Хакеры прикрылись женщиной

Иранские хакеры обманывали жертв с помощью аккаунта женщины

Mia Ash/Blogspot.com
Хакерская группировка Cobalt Gypsy, связанная с правительством Ирана, использовала социальную инженерию, чтобы похищать данные с корпоративных компьютеров — они создали аккаунт несуществующей женщины из Великобритании, вступали в переписку с жертвой, втираясь в доверие, а после присылали зараженную ссылку с вирусом внутри. Почему удар по человеческим слабостям столь эффективен и что такое точечный фишинг — разбиралась «Газета.Ru».

Фишинг стал одним из самых популярных хакерских инструментов — очень легко отправить письмо ничего не подозревающей жертве с заманчивой ссылкой, обещающей легкий заработок или беспрецедентные скидки, и спрятать там вредоносный код.

По данным Verizon, пятая часть всех киберпреступлений в 2016 году началась именно с фишингового электронного письма, а каждый четырнадцатый получатель таких писем пострадал от действий хакеров.

Но с увеличением числа подобных случаев растет и общественная осведомленность.

Все чаще в компаниях проводятся специальные тренинги по кибербезопасности, где специалисты настойчиво рекомендуют не открывать ссылки в письмах, вызывающих хоть какое-либо подозрение.

Поэтому хакерам приходится становиться все изощреннее в своих уловках, чтобы заманить в ловушку даже самых недоверчивых пользователей интернета. Внимание специалистов по безопасности привлек случай с Мией Эш, 30-летним британским фотографом, с помощью которой киберпреступная группировка распространяла вредоносное программное обеспечение.

Удар по слабостям

Хакеры из Cobalt Gypsy, которых якобы спонсирует иранское правительство и использует для кибершпионажа, создали сразу несколько поддельных аккаунтов в социальных сетях от лица некой Мии Эш из Лондона. От имени этой девушки, которой не существует, Cobalt Gypsy общались с потенциальными жертвами из стран Ближнего Востока и Северной Африки.

Наибольшее число жертв вируса, рассылаемого Мией Эш, проживает в Саудовской Аравии.

По хакерской схеме, Мия вступала в переписку с сотрудником компании мужского пола из сферы технологий, нефтеперерабатывающей отрасли, здравоохранения или космических разработок — перспективных областей деятельности, из которых можно украсть потенциально ценные данные.

После нескольких дней общения в социальных сетях Мия Эш отправляла файл под названием «Copy of Photography Survey.xlsm» и уговаривала жертву открыть его с рабочего компьютера.

В этом файле содержался макрос, запускающий установку зловреда PupyRAT, который заражает Windows, Linux, OSX, а также устройства на базе Android.

Впоследствии вирус проникал в систему жертвы и отправлял данные напрямую хакерам.

IT-евангелист компании Balabit Чаба Краснаи заявил, что удар по человеческим слабостям — любимый прием современных киберпреступников.

«Этот случай — хороший пример того, как романтическая переписка с незнакомцем может закончиться не свиданием, а несанкционированным доступом к личным данным. К сожалению, сейчас нет способов полностью устранить человеческие риски», — сообщил собеседник «Газеты.Ru».

У Мии Эш были аккаунты в LinkedIn, Facebook, Blogger и WhatsApp, в каждом из которых были опубликованы фотографии одной и той же девушки. Согласно исследованию компании SecureWorks, снимки принадлежали румынской девушке-фотографу под никнеймом bittersweetvenom, которая выкладывала свои фото на DeviantArt.

Румынская девушка подтвердила экспертам по безопасности свою личность и подлинность аккаунта, но отказалась комментировать возможную связь с Cobalt Gypsy. Скорее всего, ее снимки были украдены хакерами и использовались без ведома фотографа в глобальной мошеннической схеме.

Социальная инженерия в действии

Заместитель директора по развитию компании «Айдеко» Дмитрий Хомутов рассказал «Газете.Ru», что мошеннические и фишинговые схемы с использованием фейковых аккаунтов в социальных сетях и на сайтах знакомств практикуются довольно давно — это один из популярных методов социальной инженерии.

«Думаю, что не так далек день, когда вредоносное ПО будет распространяться системами искусственного интеллекта и втираться в доверие к пользователям будет не человек (что довольно ресурсозатратно), а запрограммированный бот.

Даже довольно старые вирусы, распространявшиеся через ICQ 5–7 лет назад, использовали такие методы. Сейчас же их уровень развития ушел далеко вперед, и отличить в переписке бота от, например, девушки-подростка будет довольно непросто», — заявил Хомутов.

Николаос Крисайдос, руководитель отдела мобильных угроз и безопасности Avast, сообщил, что в атаке с Мией Эш использовалась общая тактика социальной инженерии, известная как точечный фишинг, когда используют подставных лиц, чтобы извлечь еще больше информации.

Он отметил, что для такой атаки хакеры должны были потратить много времени — создать профиль и индивидуализировать его, чтобы обмануть пользователей.

Точечный фишинг эффективен, когда киберпреступники проводят обширные исследования своей жертвы, чтобы выглядеть как можно более настоящими и получить доступ к желаемым сетям и организациям.

«Эта конкретная группа пошла еще дальше, создав фальшивую социальную сеть по различным каналам социальных сетей, чтобы казаться более надежной и привлекательной для пользователей, чьи аккаунты им были полезны. Кроме того, группа долгое время добивалась доверия пользователей, отвечала их интересам, что в конечном итоге дало им возможность успешно обмануть их, загрузить инструменты дистанционного администрирования, получить полный доступ к системе своих жертв и даже к внутренней сети их организации», — рассказал собеседник «Газеты.Ru».

Эксперт по защите от неизвестных угроз Check Point Software Technologies Сергей Невструев подтвердил корреспонденту «Газеты.Ru», что

социальная инженерия действительно становится все более изощренной, так как хакерам необходимо обманывать не только людей, но и продвинутые средства обнаружения угроз.

«Сейчас злоумышленник может составить письмо со зловредом внутри настолько искусно, что даже подготовленный пользователь не заметит подвоха. Например, письмо может быть замаскировано под сообщение от банка, в котором обслуживается человек, или от отеля, в котором он отдыхал», — заявил эксперт.