Фишинг изменился. Медленно, но верно киберпреступники переключаются на программы для кражи данных.
Традиционный фишинг никуда не исчез. Даже наоборот. Однако многие злоумышленники больше не стремятся лишь обманом заставить жертв вводить логины и пароли на поддельных страницах входа в систему. Вместо этого они используют программы-инфостилеры, чтобы незаметно собирать пароли, файлы cookie, данные браузера и другую конфиденциальную информацию с зараженных устройств.
Этот подход привлекателен тем, что он хорошо масштабируется и снижает сопротивление. Вместо того чтобы полагаться на то, что жертва введет свои учетные данные на поддельном сайте, вредоносное ПО может собирать логины, уже сохраненные в браузерах, токены сеанса, данные автозаполнения, реквизиты криптовалютных кошельков и даже файлы, содержащие полезную информацию.
Это делает цепочку атак менее заметной. Традиционное фишинговое письмо часто оставляет явные следы: подозрительную ссылку, поддельную страницу входа в систему или странное вложение. Программы для кражи данных действуют иначе. Они могут попадать на компьютер через вредоносную онлайн-рекламу (malvertising), взломанное программное обеспечение, поддельные обновления браузера, читы для игр или сомнительные сайты для скачивания, а после установки работают в фоновом режиме, похищая все данные, хранящиеся на устройстве жертвы.
Отчасти это может быть связано с широким распространением многофакторной аутентификации (MFA). Похищая сессионные файлы cookie, киберпреступники могут обойти систему MFA и получить доступ к учетным записям без ввода пароля или кода аутентификации.
Еще одним фактором является рост экосистемы «вредоносное ПО как услуга» (MaaS). Программы для кражи данных дешевы в развертывании, легко масштабируемы и чрезвычайно прибыльны. Вместо того чтобы самостоятельно создавать полную цепочку атак, многие преступники покупают у подпольных поставщиков доступ к готовым наборам программ для кражи данных, загрузчикам или услугам по получению первоначального доступа. Это снижает порог входа на рынок и позволяет менее опытным злоумышленникам проводить операции по краже учетных данных.
Во многих случаях программы-инфостэлеры являются лишь первым этапом более масштабной преступной операции. Похищенные данные собираются, упаковываются и продаются другим преступникам, заинтересованным в этой информации. Эти покупатели могут специализироваться на мошенничестве, взломе учетных записей, компрометации корпоративной электронной почты или вымогательстве выкупа. Один зараженный компьютер может приносить доход по нескольким направлениям: учетные данные для одного покупателя, сессионные куки для другого и данные о доступе к корпоративным системам или кошелькам для третьего.
Именно такое разделение труда является одной из причин, по которой программы-крадилы данных стали столь устойчивыми. Операторы могут обновлять свой код, менять инфраструктуру и запускать новые кампании с минимальными затратами, в то время как их партнёры занимаются распространением с помощью фишинга, вредоносной рекламы, поддельных загрузок или приманок в социальных сетях.
Как оставаться в безопасности
Поскольку программы-шпионы чаще всего проникают на компьютер через вредоносную рекламу, поддельные обновления браузера и загрузки «в один клик», к рекламным объявлениям и всплывающим окнам стоит относиться с осторожностью. Мой личный совет: никогда не нажимайте на спонсорскую рекламу. Вместо этого заходите напрямую на официальные сайты и загружайте программы только из надежных источников, таких как официальные сайты разработчиков или магазины приложений.
Еще одним методом, набирающим популярность, является ClickFix — атака с использованием социальной инженерии, в ходе которой пользователей обманом заставляют заразить свои собственные устройства. Никогда не запускайте команды или скрипты, скопированные с веб-сайтов, из электронных писем или сообщений, если вы не доверяете источнику и не понимаете цель данного действия. Если на веб-сайте вам предлагают выполнить команду или какое-либо техническое действие, прежде чем продолжить, проверьте официальную документацию или обратитесь в службу поддержки.
Купили что-то, чего не следовало?
Пиратское ПО, читы для игр и взломанные утилиты по-прежнему остаются одними из самых распространённых способов распространения программ-шпионов. Эти загрузки часто содержат вредоносное ПО, которое устанавливается вместе с тем программным обеспечением, которое вы собирались скачать. Такая же осторожность необходима при установке многих расширений и надстроек для браузеров, которые обещают дополнительные функции или удобство. Выбирайте расширения от проверенных разработчиков, внимательно изучайте отзывы и права доступа, а также избегайте установки любых надстроек, запрашивающих больше прав доступа, чем это обоснованно необходимо.
Фишинговые письма по-прежнему представляют серьезную угрозу, но многие из них можно распознать, если не торопиться и проверить информацию перед тем, как нажать на ссылку. Даже если письмо выглядит так, будто оно пришло от надежного бренда, с осторожностью относитесь к незапрашиваемым вложениям и ссылкам, особенно если в них содержится призыв открыть файл, срочно что-то установить или решить проблему с оплатой. Если вы не уверены, проверьте адрес отправителя, обратите внимание на опечатки или странные формулировки и подтвердите запрос через другой канал, например, на официальном сайте компании, а не по ссылке в письме.
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
