Кибератака с помощью распродаж авиабилетов: репост за участие в конкурсе может привести к огромным проблемам

05 июня 2017

Возможно, вы видели в Facebook розыгрыши билетов Emirates и «Аэрофлота». Будьте внимательны, это кибератака на вас и ваши устройства.

Руслан Юсуфов, директор по работе с частными клиентами компании Group-IB (одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий), вчера написал вот такой текст на своей странице в Facebook.

К прочтению каждому, кто активно путешествует, следит за розыгрышами и конкурсами и даже участвует в них. С разрешения автора приводим текст полностью и добавим: если это обошло вас, то вы молодец. Не забывайте о менее современных друзьях и родственниках. Именно им надо помочь и поделиться информацией.

«Возможно, это про вас или ваших друзей, задержитесь на пару минут. Репост приветствуется, если друзья были замечены в таком, отмечайте их в комментариях. Если сами такое делали, внизу пара рекомендаций.
В последние несколько дней вижу много репостов страницы «#Emirates дарит 2 билета» (UPD: Сообщают также о мошенничестве от имени #Aeroflot). Это, конечно же, разводка. Но я вижу репост таких страниц не от своей бабушки (моя бабушка выбрала радикальный способ защиты от киберпреступников и не использует компьютер), а от людей из банков, инвестиционных и благотворительных фондов и даже семейных офисов (то есть людей, которые имеют доступ к деньгам и сенситивной информации), расскажу подробнее, чем это грозит.

Пример такого репоста в соцсетях
  1. Вначале вы получаете ссылку через WhatsApp или кликаете по репосту в Facebook и попадаете на сайт типа „эмираты-бесплатно-2-билета-ком-абракадабра-точка-ком“, что уже должно настораживать. Те, с кем мы общаемся чуть чаще, уже имеют приобретенный подсознательный параноидальный барьер и не переходят по таким ссылкам.

  2. Когда вы переходите по подобной ссылке, вас проведут через несколько сайтов-прокладок. В процессе вы посмотрите рекламу, вероятнее всего, будет предпринята попытка заразить ваше устройство трояном или другой вредоносной программой. Параллельно вы будете отвечать на вопросы типа „Вы действительно хотите получить 2 бесплатных билета от Emirates?“ и „Подтвердите, что вы совершеннолетний(ая)“.

  3. В какой-то момент для получения билетов потребуется сделать рассылку по 10 своим контактам и сделать репост на странице в Facebook. В некоторых случаях вам предложат авторизовать свой аккаунт, чтобы взять этот вопрос на себя и не затруднять вас. В любом случае вы вовлечете в мошенническую схему ваших друзей. Кроме этого, вполне вероятно, что после авторизации аккаунта в Facebook ваша информация будет продана рекламным агентствам, но это меньшая из начинающихся проблем.

  4. После того, как ваш компьютер заражен, ваш аккаунт авторизован, вы посмотрели рекламу, пригласили друзей и сделали репост, вы увидите сообщение «К сожалению, вы не выиграли. Повезет в другой раз».
    Но благодаря вашей наивности люди, стоящие за этой схемой, сорвали джекпот:

    • если вы пользуетесь онлайн-банком через это устройство, с него украдут деньги;

    • если это компьютер в корпоративной сети, через ваш компьютер у вашей компании украдут деньги;

    • ваш компьютер будет подключен к ботнету для организации автоматических DDoS-атак или спама;

    • ваш компьютер будет использован для майнинга биткоинов, для хранения запрещенных материалов (например, не совсем законной порнографии), для сокрытия следов преступлений (например, как прокси-сервер); совсем не обязательно, что этим будут заниматься одни и те же люди — доступ к вашему компьютеру может быть продан на черном рынке за 1–2 доллара;

    • устройство будет просканировано на соответствие определенным признакам (например, файлы 1С, баз данных и др.), и рано или поздно у вас украдут информацию;

    • если будет заражен телефон, кроме всего вышеперечисленного, у вас украдут переписку в мессенджерах, а также все фотографии и заметки;

    • если среди фотографий окажутся пикантные, вас начнут шантажировать или требовать выкуп;

    • если вы человек особенно интересный (а это тоже можно понять практически в автоматическом режиме), доступ к вашему устройству будет продан на черном рынке специалистам другого профиля, и вот тогда начнутся настоящие проблемы (шпионаж, прослушка, конкурентная разведка, конкурентная борьба, сливы в СМИ и др.), причем вы узнаете об этом постфактум.

