Разборы

Какие опасности ждут в интернете: фишинговые ссылки, скрытые майнеры и хакерские атаки

Однажды друг прислал мне ссылку на стендап-шоу в моём городе и предложил сходить туда вечером. Идея мне понравилась, поэтому я перешёл по ссылке и уже хотел оформлять билеты, как задумался: город у меня маленький, почему в него хотят приехать Нурлан Сабуров и Алексей Щербаков? В общем, оказалось, что друг попался на фишинговую ссылку и чуть не потянул меня за собой. А так бы плакали мои деньги.

Кроме фишинга в интернете много и других видов обмана: вредоносное ПО, криптоджекинг или хакерские атаки. В статье расскажу о самых популярных методах развода и о том, как на такой развод не попасться.

Фишинг

Фишинг — популярный метод, с помощью которого хакеры пытаются украсть личную информацию жертвы. Способ так называют, потому что он образовался от английского fishing — т.е. рыбная ловля. Фактически хакеры пытаются заманить пользователя на крючок разными способами. И два самых распространённых из них — подделка URL-адресов и рассылка мошеннических писем.

Подделка URL-адресов

Обычно хакеры создают копию какого-то сайта. Например, криптовалютной биржи, сервиса продажи билетов или интернет-банкинга. А в URL-адресе фальшивки меняют какую-нибудь букву или сокращают ссылку через специальные сервисы. В итоге человек не замечает ошибку в адресе или переходит по короткой ссылке якобы на настоящий сайт. А там делает любое действие: привязывает кошелек, оплачивает покупку или вводит данные от интернет-банкинга. В любом случае, заканчивается всё примерно одинаково — потерей денег.

Пример фишингового сайта
Пример обмана — ссылка на криптовалютный кошелек metamask. Правильная ссылка пишется как metamask.io, но в поисковую выдачу затесался сайт metOmask.RU. Естественно, фишинговый: как только пользователь зарегистрирует кошелёк и отправит на него деньги — они сразу спишутся

Часто краткие ссылки распространяют через мессенджеры, SMS или пуши. В мессенджерах их прячут в слово либо оставляют как есть — часто люди не придают значения длине ссылки.

А вот в email-рассылках использование сокращённых ссылок чревато попаданием в спам. Хотя некоторые несознательные граждане прорываются даже через фильтры почтовиков.

Рассылка мошеннических писем

Второй распространенный способ фишинга — рассылка email-писем с просьбой ответить на какой-то личный вопрос, скачать файл или перейти по какой-то ссылке.

Работает метод так: мошенник подделывает адрес почты и копирует дизайн писем-оригинала. А в самом письме просит раскрыть конфиденциальную информацию вроде пароля от аккаунта или данные карты. Из-за того, что письмо похоже на настоящее, пользователь попадается на удочку и делится секретной информацией.

Так по отчётам Symantec Internet Security Threat Report (ISTR) за 2018 год, примерно 0,5% всего URL-трафика является фишинговым, а 5,8% этого трафика — вредоносным.

Пример письма с фишингом
Фишинговое письмо, которое отправили якобы с Facebook*. Источник: abnormalsecurity.com

У фишинга есть несколько разновидностей:

Spear-phishing — атаки, направленные на определённых людей, например, системных администраторов.

Whaling — атаки, направленные на руководителей высшего звена.

В 2016 году топ-менеджер компании Mattel получил письмо хакера, выдававшего себя за нового генерального директора. В письме хакер просил топ-менеджера перевести $3 млн в Китай якобы новому поставщику. Топ-менеджер повелся на обман и подтвердил перевод.

Vishing — атака через голосовую почту. Пример такого обмана — звонки от представителей банков, которые сообщают о транзакциях по счёту на крупную сумму.

Как защититься от фишинга

Не доверяйте незнакомцам. Если вам пишет или звонит незнакомец, расспросите, кто он такой и почему вам звонит. Если он представляется банковским работником, спрашивайте, откуда у него ваш номер, почему представители банка звонят сами и т.д. Если из-за таких вопросов собеседник начинает злиться, материться или угрожать вам — кладите трубку.

