Эксперты АРПП «Отечественный софт» прокомментировали ситуацию с распространением троянов через видеосервисы Zoom, Google Meet и Skype и рассказали, как обезопасить себя в случае кибератаки.

Киберпреступники запустили обширную кампанию по распространению троянов удаленного доступа через копии популярных видеосервисов.

Роскомнадзор зафиксировал фишинговые атаки через сайты, имитирующие Skype, Google Meet и Zoom. Преступники разместили фальшивые ресурсы на общем веб-хостинге, присвоив им одинаковый IP-адрес. Пользователям предлагается установить приложение для Android или Windows, но нажатие кнопки скачивания запускает загрузку трояна удаленного доступа.

Все обнаруженные фейковые платформы были русскоязычными, следовательно, целью хакеров являются пользователи из РФ и стран СНГ.

Андрей Арсентьев, руководитель направления аналитики и спецпроектов Экспертно-аналитического центра ГК InfoWatch, не видит в данной кибератаке угрозы для государственных организаций и крупного бизнеса, так как использование зарубежного ПО для рабочих онлайн-конференций в них строго ограничено. Многие компании за последние два года перешли на российские решения для видеосвязи. По мнению эксперта, в зоне риска находятся частные пользователи и небольшие компании, где нормы использования зарубежных систем для онлайн-конференций не регламентированы.

Андрей Арсентьев считает, что: «Основную угрозу для корпоративной среды представляют вредоносные программы-вымогатели, которые шифруют данные компании, и далее злоумышленники требуют выкуп за расшифровку. Еще опасны вайперы — это ПО для уничтожения программной инфраструктуры. Также стоит опасаться инфостилеров — это программы для похищения учетных данных и другой информации, которую пользователь вводит на клавиатуре.

Поддельные сайты можно отличить, сравнив их адреса с URL-адресами на официальных ресурсах для загрузки. Также можно сканировать контент, который вы хотите загрузить, с помощью антивирусов. Если вредоносное ПО проникло к вам на корпоративный компьютер, то необходимо оперативно обратиться к специалистам по информационной безопасности или IT. Если речь идет о личном устройстве, то нужно попробовать удалить вредоносные программы, просканировав через антивирус. Далее можно проверить список загруженных приложений и удалить подозрительные — в первую очередь те, которые вы точно не загружали. Если удалить вредоносное ПО не получилось, стоит откатить устройство к заводским настройкам или переустановить операционную систему. После удаления вредоносной программы важно сменить пароли на всех сервисах, которые вы использовали на зараженном ПК: с их помощью злоумышленники могут получить доступ к вашим личным кабинетам и использовать данные для мошеннических атак».

Эксперт рассматривает переход на отечественные продукты как лучший способ обезопасить себя в данной ситуации: «Прежде всего стоит ориентироваться на разработки из Реестра отечественного ПО. Выбор конкретного решения зависит от многих факторов, включая характеристики инфраструктуры заказчика и требования пользователей».

Константин Ильиных, руководитель отдела системного администрирования IT-компании Simpl (Simpl Group), разделяет мнение о важности использования российских сервисов для видеоконференций: «Skype, Google Meet и Zoom — приложения, с которыми нужно работать аккуратно. Уже давно подтвердилась теория о том, что некоторые сервисы хранят все видеозвонки и причастны к сливу большого количества данных. Для компаний лучшим решением будет поднятие своих сервисов для видеоконференций, а рядовым пользователям лучше всего перейти на альтернативные российские сервисы.

Использование Skype, Google Meet и Zoom для российских пользователей остается очень рискованным решением, особенно для компаний, потому что любой слив данных или троян понесут за собой не только денежные, но и репутационные убытки. Взламывая систему, злоумышленники либо прослушивают и получают доступ к секретной информации, либо шифруют данные и требуют деньги за восстановление.

Чтобы уберечь себя от вирусов, случайно скачанных вместе с программой, нужно внимательно проверять сайт, с которого вы хотите скачать приложение. Следить, чтобы было активно антивирусное программное обеспечение, установлена последняя версия и база обновлений. Некоторые антивирусы содержат в себе автоматическую функцию верификации сайтов прямо в браузере, они помогут отличить нужный сайт от вредоносного. При поиске проверенные сайты подсвечиваются галочкой, и мы сразу видим какие проверенные сайты.

Сейчас злоумышленники вышли на новый уровень и копируют сайты, дизайн приложений до мельчайших деталей. Они выпускают сертификат на свое доменное имя, и пользователь не отличит ложный сайт от оригинала. Важно, чтобы у бренда компании, на сайт которого вы заходите, в адресной ссылке не было лишних приписок и опечаток, пропусков, замены символов буквы „О“ на ноль, „I“ на цифру 1. Также стоит обращать внимание на доменную зону, если сайт российский он должен заканчиваться на ru или рф и не может заканчиваться на support, billing, info и т. д. Кроме того, появляются нейросети, которые могут проверить сайт по структуре ссылки, содержанию изображений и вычислить попытки фишинга».

Одной из причин уязвимости компьютера перед троянами Константин Ильиных называет несвоевременное обновление ПО и операционной системы. В обновлениях содержатся не только новые функции, но и доработки, которые закрывают слабые места.

«Защитить себя можно. Главное — быть внимательным и смотреть, что и с какого сайта мы скачиваем. Не всегда можно доверять тому, что оригинальный сайт с нужной программой всегда находится на первой строке в поисковой выдаче. Недавно сайт одного известного приложения выходил в топе. Он оказался поддельным и идентичен оригинальному. При загрузке устанавливалось не только приложение, но и вредоносные программы.

