Хорошо известно, что киберпреступники часто используют события глобального масштаба в корыстных целях. Примером могут служить такие природные катаклизмы, как землетрясение на Гаити, ураган Катрина или землетрясение в Новой Зеландии. Стихийное бедствие в Японии и его последствия не стали исключением. Подобные события снова и снова позволяют киберпреступникам наживаться на несчастье других людей.
Существует множество способов пожертвовать средства в пользу пострадавших от землетрясения в Японии, однако огромное количество благотворительных организаций и инициатив может любого сбить с толку. Кроме того, не всегда ясно, можно ли доверять организаторам подобных кампаний.
То же самое относится и к ошеломляющему потоку информации и новостей в таких ситуациях. В наши дни традиционные средства массовой информации, такие как телевидение, радио и газеты, дополнились множеством веб-сайтов, блогов, видео-порталов и социальных медиа, предлагающих новости в режиме реального времени.
Такое многообразие крайне выгодно для киберпреступников. Мошеннические схемы, сопровождающие события мирового масштаба, становятся все более изощренными, а раскрыть их с каждым разом все сложнее. Преступники используют современные СМИ и методы социальной инженерии для обмана доверчивых пользователей. При этом они играют на чувствах людей и используют присущие им черты:
- Милосердие, желание сделать пожертвование
- Любопытство, любовь к сенсациям
- Стремление помочь пострадавшим
- Склонность поддаваться панике
В случае с землетрясением в Японии киберпреступники превзошли самих себя. Сейчас, спустя два месяца после землетрясения и цунами 11 марта, пришло время рассмотреть наиболее важные с точки зрения информационной безопасности события.
Примечание: данная статья не претендует на полноту изложения, но позволяет получить представление о том, как развивались события. Имевшие место инциденты представлены в хронологическом порядке.
11 марта - Google вновь запускает сервис Person Finder
В феврале компания Google оказала помощь в устранении последствий землетрясения в Новой Зеландии, выпустив Person Finder. Повторный запуск сервиса Google был произведен с целью поддержать пострадавших от землетрясения в Японии. Person Finder - инструмент, помогающий определить местонахождение пропавших без вести.
12 марта - Первые случаи Likejacking в Facebook
Первый случай мошенничества Likejacking в Facebook, в котором использовалась тема цунами, был достаточно абсурдным (текст сообщения ниже: "В результате японского цунами КИТ врезался в здание!"):
После клика по ссылке пользователь перенаправлялся на страницу, напоминающую сайт Facebook, с имитацией окна Flash Player, демонстрирующего видеоролик. Однако после клика в любом месте страницы его друзьям рассылалось статус-сообщение ("Мне нравится"), а самому пользователю предлагалось пройти опрос, чтобы посмотреть видео и якобы получить возможность выиграть iPad 2, iPhone или ноутбук. Киберпреступники, использующие эту мошенническую схему, получали прибыль с каждой заполненной анкеты.
Еще одна аналогичная схема имела похожий механизм, с той лишь разницей, что веб-сайт, на котором якобы размещено видео, имитировал не Facebook, а YouTube. В рамках этой схемы пользователям тоже предлагалась фальшивая лотерея с iPad и iPhone в качестве призов.
При этом сообщение также рассылалось через новостную ленту Facebook, а пользователей обманом убеждали пройти опрос.
13 марта - Новые случаи Likejacking в Facebook со ссылками на несуществующие видеоролики о цунами
Данная мошенническая схема похожа на приведенные выше примеры, но в конце содержит предложение о покупке дешевой страховки. Как и в большинстве подобных случаев, видео не проигрывается.
Пользователь, заходящий на веб-сайт, должен согласиться на одно из предложений в обмен на возможность просмотреть видео - которого опять-таки не существует. Предложения включают браузерные игры, выгодные страховки и темы для оформления личной странички на Facebook. Все это якобы служит для проверки возраста пользователя, желающего просмотреть видео.
14 марта - Через Twitter рассылаются фальшивые сообщения о сборе пожертвований от имени Американского Красного Креста
Помимо Facebook, для рассылки мошеннических писем, связанных с землетрясением в Японии, также использовался Twitter. Призывы о пожертвованиях рассылались с фальшивых Twitter-аккаунтов Красного Креста. Утверждалось, что переведенные пользователями средства будут использованы для оказания помощи жителям Японии.
14 марта - В массовой кампании по "черной" поисковой оптимизации используются 1,7 млн. страниц (по данным Google)
По данным SANS и Google, вскоре после бедствия в Японии была проведена масштабная кампания по "черной" поисковой оптимизации, в рамках которой для распространения фальшивого антивируса было задействовано более 1.7 миллиона страниц. Эта кампания продемонстрировала, насколько активны киберпреступники и как быстро они способны реагировать на горячие новости.
