В мире киберпреступности информация — это средство для достижения цели. А цель эта, чаще всего, — заработок. Именно поэтому вредоносное ПО для кражи информации (инфостилеры) стало главной причиной мошенничества с личными данными, захвата аккаунтов и кражи цифровых валют. Но есть и куча людей, которые живут онлайн и при этом остаются в безопасности. Главное — понимать, как эффективно управлять цифровыми рисками.
Вот что нужно знать, чтобы твоя личная и финансовая информация была в безопасности.
Какую информацию воруют инфостилеры?
Многие инфостилеры могут проследить свои корни до одного «культового» вредоносного ПО: банковского трояна под названием ZeuS, который был создан для тайной кражи финансовой информации жертв, например, логинов для онлайн-банкинга. Когда его исходный код слили в 2011 году, в подполье киберпреступности хлынули новые версии, и бурно развивающаяся индустрия инфостилеров началась всерьез: разработчики улучшали и настраивали его возможности. Сегодня существуют версии, созданные практически для всех вычислительных платформ: от ПК с Windows и компьютеров Mac до устройств на iOS и Android.
Что ищут инфостилеры, зависит от конкретной версии. Логины и сессионные куки, которые могут позволить хакерам обойти многофакторную аутентификацию (MFA), — популярная цель. Один отчет оценивает, что 75% (2,1 миллиарда) из 3,2 миллиарда украденных в прошлом году учетных данных были добыты с помощью инфостилеров. Другая личная и финансовая информация, которая может оказаться под угрозой, включает:
- Платежные карты, данные банковских счетов и криптовалютных кошельков (например, ключи от криптокошельков)
- Другая финансовая информация, включая данные о страховке или государственные льготы (например, номер социального страхования)
- Данные браузера, включая историю просмотров и сохраненные данные форм, которые могут содержать платежные данные и пароли
- Системная информация о твоем компьютере или устройстве
- Файлы, хранящиеся на твоем компьютере/устройстве, включая фотографии и документы
- Другая личная информация, включая имена, номера телефонов и адреса
Как работают инфостилеры?
Задача вредоносного ПО — незаметно и быстро найти конфиденциальную информацию на твоей машине или устройстве, а затем передать ее на сервер, контролируемый злоумышленниками. Он делает это, взламывая веб-браузеры, почтовые клиенты, криптокошельки, файлы, приложения и саму операционную систему. Другие методы включают:
- «Form grabbing» (захват форм), который заключается в поиске логинов, которые ты мог ввести в онлайн-форму, прежде чем она будет отправлена на безопасный сервер
- Кейлоггинг (запись нажатий клавиш), который требует от вредоносного ПО записи каждого твоего нажатия клавиши
- Создание скриншотов твоей домашней страницы/рабочего стола на случай, если там отображается какая-либо конфиденциальная информация
- Кража информации из буфера обмена машины
Как только информация будет отправлена на сервер злоумышленника, часто в течение нескольких секунд, они обычно упаковывают ее в логи и продают в подполье киберпреступности. Мошенники затем используют ее для:
- Захвата твоих онлайн-аккаунтов (например, Netflix, Uber) с целью кражи хранящейся там информации и/или продажи доступа другим
- Мошенничества с личными данными, например, подачи заявки на кредит от твоего имени или использования твоих карт/банковского счета для покупок
- Медицинского/страхового мошенничества путем получения медицинского лечения/лекарств от твоего имени
- Налогового мошенничества путем подачи налоговых деклараций от твоего имени и получения возмещений
- Рассылки фишинговых сообщений или спама твоим контактам
- Опустошения твоих финансовых счетов
Как я могу стать жертвой инфостилеров?
Первый шаг к безопасности от инфостилеров — понять, как они распространяются. Существуют различные векторы атак, но наиболее распространенные включают:
- Фишинговые электронные письма/тексты: Классический метод социальной инженерии, чтобы убедить тебя перейти по вредоносным ссылкам или открыть вложение, что приведет к скрытой установке вредоносного ПО. Злоумышленник обычно выдает себя за доверенное лицо, бренд или организацию, подделывая домен отправителя и используя официальные логотипы.
- Вредоносные веб-сайты: Они могут использоваться как часть фишинговой кампании или как отдельный «актив». Тебя могут побудить скачать/перейти по ссылке, или сайт может инициировать «скрытую загрузку» просто при посещении. Злоумышленники могут использовать техники black hat SEO для искусственного поднятия этих сайтов в топ поисковой выдачи, чтобы они с большей вероятностью появлялись, когда ты что-то ищешь в интернете.
