Санниковой. Чиновница сообщила, что злоумышленники взломали ее аккаунт и начали звонить знакомым. Накануне она получала звонки со спам-предложениями о приобретении недвижимости. Попутно ей поступали сообщения с просьбой подтвердить код. После этого мошенники начали звонить знакомым Санниковой от лица силовых структур и пугать, что с ними выйдут на связь.
На этом кибератаки на топ-менеджмент Татарстана не прекратились. Жертвой мошенников стал начальник территориального отдела управления Роспотребнадзора по Татарстану в Набережных Челнах Илгизар Бариев. Неизвестные начали звонить от его имени и требовать купить для больницы дорогостоящий препарат для детской больницы.
Глава Минцифры Татарстана Айрат Хайруллин рассказал о способе мошенничества с Telegram-аккаунтами, когда злоумышленники заводят аккаунт с фото и именем реального госслужащего, бизнесмена или крупного руководителя, предупреждает о скором звонке из министерства или ведомства, а затем жертве поступает звонок с неизвестного номера якобы для проверки. Чиновник также добавил, что сообщения с таких аккаунтов, как правило, имеют множество грамматических, орфографических и других ошибок.
Эволюция мошенничества из серии «мама, я попал в беду!»
Советник генерального директора по информационной безопасности ОЭЗ «Иннополис» Артем Бетев рассказал журналисту «Вечерней Казани», что в недавних случаях имел место фишинг, а именно создание поддельных (фейковых) аккаунтов, от имени которых злоумышленники вступали в общение с сотрудниками организаций. Главная цель таких звонков и сообщений становится банальное мошенничество с целью склонить жертву к передаче денежных средств.
— Сейчас мы наблюдаем лишь эволюционное развитие хорошо всем известного телефонного мошенничества, когда жертве поступал телефонный звонок из серии «мама, я попал в беду!». Пожилые люди в ночное время не всегда могли адекватно оценить происходящее и передавали деньги курьеру. Теперь мошенники представляются начальниками, но мотивы и приемы остались прежними, — рассказал эксперт.
Бетев также сообщил, что с мошенниками столкнулось и руководства АО «ОЭЗ Иннополис». Злоумышленники пытались подделать аккаунт генерального директора Рената Халимова. Как пояснил специалист, бороться с мошенниками практически бесполезно, поэтому в ОЭЗ пошли по пути повышения осведомленности сотрудников: всеми возможными каналами связи оповестили их и даже написали маленькую инструкцию, какие действия нужно предпринять, чтобы не стать жертвой мошенников.
— Основное правило здесь простое: необходимо другим каналом связи убедиться, что на обратном конце чата подлинный собеседник, — подчеркнул эксперт.
Бетев добавил, что важным условием защищенности от мошенников считается цифровая гигиена. В мессенджерах необходимо использовать двухфакторную аутентификацию и надежный пароль, хранящийся в секрете. В таком случае взлом аккаунта становится крайне затруднительным.
В пресс-службе ПАО «МТС» вспомнили, как осенью пользователи Telegram жаловались на «угнанные» после участия в различных голосованиях аккаунты. Они получали сообщение с просьбой поддержать ребенка в конкурсе и ссылкой на голосование. Чтобы голос засчитали, якобы нужно было подтвердить номер телефона и ввести код авторизации. На самом деле, это был код для доступа к аккаунту. От имени взломанного пользователя мошенники дальше рассылали то же сообщение всем контактам.
— При этом, злоумышленники устанавливали облачный пароль и привязывали к украденному аккаунту уже другую почту. После этого пользователь терял к нему доступ и не мог ни поменять пароль, ни заблокировать аккаунт. Поэтому в мессенджерах и на любых других ресурсах важно подключать двухфакторную аутентификацию, тогда для входа в аккаунт нужен будет не только пароль, но и код подтверждения из смс-сообщения, — рассказала пресс-секретарь Айгуль Арсланова.
Мошенники также продолжают использовать и проверенные способы обмана. Так, звонки от «сотрудников банков» в последнее время сменились звонками от «операторов связи» с сообщением о необходимости продления договора. Чаще всего, злоумышленники таким образом выманивают паспортные данные или иную информацию, которая поможет им зайти, например, в Госуслуги. Их цель – получить код подтверждения для входа, который приходит сообщением на телефон пользователя. Специалисты МТС напомнили, что сотрудники банка, оператора не будут звонить и запрашивать паспортные данные или какие-то коды. Если есть сомнения, лучше прервать звонок, перезвонив в банк/оператору, самостоятельно набрав официальный номер телефона организации.
Как мошенники взламывают соцсети?
