Компания Check Point® Software Technologies Ltd., ведущий поставщик решений в области кибербезопасности, в течение последних двух недель зафиксировала 192 000 случаев атак в неделю, связанных с коронавирусом.
Это на 30% выше по сравнению с предыдущими неделями. Все атаки были связаны с темой коронавируса и осуществлялись с фальшивых доменов, которые имитировали сайты международных организаций, а также сайт платформы Zoom.
Атаки от имени ВОЗ и ООН
Хакеры часто прибегают к использованию имени Всемирной организации здравоохранения (ВОЗ) для осуществления своих атак. Так, недавно киберпреступники осуществили фишинговую рассылку от имени ВОЗ (англ. World Health Organization, WHO) с использованием домена «who.int». Чтобы привлечь внимание жертвы, в теме письма мошенники указывали: «Срочное письмо от ВОЗ: результаты теста первой вакцины от COVID-19». К письму был прикреплен файл с именем «Xerox_scan_covid-19_urgent информационное письмо.xlxs.exe». При его загрузке автоматически устанавливался вредонос Agent Tesla, который используя кейлоггер похищал пароли с устройств пользователей.
Также исследователи Check Point обнаружили фишинговые письма, в которых от имени ООН и ВОЗ злоумышленники просят отправить деньги на биткоин-кошельки.
Рисунок 1. Пример письма, в котором мошенники запрашивают средства от лица ВОЗ
Рост числа поддельных доменов Zoom
За последние три недели было зарегистрировано около 2449 новых доменов Zoom, 1,5% из которых — вредоносные (32), 13% — подозрительные (320). С января 2020 года во всем мире было зарегистрировано в общей сложности 6576 доменов, имитирующих платформу Zoom, среди них 37% пришлось на последние три недели после объявления пандемии коронавируса.
Рисунок 2. Динамика роста числа доменов, похожих на Zoom
Атаки с использованием Microsoft Teams и Google Meets
Злоумышленники для обмана людей также часто используют названия популярным сервисов Microsoft Teams и Google Meet. В последнее время пользователи получали фишинговые письма с темой: “You have been added to a team in Microsoft Teams“ («Вы были добавлены в команду Microsoft Teams»). Нажимая на иконку «Открыть Microsoft Teams» жертвы переходили по зараженной ссылке (http://login\.microsoftonline.com-common-oauth2-eezylnrb\.medyacam\.com/common/oauth2/), загружая на свое устройство вредоносное ПО. Официальная ссылка Microsoft Teams выглядит совсем иначе: https://teams.microsoft.com/l/team.
Кроме того, исследователи Check Point обнаружили поддельные домены Google Meets. Например, «Googelmeets\.com», который был зарегистрирован 27 апреля 2020 года.
Рост доменов, связанных с темой COVID-19
За последние три недели было зарегистрировано 19 749 новых доменов, связанных с темой коронавируса, из которых 2% являются вредоносными (354) и еще 15% — подозрительными (2961). С начала вспышки эпидемии во всем мире было зарегистрировано в общей сложности 90 284 новых домена, связанных с COVID-19.
Рисунок 3. Еженедельная динамика появления доменов, связанных с темой коронавируса
Темы и тенденции регистрации доменов, связанных с коронавирусом
Исследователи Check Point вывили зависимость между возникновением фейковых доменов и этапами вспышек эпидемии.
- В начале пандемии часто встречались домены, содержащие живые карты, которые позволяли отслеживать распространение вируса по разным регионам. Также популярны были сайты, описывающие симптомы коронавируса.
- К концу марта внимание было сосредоточено на различных видах помощи и выплатах, которые осуществлялись в нескольких странах.
- Затем широкое распространение получили домены, связанные с жизнью после коронавируса, а также домены, информирующие о второй волне эпидемии.
- На протяжении всего периода пандемии домены, связанные с тестами и вакцинами, остаются неугасающим трендом для злоумышленников. Их общее число продолжает расти.
Рисунок 4. Процентное соотношение количества доменов по разным темам, связанным с коронавирусом
«За последние три недели мы заметили изменения в тенденциях распространения поддельных доменов. Чтобы выжать максимум из сложившейся ситуации, хакеры прибегают к рисковым методам. — рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Если проанализировать последние кибератаки, очевидна тенденция имитирования доменов авторитетных организаций или популярных приложений. Например, в последнее время активно ведутся атаки от лица ВОЗ, ООН или Zoom. Сегодня особенно важно проявлять бдительность и остерегаться подозрительных доменов и отправителей, если речь идет о рассылках по email».
Меры предосторожности
- Остерегайтесь доменов, схожих с различными популярными сайтами. Обращайте внимание на орфографические ошибки в электронных письмах или на веб-сайтах.
- Не доверяйте неизвестным отправителям. Будьте осторожны с файлами, полученными по электронной почте от неизвестных отправителей, особенно если при их открытии необходимо выполнить какие-либо действия (перейти по ссылке или открыть вложение к письму).
- Используйте подлинные источники. Убедитесь, что при оформлении заказа вы используете официальный сайт. Не стоит переходить по ссылкам в электронных письмах. Вместо этого найдите нужный вам сайт самостоятельно с помощью поисковой системы.
- Остерегайтесь «специальных предложений». Предложение «эксклюзивного лекарства от коронавируса за 12 000 рублей» должно вызвать сомнение.
- Убедитесь, что вы используете разные пароли для каждого приложения и каждой учетной записи.