Киберпреступники в последние месяцы перешли к новой фишинговой схеме — об этом предупредили эксперты. Хакеры распространяют программное обеспечение для дальнейшего шпионажа под видом медицинских файлов или неких документов от силовых структур. Подробности о том, как тематика медицинских документов помогает злоумышленникам шпионить за пользователями, читайте в материале «Известий».
Новая угроза
О том, что киберпреступники стали распространять программное обеспечение (ПО) для дальнейшего шпионажа под видом медицинских файлов или неких документов от силовых структур, рассказали специалисты компании Bi.Zone. По данным экспертов, ПО, которое внедряют хакеры в рамках новой схемы, — это Havoc, легальный и достаточно редкий фреймворк для тестирования на проникновение.
В случае с медицинскими документами на устройство потенциальной жертвы загружается отвлекающий документ — некая выписка из амбулаторной карты. Параллельно идет скрытая установка загрузчика, а затем и агента фреймворка. После этого Havoc дает хакерам возможность удаленно выполнять команды на устройстве пользователя и выгружать данные оттуда.
— В другой кампании преступники рассылали фишинговые письма от лица одной из силовых структур, — рассказали специалисты Bi.Zone. — Пользователя уведомляли о том, что он якобы подозревается в совершении серьезного преступления, и просили предоставить документы, список которых предлагали скачать по ссылке в теле письма.
При этом переход по такой ссылке, как и в «легенде» с медицинскими документами, опасен установкой загрузчика, а следом и агента для шпионажа. А поскольку фреймворк Havoc применяется реже аналогичных инструментов, его сложнее выявить при помощи современных средств защиты, подчеркнули в Bi.Zone.
Перешли на личное
Для большинства людей здоровье — это щепетильная тема, чем и пользуются мошенники, создавая всё более изощренные схемы, связанные с медицинскими услугами. По словам руководителя группы аналитиков по информационной безопасности Лиги цифровой экономики Виталия Фомина, желание получить качественное лечение и рекомендации от врачей делает людей более восприимчивыми к уловкам злоумышленников.
— В современном ритме жизни и при высоком уровне цифровизации многие стремятся сэкономить время, — говорит собеседник «Известий». — Например, когда гражданам предлагают отправить данные анализов по электронной почте, многие воспринимают это положительно.
Как отмечает Виталий Фомин, схему с документами, описанную специалистами Bi.Zone, можно назвать довольно изощренной: обычно мошенники используют поддельные документы, чтобы вызвать доверие, подтверждая ими свою личность или место работы. А для установки вредоносных программ или предоставления доступа к персональным данным потенциальная жертва должна перейти по фишинговой ссылке.
Однако в «медицинской» схеме документы служат лишь для того, чтобы заставить человека установить на свое устройство шпионское программное обеспечение. При этом, как говорит руководитель направления Центра компетенций по информационной безопасности «Т1 Интеграция» Валерий Степанов, ранее такими приманками служили фальшивые документы государственных органов, банков или популярных сервисов.
— Данный сценарий вполне рабочий: конкретно с медицинскими документами схем еще не было, однако нечто подобное уже применялось в схемах с получением налоговых вычетов, уплатой штрафов ГИБДД и подачей налоговых деклараций, — дополняет руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников.
Под прицелом мошенников
По словам Валерия Степанова, жертвами новых мошеннических схем могут стать как пациенты, так и работники медицинских учреждений. Кроме того, возможные цели злоумышленников — это организации, где высока вероятность обработки чувствительных данных.
— Получив данные из утечек, злоумышленники могут провести таргетированную атаку на конкретного человека или организацию, составив реалистичное письмо-приманку, — говорит в беседе с «Известиями» руководитель Центра кибербезопасности компании F.A.C.C.T. Ярослав Каргалев.
Ведущий аналитик-исследователь угроз кибербезопасности R-Vision Всеволод Саломадин дополняет, что для проведения таргетированной атаки могут использоваться сканы или фотографии паспортов и других важных документов, хранящиеся на компьютерах потенциальных жертв. Те же документы злоумышленники могут применить и для восстановления доступа к различным сервисам.
В свою очередь, Виталий Фомин указывает на то, что в группе риска находятся служащие страховых компаний, которые работают с медицинскими документами, — в итоге они могут пострадать от утечки персональных данных клиентов. При этом с возрастающей тенденцией на заботу о здоровье и цифровизацией медицины целевая аудитория подобных схем лишь увеличивается с каждым годом.
К основным рискам медицинских схем Валерий Степанов относит компрометацию личных данных, утечки конфиденциальной информации, финансовые потери и даже нанесение ущерба (в том числе репутационного) организациям, в которых были похищены данные.
— Подобные схемы опасны тем, что устанавливается специализированное ПО, которое позволяет получать данные о действиях пользователя, а также дает возможность удаленного подключения и установки бэкдоров, — дополняет Дмитрий Овчинников. — В итоге это среди прочего может стать отправной точкой для применения вирусов-шифровальщиков.
Виталий Фомин объясняет, что похищенная при помощи схем с медицинскими документами информация о здоровье потенциальных жертв может стать средством для шантажа и вымогательств, поскольку многие люди не готовы публично раскрывать эти данные. Кроме того, существует риск повторной кражи средств: если с зараженным корпоративным устройством будут работать специалисты, которые найдут и устранят угрозу, то с личным взломанным телефоном человеку придется разбираться самостоятельно. К сожалению, далеко не каждый способен это сделать.
Механизмы защиты
Для того чтобы защититься от фишинговых схем, связанных с медицинскими документами, специалисты, опрошенные «Известиями», советуют соблюдать ряд правил безопасности. В частности, Дмитрий Овчинников рекомендует прежде всего использовать антивирусное ПО, а также внимательно следить за тем, что установлено на вашем смартфоне или компьютере.
— Регулярно обновляйте операционные системы на своих устройствах и следите за их «цифровой чистотой», — говорит эксперт. — А если вы собираетесь получить данные от медицинского центра, то лучше это делать только через его официальное приложение или же в личном кабинете.
Если же вам пришло письмо якобы от имени клиники, то Виталий Фомин призывает не переходить по ссылкам из него и не открывать файлы. Если в сообщении указан номер телефона, звонить по нему также не стоит — лучше воспользоваться официальными номерами и уточнить, действительно ли результаты анализов готовы и доступны в личном кабинете.
Что касается компаний, то для защиты от подобного фишинга они должны проводить тренинги по кибергигиене, а также организовывать тренировочные фишинговые рассылки, рассказывает эксперт группы анализа вредоносного программного обеспечения (ВПО) центра исследования Solar 4RAYS ГК «Солар» Антон Каргин. Кроме того, по словам эксперта, немалую роль в защите играют специализированные программные средства: Secure Email Gateway (защита почты), EDR и антивирусы на конечных узлах, мониторинг SOC и своевременное реагирование на инциденты.
— Персонал должен уметь идентифицировать атрибуты подозрительного письма, знать, что делать нельзя и что нужно делать, получив такое письмо. Например, следует проинформировать своих коллег из IT или ИБ-подразделений, а также ни в коем случае не переходить по ссылкам и не загружать вложения, — заключает Ярослав Каргалев.