А если вы переживаете, что зря поссорились с сотрудником банка — позвоните в компанию самостоятельно и выясните, что случилось. Главное, не ошибитесь с номером телефона, берите его только с официальных сайтов, а не из поиска.

Небольшой чек-лист для проверки собеседника

Настоящий сотрудник банка или представитель другой организации не будет:

  • Давить на срочность и угрожать. Например, он не будет торопить словами «быстрее», «срочно» или повышать голос.
  • Пугать какими-то событиями. Например, рассказывать о переводе с вашего банковского счёта или заведении на вас уголовного дела.
  • Присылать сомнительные ссылки. Например, короткие или замаскированные в других словах.
  • Давать ссылки на ресурс, который работает не на https-протоколе. Https-протокол — это защищённый протокол, который трудно взломать и перехватить через него соединение пользователя с сайтом. А в случае с http-протоколом можно взломать соединение, а значит — и украсть важную информацию.

Защитите ПК и учётные записи. По-другому это можно назвать соблюдением базовых правил поведения в интернете:

  • разделите интернет на личный и рабочий;
  • используйте сложные пароли;
  • настройте двухфакторную аутентификацию;
  • не передавайте конфиденциальную информацию в чатах.

Не распространяйте информацию о себе в интернете. Не публикуйте фото паспортов. Не заполняйте в соцсетях данные о себе, по которым можно лучше изучить вашу личность. Например, место учёбы и работы, адрес жительства или номер телефона.

Игорь Позняев, эксперт
Игорь Позняев

Автор проекта «Блог системного администратора»

Вот несколько правил, которые помогут понять, опасна ссылка или нет. Перво-наперво убеждаемся в безопасности ссылки — проверяем её доменное имя и содержание. Не переходим, если содержание не соответствует ожидаемому. Не знаем отправителя — не открываем линки, которые присылают в «личку».

Бывает, что злоумышленники подменивают гиперссылки. Выглядит это так: мы видим один домен, а по факту в текст зашита ссылка, ведущая на совершенно другой сайт. Чтобы определить подлинность ссылки, просто наведите на неё курсор мыши — так вы увидите реальную ссылку перехода.

Вредоносное ПО

Хакеры распространяют вредоносное ПО через почту или мессенджеры. Обычно в письмо они добавляют сопроводительный текст, в котором сообщают о крупном выигрыше, внезапном наследстве или о чём-то ещё, что побудит человека скачать и открыть файл из письма или кликнуть на ссылку. А во вложенном файле может быть вирус. Даже если файл кажется безопасным, не выглядит как какой-то непонятный .rar архив, в нём всё равно может быть вирус.

Когда пользователь откроет файл, могут запуститься вредоносные скрипты, и на устройство клиента установится вредоносное ПО с сайта злоумышленника. Программа запустится на ПК, просканирует сеть и локальное хранилище в поисках файлов и украдёт, скомпрометирует или зашифрует разные файлы.

Вредоносного ПО много: трояны, черви, программы-вымогатели и различные шпионы. Кратко о каждом.

Черви

Черви — ПО, которое может самостоятельно распространяться между компьютерами и так заражать огромное количество пользователей. Иногда в таком ПО есть специальный код, который позволяет им воровать данные с компьютеров, удалять файлы или создавать новые.

Пример такой атаки — червь ILOVEYOU, который маскировался под любовное письмо и распространялся по email. В письмо был встроен скрипт — несколько строк кода, которые запускались после открытия содержимого письма. В итоге, когда человек открывал вложение письма — запускался скрипт и воровал платёжные данные жертвы. А затем автоматически рассылался по контактам жертвы через электронную почту.

Вирус заразил более 45 млн человек и причинил ущерба более чем на $15 млрд.

Трояны

Трояны — программы, которые получают доступ к ПК пользователя после их установки. После установки троян сканирует весь компьютер и скачивает с него различные пароли, данные от аккаунтов и т.д.

