Широкое развитие получили фишинговые сайты, предлагающие какие-либо товары или услуги, оплатив которые жертва остается ни с чем. Подобные схемы реализованы в таких сферах, как поиск попутчиков (например, Blablacar[618]), продажа билетов в театр и выставки[619], розыгрыши призов[620],[621], ранний или бесплатный доступ к играм[622] и др.
Следует с подозрением относиться к ресурсам, рекламирующим услуги хакеров (взлом аккаунтов, электронной почты и т. п.), предлагающим малоизвестное программное обеспечение с «фантастическими возможностями» или взломанные версии лицензионных программ, продающим товары по очень низким ценам, имитациям подлинных сайтов[623] и т. п. Ввод номера телефона на сомнительных сайтах (для скачивания каких-либо файлов, получения пароля для распаковки архивов, установки программ и т. п.) может обернуться кражей персональных данных. Публикации на таких сайтах могут сопровождаться лживыми комментариями для усыпления бдительности. Причем восторженные комментарии, как правило, разбавляются нейтральными или выражающими сомнение, чтобы общая картина выглядела более естественной[624].
Примечание. Посещение доверенных сайтов также может привести к утечкам конфиденциальных данных. Например, онлайн-переводчики могут анализировать вводимый пользователем текст и в определенных случаях передавать данные для дополнительного изучения на собственные серверы и компьютеры сторонних компаний. В таком случае для перевода конфиденциальной информации имеет смысл воспользоваться автономными решениями без доступа к интернету либо сервисами, обеспечивающими защиту вводимой информации, например DeepL (https://www.deepl.com/translator).
Нередко при посещении сомнительных сайтов в браузере открываются так называемые страницы-блокировщики, которые мешают работе устройства и выводят ложное сообщение о необходимости выплаты штрафа. Часто на такой странице написано, что если владелец устройства вовремя не оплатит штраф, то подвергнется уголовному преследованию; при этом упоминается какая-нибудь правоохранительная структура, например МВД, Следственный комитет или прокуратура. Как вариант, может отображаться сообщение, что устройство заражено вирусами и нужно срочно запустить проверку с помощью инструмента, доступного по ссылке, либо сообщение, что устарел какой-либо драйвер и для продолжения работы нужно его обновить и т. п. Закрыть страницу стандартными средствами не получается, поэтому такие сайты называют блокировщиками. На самом деле работа устройства не блокируется, а лишь затрудняется доступ к его процессам: страница браузера, перейдя в полноэкранный режим, скрывает кнопку «Пуск» в Windows; также исчезает указатель мыши и т. п. Как правило, чтобы справиться с такой страницей-блокировщиком, достаточно закрыть вкладку/окно браузера, например, с помощью сочетания клавиш Ctrl+W или либо переключиться на другое окно или свернуть все окна Можно вначале попробовать выйти из полноэкранного режима, нажав F11. Если клавиатура тоже заблокирована, перезагрузите устройство[625].
Для защиты от фишинга и вредоносного программного обеспечения необходимо использовать специальные средства защиты – брандмауэры и анализаторы сетевого трафика, встраиваемые в современные средства антивирусной и антифишинговой защиты.
Стеганографические атаки
В последнее время злоумышленники все чаще ведут стеганографические атаки, когда вредоносный код скрывается в каких-либо объектах, например значках сайтов (favicon[626]) или кнопках социальных сетей[627]. Стеганография (от греч. στεγανός – скрытый + γράφω – пишу; буквально «тайнопись») позволяет хакерам прятать передаваемые данные в таких контейнерах, скрывая сам факт передачи информации. Конечный пользователь в большинстве случаев не сможет выявить графические (или иные) файлы с внедренным в них вредоносным кодом, поскольку внешне и по размеру такие изображения идентичны оригинальным, изменения касаются бит данных, содержащихся в файлах; EXIF-данных и т. п.[628] После считывания внедренного в файлы кода на компьютере пользователя открывается фишинговая форма, например веб-скиммер, который фиксирует и передает злоумышленникам банковские данные, что пользователь вводит в фишинговую форму с клавиатуры. Такая проблема актуальна при использовании не только компьютеров, но и мобильных устройств под управлением ОС Android[629] и iOS[630]. В последнем случае на легитимном сайте размещается рекламный баннер, содержащий скрытый вредоносный код; на том же сайте загружается дополнительный JavaScript-код, проверяющий, поддерживаются ли на устройстве посетителя шрифты Apple, и в случае подтверждения считывающий изображение баннера и извлекающий из него вредоносный код. Этот код выполняется и перенаправляет браузер посетителя по различным URL-адресам, пока не достигнет фишинговой страницы с предложением скачать вредоносное приложение, например поддельное обновление, такое как Adobe Flash Player[631].