По словам аналитика компании Инфозонт, разработчика решений для обнаружения и предотвращения кибератак Павла Красноперова, злоумышленники могли получить доступ к аккаунту, когда пользователь перешел по ссылке с вирусом в почте, SMS или на устройстве использовалось программное обеспечение, которое своевременно не обновили, и злоумышленники воспользовались известными дырами безопасности.
Чаще всего хакерами движет цель нанести жертве финансовый или репутационный вред, пояснил Краснпоперов. Но иногда атаки не имеют конкретных целей, и злоумышленники атакуют просто потому что могут, ради забавы.
Способов получить доступ к аккаунту достаточно много. Чаще всего им становится пресловутый человеческий фактор.
— Посетили вредоносный ресурс (перешли по ссылке из сообщения, на что-то подписались, не вчитываясь в условия предоставления услуг). Иногда эксплуатируются уязвимости в программном обеспечении. Утеря телефона. Легко подбираемый пароль, который не меняли несколько лет. Облегчает задачу ситуация, когда один и тот же пароль используется для нескольких аккаунтов, — перечислил эксперт.
Также злоумышленники могли получить копию симки в офисе оператора и уже через нее получить доступ к мессенджерам или перехватить SMS с кодом восстановления доступа к аккаунту при помощи заранее внедренных шпионских программ.
Эксперт уверен, что количество кибератак будет только расти. О тенденции к увеличению подобных случаев говорит статистика. Обеспечение информационной безопасности топ-менеджеров компаний приобретает все большую актуальность.
— В большинстве случаев причиной кибератак является человеческий фактор. В во времена фейков становится сложнее определить достоверность полученных данных. Мошенники могут создавать видео или аудиозаписи с известными личностями, политиками и другими жертвами, и использовать их для вымогательства, мести или шантажа. Такие видеозаписи могут навредить репутации и карьере. Возможно создание фейковых аудиозаписей, имитирующих голоса руководителей компаний или высокопоставленных лиц, с целью введения в заблуждение и осуществления финансового мошенничества, — рассказал аналитик.
Он уточнил, что для борьбы с Deepfake уже тоже разработаны инструменты. Такие же системы используются и для того чтобы распознавать сгенерированные нейронными сетями видео и аудио записи.
— По сути тоже битва умов и технологий. Кто-то научил делать сеть качественную подделку, а другой специалист придумал, как детектировать эту подделку. Детектировать сгенерированные записи не так уж и сложно даже человеку, нужно просто знать на что смотреть. Проблема в том, что делать такой анализ «на потоке» довольно проблематично и требует много вычислительных ресурсов. «Дешевых» автоматических методов пока нет. А значит мы не можем поставить такой фильтр на каждое устройство. В этом кроется основная проблема, — поделился Красноперов.
Некоторые компании разрабатывают системы для верификации медиаконтента с использованием технологии блокчейн. Это позволяет подтвердить, что контент не был изменен с момента его создания. Проблема, по мнению эксперта, заключается в сложности массового применения. Свою играет все тот же человеческий фактор, невнимательность.
Красноперов поделился рекомендациями, как защитить свой аккаунт.
Специалист также рассказал, что, если аккаунт уже увели, следует обратиться в службу поддержки или восстановить доступ по форме.
Эксперт обратил внимание, что защитить свое устройство от мошеннических атак на 100% невозможно. Лучшим вариантом будет положить устройство в металлический сейф, отключить и не трогать. Применение специальных утилит и антивирусов, как минимум, затруднит реализацию атак. Главное — соблюдение цифровой гигиены, подчеркнул Красноперов.
Выследить хакеров сложно, но возможно
Заместитель руководителя центра практической информационной безопасности ИТ-компании Innostage Ксения Рысаева предположила, что целью злоумышленников было нанесение репутационного ущерба должностным лицам и организациям, которые они представляют, некие политические или бунтарские мотивы.
Возможна и кража данных из личных и рабочих переписок в мессенджере как с целью шпионажа и передачи третьим лицам, так и шантажа жертвы.
— То есть это могла быть атака типа Whaling («китобойный промысел»), когда мошенники специально нацеливаются на «крупную рыбу»: генеральных директоров и их замов, а также руководителей высокого уровня, имеющих доступ к ценным данным, — пояснила эксперт.
Не исключила Рысаева и другие мотивы таргетированных атак – следующим шагом хакеры могли пытаться взломать учетные записи коллег и подчиненных пострадавшего. Также компрометация аккаунта могла быть совершена для фишинга: в сообщениях от имени высокопоставленных лиц могли содержаться просьбы выполнить определенные выгодные хакерам действия – например, предоставить персональную или банковскую информацию, перечислить деньги на их счета. Собеседница допустила и то, что злоумышленники действовали наугад и заранее не знали, чей аккаунт они пытаются взломать.