Часто задаваемые вопросы:

— Да кому я нужен? У меня и денег-то нет!
Они знают, как вас монетизировать. Не одно, так другое.

— Я хотел бесплатные билеты (или повелся на похожую схему), что мне теперь делать?
Просканируйте систему антивирусом, он выявит часть заражений. Поставьте все обновления безопасности (Windows) или обновите систему до последней версии (Mac, iOS, Android).

— Так антивирус спасает?
Не спасает. Но он обязательно должен быть (с активной лицензией и обновленными базами), чтобы отсекать самые распространенные угрозы.

— Что кроме антивируса?
Если вам есть что терять, нужно менять подход к кибербезопасности. Проведите тренинг для сотрудников, проведите тренинг для семьи, сделайте аудит систем, задайте правильные вопросы своему айтишнику, поставьте специальное оборудование для борьбы с целевыми атаками.
Но самое главное — поменяйте отношение, друзья мои, угроза реальна. Ваша беспечность — ходовой товар на черном рынке, и объем этого рынка сегодня — миллиарды и миллиарды долларов».

Почитать по теме: Почему не стоит выкладывать в интернет фотографию посадочного талона

В посте, по словам Руслана, описана довольно мрачная картина: «Кому-то повезет больше, кому-то меньше, где-то обойдется без заражений, а у кого-то украдут номер кредитной карты. Недавно мы в Group-IB помогли МВД ликвидировать хакерскую группу, которая заразила 1 млн смартфонов. Так что все очень серьезно, об этом нужно говорить как можно чаще, чтобы люди знали о современных угрозах и могли себя защитить.
Чтобы быть в курсе актуальных киберугроз, можно подписаться на мою рассылку (выходит пару раз в месяц)».

UPD: В «Аэрофлоте» уже высказались о данной проблеме:

«Друзья, в интернете стремительно распространяется информация от имени «Аэрофлота» о фейковом конкурсе. Официально заявляем, что наша авиакомпания не имеет отношения к этому розыгрышу.
Нам важно ваше доверие, поэтому помните, что актуальные и достоверные сведения о текущих акциях мы размещаем только на нашем сайте www.aeroflot.ru и в официальных сообществах в соцсетях. Будьте внимательны и не участвуйте в сомнительных промоакциях, размещённых на сторонних ресурсах от имени нашей компании».

Добавим несколько советов от PRTBRT: увидели распродажу — проверьте на сайте авиакомпании или на популярных порталах, например Vandrouki.ru. Обязательно обращайте внимание на человека, от которого пришла ссылка и на саму ссылку. Если в ней есть что-то подозрительное, не переходите по ней и сообщите другу, который прислал ссылку, что это потенциальная угроза его компьютеру, деньгам, информации и даже бизнесу.

И обязательно рекомендуем к прочтению важнейшее интервью в Prime Russian Magazine: Максим Семеляк поговорил с основателем Group-IB Ильей Сачковым о кибербезопасности и том, куда все это ведет.


Чтобы не пропустить интересные публикации из мира путешествий, подписывайтесь на наши группы в Facebook и Вконтакте, читайте Telegram канал, а красивые снимки ищите в Instagram.

Текст: Руслан Юсуфов, Саша Воробьев

Вам понравится:

02 июня 2017
Почему DJI Spark станет вашим первым дроном?

19 августа 2016
Авиаперелеты и их опасности — ответы на самые частые вопросы

06 мая 2016
Стражи Балкан

03 апреля 2016
Что делать при задержке или отмене авиаперелета?

13 апреля 2016
Авиаперелеты 2.0: полезные ссылки

13 сентября 2016
Как дешевые билеты почти заставили меня разлюбить путешествовать