Проблемы с Windows и WhatsApp: как обчищают карманы казахстанцев

С развитием финтеха в Казахстане злоумышленники все чаще обманывают казахстанцев в онлайн. Причем, способы мошеннического отъема денег меняются чуть ли не день ото дня.

С помощью экспертов «Лаборатории Касперского» корреспондент Azattyq Rýhy рассмотрел наиболее распространенные виды обмана на сегодняшний день.  

Злоумышленники имитируют проблемы с Windows и обманом вынуждают пользователей перезвонить им

В сентябре эксперты «Лаборатории Касперского» зафиксировали почти 600 тысяч попыток перехода пользователей по всему миру на фишинговые ресурсы, эксплуатирующие тему продуктов Microsoft*. На одних сайтах пользователям предлагали скачать операционную систему Windows 10 или Windows 11. На других злоумышленники пытались выманить данные для входа в учётную запись — адрес электронной почты и пароль — в сервисах Microsoft, в том числе Outlook. Если человек вводил эти данные на фальшивом ресурсе, они доставались злоумышленникам.

Злоумышленники также используют вишинг — голосовой фишинг, то есть пытаются побудить человека позвонить им по указанному номеру. Если жертва попадается на крючок и перезванивает, её начинают «обрабатывать». Обычно мошенники пытаются выманить конфиденциальные данные либо убедить перевести деньги на указанные реквизиты или установить потенциально опасное ПО. Одна из схем выглядела так: человек заходил на сомнительный ресурс или его перенаправляли на него из спам-письма, внезапно на экране появлялся баннер с сообщением: «Windows заблокирован из-за подозрительной активности». Якобы на устройстве пользователя была обнаружена угроза — шпионский троянец. В том же сообщении человека просили немедленно связаться с технической поддержкой по указанному телефону, чтобы избежать «полной неисправности компьютера». В реальности злоумышленники просто показывали баннер в полноэкранном режиме. Так они пытались убедить человека, что у него действительно заблокирован компьютер. Мошенническая схема нацелена на русскоязычную аудиторию. Эксперты компании не исключают, что с действиями злоумышленников могут столкнуться пользователи в разных странах СНГ, в том числе в Казахстане.

«Злоумышленники часто используют известные бренды и новостную повестку, важно не упрощать им жизнь. Не переходите по сомнительным ссылкам из почты, сообщений в мессенджерах и СМС. Помните, если предложение в интернете звучит слишком заманчиво, чтобы быть правдой, то, скорее всего, это мошенничество. Стоит насторожиться, если вас пугают и требуют сделать что-либо быстро, например, перейти по ссылке, ввести свои данные на непроверенном сайте, перезвонить по телефону. Не сообщайте третьим лицам конфиденциальную информацию, в том числе одноразовый код из СМС и push-уведомлений, не устанавливайте программы по просьбе посторонних людей. Используйте надежное защитное решение, которое предотвратит попытку перейти на фишинговый или скам-сайт», - поясняет Ольга Свистунова, контент-аналитик «Лаборатории Касперского».

Ситуация с троянцами-стилерами в Казахстане

По данным «Лаборатории Касперского», в 2022 году более 8,5 тысяч пользователей в Казахстане столкнулись с троянцами-стилерами. Это вредоносные программы, которые крадут логины и пароли от аккаунтов в различных сервисах. В их числе банковские, игровые аккаунты, учётные записи в мессенджерах, социальных сетях, сохранённые пароли в программах и браузерах. Стилеры ищут необходимую информацию в системных файлах, которые хранят конфиденциальные данные, или в реестре. Затем они отсылают её злоумышленникам. С такой угрозой сталкиваются в том числе авторы Telegram-каналов и блогеры.

Один из самых распространённых троянцев для кражи паролей и учётных данных из браузеров и десктоп-мессенджеров — RedLine. Он умеет красть данные от учётной записи в Telegram и ряде VPN-приложений, токены Discord, данные для входа в криптокошельки, а также сохранённые пароли и файлы cookie из браузеров. Кроме того, стилер может скачивать и запускать сторонние программы, выполнять команды в cmd.exe (файл командной строки Windows) и открывать ссылки в браузере. Распространяется он разными способами, в том числе при помощи вредоносных спам-рассылок и сторонних загрузчиков. RedLine продаётся в даркнете по цене в среднем несколько сотен долларов США.

