21 мая 2020 г.

Исследователи Check Point выявили 192 000 случаев атак, совершавшихся еженедельно на почве пандемии, с использованием поддельных доменов ВОЗ, ООН и Zoom

  • С появлением пандемии коронавируса злоумышленники создали множество доменов, имитирующих платформу Zoom — только за последние три недели было создано 37%.
  • Мошенники якобы от лица ВОЗ распространяют вредоносное ПО для кражи паролей.
  • Наиболее часто на страницах фальшивых доменов фигурирует тема «Corona Cure» (лекарство от коронавируса).

Компания Check Point Software Technologies Ltd. зафиксировала 192 000 случаев атак в неделю, связанных с коронавирусом в течении последних двух недель. Это на 30% выше по сравнению с прошлыми неделями. Все атаки были связаны с темой коронавируса и осуществлялись с фальшивых доменов, которые имитировали сайты международных организаций, а также сайт платформы Zoom.

Атаки от лица ВОЗ и ООН

Хакеры часто прибегают к использованию имени Всемирной организации здравоохранения (ВОЗ) для осуществления своих атак. Так, недавно киберпреступники осуществили фишинговую рассылку от лица ВОЗ (англ. World Health Organization, WHO) с использованием домена «who.int». Чтобы привлечь внимание жертвы, в теме письма мошенники указывали: «Срочное письмо от ВОЗ: результаты теста первой вакцины от COVID-19». К письму был прикреплен файл с именем «Xerox_scan_covid-19_urgent информационное письмо.xlxs.exe». При его загрузке автоматически устанавливался вредонос Agent Tesla, который используя кейлоггер похищал пароли с устройств пользователей.

Также исследователи Check Point обнаружили фишинговые письма, в которых от лица ООН и ВОЗ злоумышленники просят отправить деньги на биткоин-кошельки.

Рост числа поддельных доменов Zoom

За последние три недели было зарегистрировано около 2449 новых доменов Zoom, 1,5% из которых — вредоносные (32), 13% — подозрительные (320). С января 2020 года во всем мире было зарегистрировано в общей сложности 6576 доменов, имитирующих платформу Zoom, среди них 37% пришлось на последние три недели после объявления пандемии коронавируса.

Атаки с использованием Microsoft Teams и Google Meets

Злоумышленники также часто используют названия популярных сервисов Microsoft Teams и Google Meet для обмана людей. В последнее время пользователи получали фишинговые письма с темой: «You have been added to a team in Microsoft Teams» («Вы были добавлены в команду Microsoft Teams»). Нажимая на иконку «Открыть Microsoft Teams» жертвы переходили по зараженной ссылке (http://login\.microsoftonline.com-common-oauth2-eezylnrb\.medyacam\.com/common/oauth2/), загружая на свое устройство вредоносное ПО. Официальная ссылка Microsoft Teams выглядит совсем иначе: https://teams.microsoft.com/l/team.

Кроме того, исследователи Check Point обнаружили поддельные домены Google Meets. Например, «Googelmeets\.com», который был зарегистрирован 27 апреля 2020 года.

Рост доменов, связанных с темой COVID-19

За последние три недели было зарегистрировано 19 749 новых доменов, связанных с темой коронавируса, из которых 2% являются вредоносными (354) и еще 15% — подозрительными (2961). С начала вспышки эпидемии во всем мире было зарегистрировано в общей сложности 90 284 новых домена, связанных с COVID-19.

Темы и тенденции регистрации доменов, связанных с коронавирусом

Исследователи Check Point вывили зависимость между возникновением фейковых доменов и этапами вспышек эпидемии.

  1. В начале пандемии часто встречались домены, содержащие живые карты, которые позволяли отслеживать распространение вируса по разным регионам. Также популярны были сайты, описывающие симптомы коронавируса.
  2. К концу марта внимание было сосредоточено на различных видах помощи и выплатах, которые осуществлялись в нескольких странах.
  3. Затем широкое распространение получили домены, связанные с жизнью после коронавируса, а также домены, информирующие о второй волне эпидемии.
  4. На протяжении всего периода пандемии домены, связанные с тестами и вакцинами, остаются неугасающим трендом для злоумышленников. Их общее число продолжает расти.

«За последние три недели мы заметили изменения в тенденциях распространения поддельных доменов. Чтобы выжать максимум из сложившейся ситуации, хакеры прибегают к рисковым методам, — рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Если проанализировать последние кибератаки, очевидна тенденция имитирования доменов авторитетных организаций или популярных приложений. Например, в последнее время активно ведутся атаки от лица ВОЗ, ООН или Zoom. Сегодня особенно важно проявлять бдительность и остерегаться подозрительных доменов и отправителей, если речь идет о рассылках по email».

Меры предосторожности

  1. Остерегайтесь доменов, схожих с различными популярными сайтами. Обращайте внимание на орфографические ошибки в электронных письмах или на веб-сайтах.
  2. Не доверяйте неизвестным отправителям. Будьте осторожны с файлами, полученными по электронной почте от неизвестных отправителей, особенно если при их открытии необходимо выполнить какие-либо действия (перейти по ссылке или открыть вложение к письму).
  3. Используйте подлинные источники. Убедитесь, что при оформлении заказа вы используете официальный сайт. Не стоит переходить по ссылкам в электронных письмах. Вместо этого найдите нужный вам сайт самостоятельно с помощью поисковой системы, которой вы пользуетесь.
  4. Остерегайтесь «специальных предложений». Предложение «эксклюзивного лекарства от коронавируса за 12 000 рублей» должно вызвать сомнение.
  5. Убедитесь, что вы используете разные пароли для каждого приложения и каждой учетной записи.

Источник: Пресс-служба компании Check Point