14 марта - SMS-рассылка с ложным сообщением об угрозе радиации вызывает панику на Филиппинах
Согласно сообщениям Spiegel и BBC , на Филиппинах рассылались SMS-сообщения, содержащие лживую информацию. В тексте сообщения, якобы отправленного британским новостным каналом, утверждалось, что радиоактивное облако накроет Манилу в понедельник 14 марта около 16.00. Похоже, целью этой фальшивки было просто вызвать панику среди населения, поскольку нет оснований считать, что злоумышленникам удалось извлечь из своих действий материальную выгоду.
15 марта - Мошенники организуют в Facebook группы якобы для сбора средств в пользу Японии
Всего за несколько дней на Facebook появились сотни групп и страниц с призывами о пожертвованиях. Одни обещали, что определенная сумма денег будет перечисляться в пользу пострадавших каждый раз, когда пользователь нажмет на кнопку "Мне нравится", другие предлагали перевести деньги через систему онлайн-платежей. Определить реальные намерения создателей многих подобных групп было очень сложно.
15 марта - IT-экперт Майкл Хорн (Michael Horn), также известный как Nibbler, запускает проект geigerCrowd
Хакеры помогают Японии: IT-эксперт Майкл Хорн, также известный как Nibbler, запустил проект geigerCrowd , в котором использовал краудсорсинг для разработки программного обеспечения, а также обработки данных об уровне радиации в разных районах страны и представления этой информации в графическом виде.
16 марта - Рассылаются спам-сообщения со ссылками на вредоносный сайт
В одной из первых волн спама, эксплуатирующего ситуацию в Японии, были использованы несколько подлинных заголовков новостей BBC. Однако ссылки с них вели на вредоносный веб-сайт, использующий Java-эксплойты для распространения вредоносного ПО.
На скриншоте показано сообщение, полученное 19 марта. Наш коллега Николя написал в своем блоге о похожем сообщении, которое было получено 16 марта.
17 марта - Поддельные письма якобы от Twitter обещают просмотр видео со станции Фукусима-1
В этом письме, якобы отправленном службой поддержки социальной сети Twitter, обещан просмотр видеоролика, снятого в запретной зоне вокруг станции Фукусима-1. Ссылка перенаправляет пользователей на вредоносный веб-сайт, заражающий их компьютеры различными вариантами Trojan-Downloader.Win32.Codecpack с помощью нескольких эксплойтов, входящих в набор Incognito.
Наш коллега Николя написал об этом блогпост.
18 марта - Раскрыто мошенничество с авиабилетами
Согласно Koreatimes.co.kr, жители Южной Кореи стали жертвой мошенников, заплатив за несуществующие авиабилеты. Билеты были распроданы в результате паники среди населения и связанного с ней резкого роста числа людей, желающих покинуть страну.
В мошенническом сообщении говорилось, что два билета сданы и продаются. Предложение якобы исходило от сотрудника туристического агентства. Жертв просили прислать копию паспорта и перевести $674. Таким образом, киберпреступники получили и деньги, и личные данные обманутых пользователей.
18 марта - Спам с ложными обращениями о сборе пожертвований для Японии
Отправитель этого спам-сообщения якобы является представителем форума японской общины в Испании. Пожертвование должно быть сделано через интернет-портал Western Union, который часто используется в подобных мошеннических схемах, так как обеспечивает злоумышленникам высокий уровень анонимности.
Наш коллега Майкл написал об этом случае в своем блоге.
23 марта - Рассылка спама от имени Британского Красного Креста
Это относительно поздний образец фальшивого письма с просьбой о пожертвованиях. Мошенники всячески старались, чтобы сообщение выглядело так, как будто оно отправлено Британским Красным Крестом. Однако адрес отправителя - поддельный.
Примечательно то, что авторы этого письма максимально облегчили доверчивым пользователям перевод денежных средств… которые, конечно же, попадали прямиком в карманы киберпреступников. В конце сообщения размещена HTML-форма для совершения пожертвования. Потенциальных жертв также просили предоставить свои личные данные. Таким образом, в этом случае киберпреступники также убивали сразу двух зайцев.
25 марта - Продолжается распространение вредоносного ПО через веб-сайты
25 марта наш коллега Майкл обнаружил еще один веб-сайт, распространяющий вредоносные программы. Сайт рекламирует видео, название которого можно перевести как "Новое цунами достигло области Сендай, Япония объявляет чрезвычайное положение на атомной электростанции". Однако после клика на странице загружается и запускается файл, детектируемый нами как Trojan-Downloader.Win32.AutoIT.po, который, в свою очередь, загружает три дополнительных бинарных файла.
28 марта - Еще одна спам-рассылка от имени Красного Креста
Еще одна волна фальшивых сообщений от имени Красного Креста (на этот раз якобы отправленных из филиала в Японии) с просьбами о пожертвованиях.