Описываемые методы способствуют распространению вредоносного контента, так как системы анализа трафика и выявления сложных угроз не позволяют обрабатывать огромный массив графических (и иных) файлов, передаваемых в потоке данных. Антивирусные приложения также малоэффективны против атак такого рода, поскольку зараженные файлы не сильно отличаются от обычных, а сами системы обнаружения стенографических инъекций фактически являются демонстрационными и редко внедряются из-за низкой скорости обработки и уровня детектирования[632]. Тем не менее ведется (в том числе и в России) разработка и улучшение таких систем для уверенного распознавания стенографических атак. Пользователям же рекомендуется избегать посещения сомнительных сайтов и загрузки файлов из подозрительных источников.
В настоящее время широко распространены QR-коды – мозаичные изображения, с помощью которых можно быстро получить доступ к нужной информации или поделиться собственными данными, например, передать банковские реквизиты. Так, QR-код на упаковке сока откроет страницу с дополнительной информацией о продукте, а QR-код в кофейне подключит мобильное устройство, на котором он отсканирован, к беспроводной сети заведения.
Явная опасность QR-кодов заключается в доверии к создателю такого кода. К примеру, злоумышленники могут подменить QR-код в парке отдыха, чтобы при сканировании устройства подключались не к легитимной сети парка, а к сети злоумышленника. Или же поддельный код может привести на фишинговую страницу, ворующую персональные данные. Зачастую при этом злоумышленники используют короткие ссылки, чтобы притупить бдительность пользователя на странице с подтверждением перехода. Аналогично через QR-код можно загрузить не легитимное, а поддельное приложение (например, для интернет-банкинга) и лишиться всех своих накоплений.
По командам, содержащимся в QR-кодах, принадлежащее вам устройство может не только открывать веб-ссылки и подключаться к сетям, но и, например, позвонить на заданный номер или отправить SMS от вашего имени, сообщить местоположение вызванному приложению или подписаться на определенный аккаунт в соцсетях.
КЕЙС В Австралии 51-летний мужчина заклеил QR-коды на двух табличках службы по контролю за распространением COVID-19, чтобы вместо официального сервиса пользователи попадали на сайт антипрививочников[633].
В целях безопасности не следует сканировать QR-коды из подозрительных источников. Не сканируйте в общественных местах QR-коды, которые наклеены поверх других изображений: это могут быть подложные коды. Проверяйте ссылки, которые отображаются при сканировании кода. Будьте осторожны, если используются URL-адреса, сокращенные, например, с помощью сервиса TinyURL. Как правило, при генерации QR-кодов замена длинного адреса коротким не имеет смысла, так как пользователю не нужно вводить URL вручную, а значит цель создателя кода – скрыть истинный адрес ссылки.
В случае подозрений безопаснее перейти на нужный сайт непосредственно в браузере или вручную подключиться к нужной сети через сайт провайдера общественной точки доступа. Если подозрения вызывает QR-код с ссылкой на программу, безопаснее самостоятельно найти ее в официальном магазине приложений, а не переходить по ссылке.
Не следует публиковать в интернете созданные самостоятельно QR-коды (или их фотографии), которые содержат какие-либо персональные данные: известны случаи кражи таких данных, например, для посещения злоумышленником концерта по чужому билету, фотография QR-кода которого была опубликована в интернете незадачливым владельцем[634].
Для проверки безопасности QR-кодов существуют специальные программы, например Kaspersky QR Scanner[635].
Учитывая, что утечка данных может произойти на любом сайте, не следует без особой необходимости передавать сторонним сайтам, например интернет-магазинам, свои персональные данные, такие как Ф.И.О., адрес и номер телефона.