Пример такого развода — мошеннические письма в декабре 2021 года, когда хакеры рассылали людям оповещения о том, что их уволили с работы или, наоборот, выплатили новогодний бонус. Также в письмо вкладывали Excel-файл с вирусом Dridex, который ворует банковские данные с компьютера.

Письмо с вирусом-трояном
Письмо c вирусом, которое рассылали мошенники. Источник: proofpoint.com
Письмо с вирусом-трояном
Ещё один вариант письма с вирусом Dridex. Источник: proofpoint.com

Сколько денег удалось украсть хакерам, неизвестно. Но общий ущерб, который принёс вирус за время своего существования, оценивают в $31 млн.

Программы-вымогатели

Программы-вымогатели — вирус, который блокирует доступ к компьютеру или шифрует определённые данные до тех пор, пока жертва не переведёт выкуп хакерам.

За год случается несколько сотен миллионов таких атак, сообщается в анализе от Statista.

Скрин результатов исследования Статисты
Исследование Statista за 2016-2022 гг.

Обычно программы-вымогатели распространяют через email-письма. Делают это так же, как с червями и троянами. Но также «вымогателей» могут рассылать через соцсети и мессенджеры. Просто в таком случае вероятность того, что человек откроет их через ПК, намного ниже. А иногда хакерам даже не приходится распространять программу — они просто вставляют её в torrent-файл и под видом какого-то полезного софта продвигают вирус.

Как только пользователь открывает такой файл, вымогатель сразу устанавливается на компьютер. При этом бывает два вида «вымогателей»: программы с требованием выкупа и программы-шифровальщики.

С требованием выкупа. Вирус блокирует основные функции компьютера. Например, частично отключает мышь и клавиатуру или ограничивает доступ к рабочему столу. И такое состояние сохранится до тех пор, пока человек не переведёт деньги на счёт хакеров.

Часто такие вымогатели не опасны с т.з. данных: они не крадут информацию с ПК, а просто ждут, когда пользователь заплатит выкуп.

Шифровальщики. Задача таких программ — зашифровать важные данные, но при этом не мешать работе компьютера. Например, они просто закрывают доступ к каким-то файлам или фотографиям и играют на страхе жертвы: человек видит файлы, но не может ничего с ними сделать.

Когда программа шифрует файлы, на экране пользователя появляется всплывающее окно с требованием выкупа. Чтобы сыграть на страхе, мошенники пишут что-то вроде «отправьте деньги в течение часа, или мы удалим все данные». В итоге человек пугается и переводит деньги, чтобы не потерять файлы. Правда, гарантий, что после перевода денег хакер уберёт вредоносную программу, нет. Поэтому риск, что файлы останутся зашифрованными навсегда, остаётся.

В 2017 году группа хакеров Shadow Brokers распространяла программу-вымогатель WannaCry в более чем 150 странах. Когда файл устанавливался на ПК, он использовал уязвимость операционной системы и блокировал компьютер пользователя. Взамен на разблокировку у жертв требовали выкуп в биткоинах. За всё время действия вируса пострадали около 230 000 компьютеров по всему миру, а хакерам удалось украсть около $4 млрд.

Программа WannaCry
Так выглядела программа WannaCry. Источник GDataSoftware.com

Как защититься от вредоносного ПО

Я читал несколько статей на Хабре, Securitylab и других тематических площадках, а также просмотрел несколько книг по теме. Вот как специалисты рекомендуют защищаться от вредоносного ПО: обновлять программы до последней версии, пользоваться антивирусом, проверять источники ссылок, делать резервные копии нужных файлов.

Обновляйте ПО до последней версии. В новых версиях производители ПО учитывают недочёты и прошлые проблемы с безопасностью: дорабатывают их и выпускают ПО, в которых уязвимостей меньше или они отсутствуют.

