Cyberprzestępczość w czasach zarazy

Autor: Marek Krauze, Sales Engineer w Trend Micro

Kryminaliści nie biorą sobie do serca apeli policji, aby zawiesili swoją niecną działalność do czasu zakończenia epidemii. W cyberprzestrzeni obserwujemy nasilenie działań wykorzystujących jako motyw przewodni COVID-19. Zwykle tak się dzieje, że gdy na świecie pojawia się nowe zagrożenie, katastrofa naturalna lub inne doniosłe wydarzenie, cyberprzestępcy wykorzystują powszechne skupienie uwagi do swoich celów.

Garść statystyk         

Z monitoringu zagrożeń, prowadzonego przez dział badawczy Trend Micro wynika, że wciąż głównym kanałem wykorzystywanym przez przestępców jest komunikacja elektroniczna zawierająca przesyłki ze SPAMem. Jednakże ponad 1/3 to szkodliwe oprogramowanie i linki prowadzące do fałszywych stron internetowych.

Wśród SPAMu należy zwrócić uwagę na specyficzną jego kategorię – BEC (Business Email Compromise). Tu kreatywność przestępców jest nieograniczona, a w dobie braku niektórych artykułów, takich jak środki do dezynfekcji, ubrania ochronne, maseczki czy środki higieniczne, okazja czyni złodzieja. Europol (Europejski Urząd Policji) zwraca uwagę między innymi na to zjawisko w swoim raporcie z 27 marca 2020 r. Podają jako przykład śledztwo prowadzone w sprawie wyłudzenia przez przelew 6.6 mln Euro, w celu zakupu maseczek FFP3 oraz żelu do dezynfekcji. Towar nie został nigdy dostarczony.

Sytuacja sprzyja socjotechnikom

W chwili, gdy martwimy się o zdrowie swoje i najbliższych, stajemy się bardziej podatni na różnego rodzaju przekazy. Również te, które mogą okazać się dla nas zgubne. W połowie marca Bank PKO BP ostrzegał przed SMSami wyłudzającymi dane – przestępcy straszyli, że możemy zostać bez pieniędzy, które w przypadku braku naszej natychmiastowej reakcji będą przekazane do rezerw NBP. Wiadomość zwierała link do podstawionej strony, kradnącej tożsamość, a od tego już tylko krok do poważnych strat finansowych.

W związku z wprowadzeniem przepisów tzw. Tarczy Antykryzysowej możemy się spodziewać nowych kampanii wykorzystujących stare sztuczki. Mogą pojawiać się komunikaty typu: „Twoje zaległości w ZUS, US, lub innym miejscu  wynoszą 3.24 PLN. W związku z tym, nie będziesz mógł korzystać z pomocy państwa czy zwolnienia ze składek itp., jeśli natychmiast nie uregulujesz należności”. Na odbiorców wiadomości zwykle czeka URL do podstawionej strony banku lub serwisu płatności on-line. W ten sposób cyberprzestępcy próbowali podszyć się pod oficjalny profil Ministerstwa Finansów, o czym informował i ostrzegał CERT Polska.

Wiele wiadomości zawiera również szkodliwe oprogramowanie. Ukryte są na przykład pod postacią informacji dotyczących wysyłek niezbędnych nam w czasie kryzysu towarów czy wyposażenia. Treść takich wiadomości przygotowana jest w taki sposób, aby wystraszyć i wpłynąć na użytkownika, który  bez zastanowienia, natychmiast otworzy załącznik lub kliknie link.

Skuteczną przynętą okazały się również wiadomości opisujące „cudowne” lekarstwa lub szczepionki przeciw COVID-19. Wśród nich, nasi badacze wykryli między innymi nowy wariant trojana HawkEye, służącego do kradzieży poufnych informacji. Obserwujemy też powszechne wykorzystanie dobrze znanego trojana EMOTET, który zarówno może być używany do kradzieży tożsamości, jak i instalacji innego rodzaju szkodliwego oprogramowania. To z kolei może doprowadzić do ataków typu ransomware, jak to miało miejsce w szpitalu uniwersyteckim w Brnie w Czechach (cyt. raport Europol-u).

Wymuszenia

Maile służące wymuszeniom to nic nowego. Pojawiały się wielokrotnie i zwykle związane były z groźbą ujawnienia poufnych i kompromitujących informacji dotyczących adresata przesyłki. W większości wypadków to nieudolne próby wyłudzenia, bazujące znów na mechanizmach socjotechnicznych. Jednakże w dobie COVID-19 okazuje się, że przestępcy nie mają specjalnych zahamowań – potrafią wysyłać maile, które zawierają groźby zakażenia odbiorcy i całej rodziny wirusem COVID-19, jeśli nie zostaną spełnione żądania napastnika.

Spam wykorzystujący Coronavirusa do wymuszeń

Próbując uwiarygodnić swoje możliwości, przestępcy podszywają się pod adres mailowy odbiorcy i twierdzą, że wiedzą wszystko o ofierze. Żądają przekazu kwoty w kryptowalucie, grożąc zainfekowaniem ofiary i całej rodziny wirusem oraz zrujnowaniem życia. Jest to typowy SCAM wykorzystujący taktyki zastraszania w celu zmanipulowania użytkownika. Nie należy ulegać tego typu atakom.

Praca zdalna

Uruchomienie możliwości pracy zdalnej to problem, przed którym stanęło wiele organizacji. Wykorzystanie prywatnego sprzętu pracowników to czasem jedyna opcja. Komputery domowe, często wykorzystywane przez wszystkich członków rodziny nie zawsze są odpowiednio zabezpieczone, a często bywają zainfekowane na długo przed pojawieniem się konieczności wykorzystywania do pracy zdalnej.

Może się zdarzyć, że link do instalacji oprogramowania umożliwiającego pracę zdalną, telekonferencję, czy też zabezpieczenie komputera, doprowadzi do instalacji złośliwego oprogramowania (malware). Znana była kampania z wykorzystaniem popularnego oprogramowania do zdalnej pomocy.

Czarny rynek – podziemie cyberprzestępcze

Okazuje się, że i tu widać szybką adaptację do zmieniającej się rzeczywistości. Z jednej strony pojawiają się nowe opcje usług związanych z cyberprzestępczością (jak strony i maile phisingowe), nowe kampanie, szkodliwe oprogramowanie, eksploity. Z drugiej strony oferowane są realne towary, które osiągają obecnie spekulacyjne ceny – maski FFP2/3, środki ochrony osobistej, respiratory, a nawet papier toaletowy.

Post na forum oferujący rolki papieru toaletowego

Jak się chronić?

Należy zachować zdrowy rozsądek i zimną krew. Zanim podamy nasze dane osobowe, zalogujemy się na stronę, żeby wykonać przelew, czy też otworzymy załącznik, zastanówmy się, czy w normalnych okolicznościach postąpilibyśmy podobnie. Poziom bezpieczeństwa wzrośnie w ten sposób, a środki techniczne jedynie dodatkowo pomogą. Więcej informacji o zdrowych nawykach znajduje się na naszym blogu.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.