- Взломанные веб-сайты: Иногда хакеры взламывают легитимные сайты, которые ты можешь посещать, возможно, используя уязвимость браузера или вставляя вредоносную рекламу (malvertising). Оба метода могут привести к установке инфостилера.
- Вредоносные приложения: Легитимно выглядящее программное обеспечение может скрывать неприятный сюрприз в виде кражи информации при скачивании. Риск особенно велик для мобильных устройств, которые часто защищены хуже, чем компьютеры. Будь особенно осторожен с пиратскими версиями популярных игр и другого ПО.
- Социальные мошенничества: Мошенники могут попытаться обманом заставить тебя перейти по заманчивой рекламе или посту в социальных сетях, возможно, выдавая себя за знаменитость или даже захватывая легитимный аккаунт. Остерегайся предложений, розыгрышей призов и эксклюзивного контента, которые кажутся слишком хорошими, чтобы быть правдой.
- Моды/читы для игр: Неофициальные модификации или читы для видеоигр могут содержать вредоносное ПО типа инфостилер. Фактически, исследователи ESET обнаружили несколько репозиториев на GitHub, которые якобы предлагали фарм-ботов и автокликеры, предназначенные для ускорения игрового процесса в Hamster Kombat. На самом деле они скрывали вариант Lumma Stealer.
Взгляд на ландшафт угроз
Как ESET раскрывает в своем Отчете об угрозах за H2 2024, рынок инфостилеров — это большой бизнес для киберпреступников. Модель «вреддоносное ПО как услуга» (MaaS) демократизировала доступ ко многим вариантам инфостилеров, доступным на криминальных рынках. Некоторые из этих сайтов также предлагают услуги по разбору логов, чтобы помочь киберпреступникам извлечь данные из необработанных логов для использования или перепродажи.
Как отмечает ESET, это вредоносное ПО постоянно развивается. Например, Formbook действует с 2021 года. Но совсем недавно он добавил сложные техники обфускации, предназначенные для затруднения сэмплирования и анализа исследователями безопасности. Другие варианты, такие как RedLine, исчезли из-за скоординированных действий правоохранительных органов. Но другие, такие как Lumma Stealer, просто занимают их место. Этот вариант зафиксировал годовой рост обнаружений на 369% во втором полугодии 2024 года, согласно исследованию ESET.
Как мне держаться подальше от инфостилеров?
Итак, как можно гарантировать, что инфостилер не окажется на твоем мобильном устройстве или компьютере? Учитывая, что вредоносное ПО может распространяться различными способами, тебе нужно помнить несколько лучших практик. К ним относятся:
- Устанавливай и регулярно обновляй защитное ПО на всех своих устройствах. Это поможет тебе защититься от инфостилеров и других угроз.
- Будь бдителен к фишингу, что означает, что тебе следует избегать перехода по ссылкам в любых непрошеных сообщениях или открытия вложений. Всегда проверяй отправителя напрямую, действительно ли он отправил тебе сообщение. Иногда наведение курсора на домен «отправителя» может показать, что электронное письмо на самом деле было отправлено кем-то другим.
- Скачивай программы/приложения только из официальных онлайн-магазинов. Хотя вредоносное ПО иногда проникает в Google Play, его обычно быстро удаляют, и эти официальные каналы гораздо безопаснее сторонних магазинов. Кроме того, избегай скачивания любого пиратского или взломанного ПО, особенно если оно предлагается бесплатно.
- Регулярно обновляй ОС и приложения, потому что последняя версия ПО будет самой безопасной.
- Будь осторожен в социальных сетях и помни, что если предложение кажется слишком хорошим, чтобы быть правдой, то, скорее всего, так оно и есть. Если ты сомневаешься, попробуй поискать это в Google, чтобы узнать, не является ли это мошенничеством. И помни, что аккаунты друзей и знаменитостей тоже могут быть взломаны для продвижения мошенничества. Избегай перехода по любым непрошеным ссылкам.
- Улучши безопасность при входе в систему, используя надежные, уникальные пароли для каждой учетной записи, хранящиеся в менеджере паролей. И включи многофакторную аутентификацию (MFA) для всех своих учетных записей. Это обеспечит некоторую защиту от определенных методов инфостилеров, таких как кейлоггинг, хотя и не является 100% надежным.
Хитрость заключается в том, чтобы наслоить эти меры, тем самым сокращая для злоумышленников количество доступных путей для атаки. Но помни также, что они будут продолжать пытаться разрабатывать новые обходные пути, так что бдительность — ключ к успеху.