Пользуйтесь антивирусом. Он отреагирует, если вы попытаетесь запустить вредоносное ПО или перейти по небезопасной ссылке. А лучше — вовсе не загружайте сомнительные файлы из email-писем или с неизвестных сайтов. Не переходите по ссылкам, которые присылают незнакомцы. Некоторые вирусы могут не восприниматься антивирусами как вредоносные, пока их не запустят. А когда антивирус их распознает — будет поздно.

Проверяйте источники ссылок. Для этого пользуйтесь специальными сервисами вроде AVG Threatlabs или Kaspersky VirusDesk.

А чтобы не бояться ссылок, запомните две вещи:

  • Не переходите по ссылкам от незнакомых людей.
  • Не переходите по ссылкам от знакомых, если они прислали их без сопроводительного письма. Лучше уточните, зачем они вам пишут и что находится по ссылке.

Делайте периодическое резервное копирование системы и всех важных файлов. Файлы можно загружать в Google или Яндекс облако самостоятельно, а можно настроить автоматическое резервное копирование с помощью сервисов Redo Backup and Recovery, EASEUS Todo Backup Free или Cobian Backup.

Другой вариант — отправлять важные файлы на флешку или внешний жёсткий диск. Но здесь больше рисков: внешний носитель может сломаться и на него тоже могут попасть вирусы. Из-за этого может пострадать вся информация, которая на нём хранится.

Игорь Позняев, эксперт
Игорь Позняев

Автор проекта «Блог системного администратора»

5-7 лет назад появилась волна вирусов-шифровальщиков. Они рассылались по почте, в основном по email-адресам организаций (т.к. физлицо платить не станет, в большинстве случаев). Схема была максимально простой: письмо отправлялось на общую почту организации или напрямую в бухгалтерию, а в нём содержались грамотные заголовок и описание задолженности. А так как бухгалтерам приходят подобные письма постоянно, то они попросту не соблюдали меры предосторожности и открывали файлы-вложения, содержащие в себе вредоносное ПО.

В результате вирус в фоновом режиме шифровал все файлы на компьютере и FTP-сервере, до которых удавалось дотянуться. А потом появлялось предупреждение о том, что нужно перевести определённую сумму в крипте на указанный адрес, иначе файлы восстановить не получится. И реально, на тот момент ни Касперский, ни Dr.Web в 99% случаев не могли расшифровать данные.

Поэтому мне приходилось неоднократно связываться со злоумышленниками, чтобы выяснить условий получения дешифраторов. Были клиенты, у которых шифровались 1С базы за несколько лет, и их потеря была сродни потере бизнеса. Там я старался сбить цену и всячески перестраховаться от потери финансов без получения дешифратора. Например, пытался получить определённые расшифрованные файлы в качестве доказательства.

Естественно, клиент был предупреждён обо всех рисках и понимал, на что идёт. Но другого выбора не оставалось, потому что предварительно были опробованы все способы дешифрации, в том числе обращения к разработчикам антивирусного ПО (они, кстати, помогали в 1% случаев).

Криптоджекинг

Криптоджекинг — вид мошенничества, когда хакеры получают доступ к мощностям чужого ПК и майнят на нём криптовалюту. По-другому это называют скрытым майнингом.

За первые 6 месяцев 2022 года мировые объёмы криптоджекинга выросли на $66,7 млн или на 30% по сравнению с первым и вторым кварталом 2021 года — рассказывает американская компания SonicWall, специализирующаяся на кибербезопасности.

Обычно компьютер заражают через сайт с встроенным вредоносным JavaScript-кодом. Это выглядит так: пользователь заходит на вредоносный сайт, JavaScript-код запускает скрипт, который начинает использовать компьютер для добычи цифровых монет.

Сам скрытый майнер распространяют разными способами:

  • изначально создают сайт с майнером и раскручивают его в сети;
  • взламывают какой-то ресурс и добавляют туда вредоносный JavaScript-код;

распространяют ссылку через соцсети и файлообменники. Например, публикуют ссылку с предложением забрать крупный выигрыш или согласиться на оффер по работе. После того, как человек переходит по ссылке, на устройство загружается вирус. Для ПК это файл с расширением .exe, а для мобильных гаджетов — .apk.

