Новый способ кибермошенничества

Свыше 80 тыс. сайтов замечены в распространении вредоносных расширений (плагинов) для браузеров, с помощью которых киберворы всё чаще совершают хищения данных о банковских картах. Часто случается так, что пользователь устанавливает себе на телефон или компьютер программу, позволяющую отслеживать курс валют или прогноз погоды, а заодно предоставляющую мошенникам всю информацию конфиденциального характера об этом человеке. Количество людей, ставших жертвами новой разновидности мошенничества уже исчисляется несколькими миллионами.

В кибермошенничестве придуман новый способ похитить конфиденциальные пользовательские данные — логины, пароли, данные банковских карт и т.п.

Теперь под прицел попали расширения, устанавливаемые как надстройки на браузер и способствующие получению пользователями полезной информации, без посещения разных сайтов. Установка таких программ возможна в мобильной и дескоптной версиях браузера. Каждый располагает своим официальным магазином расширений (допустим, Google имеет «Интернет магазин Chrome» для своего же браузера), но кроме официального источника доступна и их установка через непроверенные источники — к примеру, непосредственно с какого-нибудь сайта.

Часть расширений для браузера нужно поставить для получения возможности использования всего функционала сайта или чтения определенного формата данных, допустим, скачивание читалки для книг. Но польза от установки плагинов далеко не всегда очевидна. С виду безобидная программа, например, «курс валют», может в действительности быть носителем вредоносного кода. Установить подобные расширения можно другим способом — когда на экране браузера появляется окно с пугающими надписями — например: «Телефон заражен. Требуется установка антивируса». Потом появляется кнопка «Установить», после нажатия на которую, устанавливается расширение. После этого зараженным плагином начинается воровство конфиденциальных данных. В компании «Яндекс» объясняют, что проблема усугублена проблемы тем, что антивирусам не по силам поиск зараженных расширений, поэтому они наносят больший вред в сравнении с обычными вирусами, ведь у плагинов есть доступ ко всему происходящему на странице в браузере.

Допустим, вы хотите купить билеты в театр, вы перешли к окну проведения оплаты, а в это время вредоносным расширением считывается вся введенная вами конфиденциальная информация. Возможно развитие событий по другому сценарию: зараженное расширение совершает подмену всей формы оплаты, в итоге данные банковской карты получает мошенник. Наряду с подменой рекламы, рассылки спама и других малоприятных вещей, вредоносному расширению доступно и получение всех данных, которые вы вводили при посещении страницы онлайн-банка. Или, допустим, оно может подменить форму для ввода банковской информации на вполне заслуживающем доверия сайте.

Очень часто пользователи или забывают, или попросту не в курсе того, что расширение важно скачивать только из надежного источника, а при установке программ мало кто обращают внимание на то, какие конкретно разрешения запрашиваются ими. Скачивая программы, люди проставляют галочки в каждом окне, и в итоге вредоносное ПО совершенно свободно оказывается в браузере. По подсчетам специалистов «Яндекса», в среднем порядка 30% пользователей ПК и 6% пользователей мобильных устройств пропускают мимо ушей предупреждения о вероятности угрозы, когда они скачивают то или иное расширение.

Причем, масштабы эпидемии впечатляют - система защиты от вредоносных расширений «Яндекс.Браузера» ежедневно срабатывает до 10 тыс. раз.

Как оценили в «Яндексе», свыше 80 тыс. сайтов замечены в распространении вредоносных расширений, каждый месяц проблемы встают перед 1,24 млн человек, а идентификация вредоносных плагинов была осуществлена ими в самых известных и востребованных магазинах расширений. Представители офисов Apple и Google в Москве не стали комментировать эту тему.

По мнению компании «Яндекс», главную угрозу нежелательных программ на настольные ПК и ноутбуки несут именно неофициальные разработчики. С сайтами, распространяющими такое ПО каждый месяц сталкиваются 6,3% тех, кто пользуется компьютерным браузером — а это свыше 1 млн человек.

По словам заместителя руководителя лаборатории компьютерной криминалистики Group-IB Сергея Никитина, распространение каких-то видов рекламного и потенциально вредоносного ПО осуществляется через расширения для браузеров. По словам руководителя департамента аудита защищенности Digital Security Алексея Тюрина, многие антивирусы не делают анализ браузерных дополнений, благодаря которым у мошенников может оказаться информация о банковских картах вместе с паролями и логинами.

По мнению руководителя направления противодействия мошенничеству Центра информабезопасности компании «Инфосистемы Джет» Алексея Сизова, новый способ мошенничества настолько эффективен. что сегодня идет его активное развитие. Схема атак, при которых преступники задействуют вредоносные расширения, действительно может коснуться массового сегмента клиентов банков, лиц, имеющих личные кабинеты в платежных сервисах, пользователей программ лояльности. Интересно, что при установке в расширении может и не быть несущих вред функций. И в течении какого-то времени оно будет хорошо работать, а потом, во время очередного обновления начинаются атаки на клиентов.

По словам экспертов, защита от угроз требует соблюдения простых правил: использование только легальных расширений, скачивание которых доступно в официальном магазине расширений браузера. «Яндекс» советует остановиться на установке только тех расширений, в которых действительно есть необходимость, и внимательно знакомиться с предупреждениями, перед тем, как проставлять галочки. Кроме того, важно время от времени открывать список установленных расширений: нередко там можно увидеть совершенно незнакомые вам, которых вы, как вам покажется, вообще не устанавливали.