«Мы видим, что стилеры по-прежнему актуальная угроза. Пользователям, особенно владельцам популярных каналов в мессенджерах и соцсетях, блогерам, стоит быть внимательными. Важно критически относиться к крайне щедрым или пугающим сообщениям и проверять с помощью защитных решений файлы, которые приходят от незнакомых контактов или вызывают подозрение. Так, например, не редки случаи, когда злоумышленники распространяют зловреды под видом рекламных предложений», - отмечает Олег Купреев, эксперт по кибербезопасности «Лаборатории Касперского». 

«Самое главное — не упрощать жизнь злоумышленникам. Установите надёжные и разные для каждого своего аккаунта пароли — от 12 знаков с буквами в разном регистре, цифрами и спецсимволами. Периодически меняйте их. Для хранения паролей можно воспользоваться специальными решениями — менеджерами паролей. В тех сервисах, которые это позволяют, настройте двухфакторную аутентификацию. Также стоит периодически проверять список активных сеансов в мессенджерах и соцсетях. Если среди устройств появится такое, с которого вы в аккаунт не заходили, следует завершить сеанс и сменить пароль. Конечно, базовой мерой безопасности остаётся защитное решение. Оно убережёт от загрузки и установки вредоносного ПО и не даст перейти по фишинговой ссылке», - комментирует Валерий Зубанов, коммерческий директор «Лаборатории Касперского» в Казахстане, Средней Азии и Монголии.

Зловред для кражи денег и данных под видом мода для WhatsApp

Эксперты «Лаборатории Касперского» обнаружили, что под видом мода для WhatsApp распространяется вредоносное ПО. Злоумышленники продвигают мод с функциями, которых нет в официальном приложении. Но помимо этих функций в нём скрывается троянец Triada. Он может загружать другие зловреды, которые, например, оформляют платные подписки, и даже красть доступ к учётным записям. По данным компании, за август и сентябрь 2022 года с этой угрозой столкнулись более 3600 пользователей**. Эксперты не впервые видят такой способ распространения этого зловреда.

Зачем вообще скачивать моды. Многим пользователям недостаточно функций в официальной версии WhatsApp и они скачивают моды. Это дополнения, которые расширяют возможности мессенджера. Например, позволяют настроить фоны и шрифты для чатов, делать массовые рассылки или защищать определённые чаты паролем.

Как распространяется вредоносный мод. Это происходит через два легитимных приложения ― Snaptube и Vidmate. В Snaptube, популярном приложении для Android, злоумышленники рекламируют мод под названием YoWhatsApp. Скорее всего, разработчики Snaptube не знали, что злоумышленники используют для своих целей легитимный рекламный модуль, встроенный в их решение. Эксперты «Лаборатории Касперского» предупредили их об этом.

В другом приложении, Vidmate, вредоносный мод распространяется под названием Whatsapp Plus. Сервис Vidmate, как и Snaptube, используется для загрузки видео с YouTube, а кроме этого, содержит неофициальный магазин приложений для Android.

После установки и запуска мода на устройстве активируется и троянец Triada. Более того, после входа в учётную запись пользователь может потерять доступ к своему аккаунту: зловред крадёт необходимые для этого ключи.

«Большинство пользователей считают, что если приложение, которое они используют безопасно, то и реклама в нем тоже не представляет угрозы. В действительности злоумышленники могут распространять вредоносные программы через рекламу в легитимных приложениях. Это может привести к потере конфиденциальных данных и финансовым рискам. Стоит помнить об этом и быть начеку», — комментирует Валерий Зубанов, коммерческий директор «Лаборатории Касперского» в Казахстане, Средней Азии и Монголии.

Чтобы не допустить загрузку на устройство вредоносного ПО, «Лаборатория Касперского» рекомендует:

• устанавливайте приложения из официальных магазинов — это снизит риски столкнуться с вредоносной программой;
• если вы всё же хотите установить приложение из стороннего источника, проверьте его на наличие вредоносного кода с помощью защитного решения;
• прежде чем давать те или иные разрешения приложениям на устройстве, подумайте несколько раз, действительно ли они необходимы;
• используйте надежное защитное решение для мобильных устройств, например, Kaspersky Internet Security для Android.