Когда майнер начинает работать, пользователи об этом даже не знает. Ведь он не вредит файлам системе, а просто использует мощности компьютера. Но есть два признака, которые могут выдать майнер — замедление работы ПК и сильный нагрев устройства из-за высокой нагрузки.

Как защититься от криптоджекинга

Здесь правила такие же, как и для защиты от вредоносного ПО:

  • используйте антивирус;
  • не переходите по подозрительным ссылкам.

А также не посещайте сайты без HTTPS/SSL-шифрования — их проще взломать и встроить в их код вредоносный скрипт.

Игорь Позняев, эксперт
Игорь Позняев

Автор проекта «Блог системного администратора»

Не посещайте сомнительные сайты и не ставьте браузерные расширения, о которых вам достоверно неизвестно. Используйте браузер с опцией блокировки криптоджекинга: Chrome, Firefox, Opera, Edge и Brave.

Если вы недостаточно уверены в том, какие сайты посещаете и какие файлы открываете, установите антивирус. Полной защиты он не предоставит, но сможет отсечь большую часть зловредов. Также стоит использовать блокировщики рекламы в браузере, потому что скрипты криптоджекинга часто доставляются через онлайн-рекламу.

Кроме того, нужно научиться следить за производительностью своего компьютера. Так вы заметите, что при запуске определённых программ или посещении сайтов ПК начинает работать медленнее или сильно гудеть. Скорее всего, в этот момент запускается криптомайнер.

Чтобы удостовериться в этом, можно посмотреть нагрузку на процессор и видеокарту через диспетчер задач. Зайти в него можно через «Пуск»: кликнуть на его иконку правой кнопкой мыши и выбрать строку «Диспетчер задач».  Другой вариант — нажать сочетание клавиш «Ctrl + Shift + Esc». Разберёмся на примере, как анализировать загрузку.

Проверяем производительность через диспетчер задач

В диспетчере задач нужно смотреть на вкладку «Процессы» и отслеживать, какие приложения сильнее остальных нагружают ПК в процентах. Обратите внимание на цифры в скобках рядом с Google Chrome — это количество открытых вкладок. Если развернёте это описание, узнаете, какая из них потребляет больше ресурсов ПК.

Кроме процессора майнеры могут нагружать видеокарту (GPU). Чтобы посмотреть на загрузку видеокарты, в диспетчере задач на вкладке «Процессы» щёлкните правой кнопкой мыши по заголовку любого столбца и включите параметр «GPU».

Проверяем запущенные процессы

В macOS есть аналог диспетчера задач — приложение «Мониторинг системы». Его можно найти так: Finder → Программы → Утилиты. Другой вариант— открыть мониторинг через поиск Spotlight. Для этого нажмите на иконку поиска в строке меню справа и напишите «Мониторинг системы».

Если кто-то действительно майнит криптовалюту, процессор или видеокарта могут быть загружены на 10, 20 или 100%. Все зависит от того, задал ли хакер ограничение по мощности на скрытый майнер.

Ещё один способ защиты от майнеров — постоянно обновлять ПО, чтобы в них было меньше уязвимостей, через которые могут устанавливаться майнеры.

А ещё можно установить блокировщик рекламы по типу AdBlock или MinerBlock, потому что криптомайнеры часто распространяются через рекламные объявления.

Например, в 2018 году хакеры распространяли скрытые майнеры через рекламу в YouTube. Когда пользователь переходил по рекламе из видео, запускался скрипт и начинал майнить криптовалюту.

Игорь Позняев, эксперт
Игорь Позняев

Автор проекта «Блог системного администратора»

Обнаружение криптомайнера — это не всегда простая задача. Основные признаки: перегрев ПК и сильное снижение производительности.

Если скрытый майнер проник на компьютер, проверьте список процессов в диспетчере задач. Найдите подозрительные процессы и закройте их вручную. Но бывает такое, что майнер приостанавливает работу в момент запуска диспетчера задач, поэтому придётся использовать антивирус.