Выследить тех, кто взломал телефон, крайне сложно, считает эксперт. По ее словам, это практически невозможно, а также требует значительных ресурсов и времени. Однако с помощью высококвалифицированных специалистов и соответствующих средств можно вычислить мошенника. Но успех расследования главным образом зависит от того, каковы цели и квалификация злоумышленника.
— Например, довольно большие шансы распутать дело, где знакомый человек под каким-то предлогом подсунул жертве вредоносное программное обеспечение для смартфона с целью слежки и чтения переписки. И совсем другое, когда речь о широкомасштабной вредоносной кампании, направленной на сбор сведений о пользователях, таких как пароли учетных записей, платежные данные. При этом технологически инструменты в обоих приведенных примерах могут не сильно отличаться. В любом случае, следует помнить, что цена расследования не может (и не должна) превышать стоимость затрат и потенциального ущерба третьим лицам. Технически — следы зачастую остаются, но стоимость их выявления и атрибуции может быть неоправданно высока, — рассуждала Рысаева.
Количество кибератак в будущем будет только расти
По оценкам аналитиков Innostage за 2023 год общее количество кибератак на территории России выросло примерно на 15%, по отдельным категориям инцидентов – до 50-70%. О случаях взломах аккаунтов становится известно только когда дело касается публичных персон, хотя пострадавших среди обычных граждан в сотни раз больше, заявила эксперт. В группе риска, прежде всего, несовершеннолетние и люди пенсионного возраста, которые чаще ведутся на уловки мошенников и не знают или не придерживаются правил цифровой гигиены.
В дополнение к основным правилам защиты Рысаева добавила еще несколько рекомендаций по продвинутому уровню цифровой защиты.
— Завершайте сессии на устройствах, которыми не пользуетесь. Проверяйте активные сеансы (откуда происходит подключение и с какого устройства выполнен вход) через вкладку «Устройства». Заведите отдельную почту (сим-карту) для мессенджера, скройте ваш номер телефона через настройки и ограничьте в настройках приватности круг лиц, которые могут звонить или отправлять вам сообщения. Не используйте WiFi в местах общего доступа, либо активируйте свой VPN-сервис, — перечислила эксперт.
Возрастающее число хакерских атак положительно сказалось на развитии российского рынка оборудования, решений и сервисных услуг по обеспечению кибербезопасности, заметила Рысаева. По подсчетам компании Innostage, рынок продолжит расти на 30% (по отдельным сегментам на 50% и более) в год.
В Татарстане, как и, в целом, в России, реализуется целый ряд мер по повышению уровня кибербезопасности для населения, бизнеса и госучреждений, функционируют киберполигоны и обучающие центры по направлениям информационной безопасности.
— Именно в нашей республике в 2022 году стартовал пилотный проект Межвузовский студенческий центр кибербезопасности, позволяющий студентам профильных специальностей получать практические навыки в сфере информационной безопасности, отражая и расследуя реальные атаки на свои университеты, — рассказала эксперт.
Обучение на базе проекта уже прошли 130 студентов, лучшие из которых осенью 2023 года приняли участие во Всероссийской студенческой кибербитве.
Защита от мошенников — ответственность самого пользователя
Руководитель компании ООО «Инфо-Оберег» Владимир Дорофеев обратил внимание, что во взломах аккаунта чаще всего виноват сам пользователь, который перешел по вредоносной ссылке или не использовал способы защиты, которые предоставляет само приложение.
Он привел в пример популярные мессенджеры Telegram и WhatsApp. Так, функцией установки дополнительного «облачного» пароля пользуется лишь небольшое количество людей.
Для защиты аккаунта WhatsApp эксперт рекомендует не переходить по ссылкам, настроить двухшаговую проверку и проверять информацию в разделе «привязанные устройства». Если в списке появились устройства, с которых пользователь не заходил на свой аккаунт, из них нужно немедленно выйти.
Начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд добавил, что специальные инструменты и сервисы могут помочь пользователю защитить аккаунт. Антивирус позволит не подцепить «троян», менеджер паролей поможет не потерять много сложных паролей, а определитель номеров выявит мошеннические и спам-звонки.
Он также рассказал, что различные компании предпринимают попытки создать подобный «запретительный» функционал. Например, компания Samsung работала над функцией Privacy Detection. Она обнаруживает конфиденциальные данные на фото и в случае, если они там есть, запрашивает подтверждение пользователя перед отправкой.
Однако не существует программы, которая «запретит» пользователю передать коды, пароли и иную информацию по телефону или мессенджеру. Эксперт подчеркнул, что защита от мошенников это в первую очередь личная ответственность и осведомленность пользователей.
Автор: Алия Резванова