Если есть подозрение, что установлено вредоносное ПО, то в этот момент компьютер нужно полностью отключать от сети, звать специалиста (системного администратора) или привезти ему технику, проверить на вирусы. Ни в коем случае не обращайтесь к „лифтовым экспертам“, которые кладут в почтовые ящики рекламу своих услуг и развешивают объявления по подъездам. Они чаще всего обманывают и стремятся только заработать на наивных пользователях».

Руслан Рахметов, СЕО Security Vision, выделяет следующие способы защиты от возможных кибератак: «Для защиты от вирусных заражений пользователям Android нужно четко знать, что все необходимые приложения следует загружать только из официальных магазинов приложений (из Google Play Store, Samsung Galaxy Store, Huawei AppGallery, из российских NashStore и RuStore), а большинство распространяемых в интернете APK-файлов являются вредоносными. Пользователям Windows можно посоветовать проверять цифровые подписи скачанных EXE и MSI файлов-инсталляторов (свойства файла — вкладка „Цифровые подписи“): в большинстве случаев крупные разработчики подписывают свои дистрибутивы, а подозрения должны вызывать неподписанные файлы, недействительная цифровая подпись или неизвестный издатель сертификата. И Windows, и Android пользователям можно посоветовать проверять скачанные из интернета исполняемые файлы в сервисах онлайн-проверки на вирусы, таких как VirusTotal, Kaspersky TIP, Национальный Мультисканер. Чтобы скачивать дистрибутивы с официальных сайтов компаний-разработчиков, можно указывать в поисковой строке словосочетание „официальный сайт“ (например, „Zoom официальный сайт“), а также обращать внимание на рекламные объявления в поисковой выдаче и не кликать на них, поскольку именно через подобную рекламу зачастую продвигаются поддельные сайты».

По мнению Руслана Рахметова, угрозы троянов удаленного доступа до сих пор актуальны и для частных лиц, и для корпоративных пользователей, которые по каким-либо причинам до сих пор не перешли на отечественные импортозамещающие решения.

«Трояны удаленного доступа (сокращенно RAT, remote access trojan) — это действительно одна из опаснейших угроз для устройств на Windows и Android. Такие вирусы позволяют перехватить управление устройством и дать злоумышленникам возможность выполнять все действия на нем, включая вход в приложения банков, в соцсети и мессенджеры. Кроме того, еще один вид распространенного вредоносного ПО — это так называемые инфостилеры (от англ. infostealer), которые похищают сохраненные учетные данные (логины и пароли) от различных сайтов и другую конфиденциальную информацию. В целом же, современные более-менее сложные вирусы обладают модульной структурой, которая позволяет атакующим загружать на зараженное устройство только тот вредоносный функционал, который принесет им прибыль или позволит достичь цели — удаленное управление, кража конфиденциальной информации, скрытное присутствие в зараженной системе в целях шпионажа и т. д.

Всплеск подобных кибератак с созданием поддельных сайтов популярных мессенджеров и ВКС-решений пришелся на пандемию, но и в настоящее время злоумышленники продолжают пользоваться этими методами: создают веб-сайты с интерфейсом, копирующим оригинальные ресурсы, рассылают ссылки на такие сайты по электронной почте и в мессенджерах, а также пользуются средствами нелегальной оптимизации (так называемое „черное SEO“) для повышения рейтинга этих сайтов и продвижения их в поисковой выдаче, в результате чего, например, на поисковый запрос „скачать скайп“ на первом месте может оказаться такой вредоносный ресурс».

Сергей Липов, директор по информационным технологиям EdgеЦентр, предлагает частным пользователям внимательно проверять адресную строку браузера, а также сертификацию сайтов на Google Trust Services LLC, чтобы обезопасить себя.

«Официальные сайты Skype, Zoom и Google Meet имеют домены skype.com, zoom.us и meet.google.com соответственно. Если же вредоносное ПО уже было скачено, важно немедленно обратиться к специалистам и провести полное сканирование системы антивирусом.

Сегодня наиболее опасными уязвимостями для пользователей Skype, Zoom и Google Meet являются фишинговые атаки, подделка интерфейса и распространение вредоносного ПО. Для защиты от них помимо использования антивирусов, стоит обратить внимание на многофакторную аутентификацию, не скачивать приложения со сторонних сайтов и быть внимательными к подозрительным ссылкам и сообщениям. Риски для пользователей популярных сервисов видео-телефонной связи и видеоконференций в РФ достаточно велики. Трояны могут получить доступ к личной информации пользователя, включая переписку, контакты, а также данные банковских карт и другую конфиденциальную информацию. Кроме того, злоумышленники могут использовать зараженные устройства для проведения кибератак или для майнинга криптовалют».

Эксперты АРПП «Отечественный софт» считают, что вследствие ограничений и государственного регулирования многие крупные компании уже перешли на российские аналоги видеоконференцсвязи. В наиболее уязвивом положении перед кибератакой троянов через Zoom, Google Meet и Skype находятся малый бизнес и частные пользователи. Лучшим решением для защиты от подобных угроз, по мнению специалистов Ассоциации, является переход на отечественные продукты, которые представлены на рынке в достаточном объеме и способны обеспечить необходимый уровень безопасности и функциональности.