Нужно запустить полное сканирование антивирусом, но, вероятно, если антивирус допустил запуск майнера, он его не обнаружит и при полной проверке. Поэтому используйте свежие версии Kaspersky Virus Removal Tool и Dr.Web CureIt!. Они не требуют установки и могут работать параллельно с вашим антивирусом.

Атака «человек посередине»

Атака «человек посередине» (Man-in-the-Middle) — вид хакерской атаки, в которой мошенник внедряется в соединение между сервером и пользователем. Фактически он становится посредником между человеком и сайтом. Из-за этого он может украсть какие-то данные, которые передаются от человека к ресурсу.

Таким способом в 2019 году у израильского стартапа украли $1 млн. Всё было так: хакеры воровали email-письма из переписки израильского стартапа и китайского венчурного фонда, редактировали их и пересылали получателю с поддельного адреса. И ни стартап, ни венчурный фонд не понимали, что на самом деле общаются с хакерами. Итог — венчурный фонд перевёл на счёт мошенников $1 млн, думая, что отправляет их в стартап.

Но необязательно быть стартапом или венчурным фондом, чтобы попасться на такой обман. Хакер может встроиться в соединение между сайтом интернет-банкинга и пользователя — увидеть данные банковской карты или пароль от аккаунта.

Описание атаки человек посередине
Как выглядит атака MITM. Источник: wallarm.com

Как защититься от атаки «человек посередине»

Не подключайтесь к общедоступным Wi-Fi сетям. Они не защищены паролем и их легко взломать. А значит — через них хакеры могут перехватить конфиденциальную информацию, которую вы передаёте серверам сайтов.

Используйте разные пароли. Это поможет в том случае, если на вас провели MITM-атаку. Дело в том, что если хакер и узнает ваш пароль от какого-то аккаунта, то получит доступ только к одной учётной записи. А если использовать везде одинаковый пароль, то после взлома мошенник сможет зайти в любой аккаунт.

Подключайтесь к сайтам только с HTTPS/SSL-шифрованием. Эти протоколы шифруют канал между пользователем и сервером. Поэтому хакеры не смогут войти в ваш канал и перехватить информацию.

Чтобы не попасть на опасный сайт, используйте антивирусы. Они блокируют переход на сайт, который работает на HTTP-протоколе. Другой вариант — используйте браузер, который не позволяет заходить на HTTP-ресурсы без согласия пользователя. Например, Google Chrome или Mozilla Firefox.

Используйте VPN. Он шифрует трафик и защищает от MITM-атак: хакер не сможет взломать ваше соединение с сервером.

Что в итоге

На самом деле, опасностей в интернете даже больше и рассказать о них в одной статье точно не получится. Поэтому подытожим кратко, что нужно делать, чтобы не попасться на большинство уловок мошенников:

Не доверяйте незнакомцам. Если не знаете отправителя — не открывайте линки, которые он присылает вам в личку. Не переходите по ссылкам, если вам их присылают друзья без объяснений.

Проверяйте ссылки, по которым переходите. В том числе и гиперссылки: для этого наводите на них курсор мыши и сверяйте текст ссылки с реальным URL.

Проверяйте источники ссылок. Для этого пользуйтесь специальными сервисами вроде AVG Threatlabs или Kaspersky VirusDesk.

Пользуйтесь антивирусом. Он отреагирует, если вы попытаетесь запустить вредоносное ПО или перейти по небезопасной ссылке.

Обновляйте ПО до последней версии, чтобы пользоваться программами без уязвимостей и недочетов.

Пользуйтесь блокировщиками рекламы, потому что вредоносные скрипты часто встраивают в онлайн-объявления.

Не подключайтесь к общедоступным Wi-Fi сетям. Они не защищены паролем и их легко взломать. А значит — через них хакеры могут перехватить конфиденциальную информацию, которую вы передаете серверам сайтов.