РУССКИЙ
РУССКИЙ
ENGLISH
23.01.2017
Бренд под ударом
Какие технологии в сфере кибербезопасности могут
защитить доброе имя компании в интернете
Илья Сачков специально для Forbes
CEO Group-IB
Мировой рынок технологий защиты бренда достигнет в 2018 году $3,8 млрд. В России он развит пока довольно слабо, хотя угроз для компаний более чем достаточно. Информационные атаки на бренд, подделка сайтов и логотипов, торговля контрафактом, создание фишинговых страниц и зараженных мобильных приложений — компании не только рискуют своей репутацией, но и могут потерять деньги.
«…Сейчас идут проверки в Сбербанке о приеме денег за коммерческую деятельность на карты. Если кто-то скажет, что деньги перевел за услугу, даже за обучение, тогда вашу карту блокируют и карту того, кто перевел, тоже, и после блокировки — штрафы и налоговая».

С этой вирусной рассылки в WhatsApp в ноябре 2016 года началась информационная атака на Сбербанк. В сообщениях утверждалось, что call-центр банка якобы начал обзвоны клиентов, выясняя происхождение их переводов на карту. В Сбербанке сразу назвали информацию в рассылке ложной: «Если вам позвонили и сообщили о блокировке карты, знайте — это делают мошенники».
Примеры информационных атак на Сбербанк и Приватбанк в конце 2016 года.
Две недели спустя точно такие же сообщения появились в соцсетях уже на Украине, только вместо Сбербанка в тексте фигурировал Приватбанк. Удивляться этому не стоит. Банки — основные мишени информационных атак. Цель злоумышленников — посеять панику среди клиентов, заставить их массово снимать деньги в банкоматах и закрывать счета. После одной такой информационный атаки банк «Северная казна» в кризисный 2008 год столкнулся с дефицитом ликвидности.

Заметить атаку помогают специальные системы мониторинга, позволяющие компаниям увидеть многочисленные упоминания их бренда в социальных сетях и в СМИ в негативном контексте: сначала происходит «посев» (публикация) фейковых сообщений, затем их «разгон» в тематических группах, форумах и чатах, через ботов, а иногда и через авторитетных блогеров – лидеров мнений. Подобные атаки хорошо спланированы и масштабны — за несколько часов сообщения в соцсетях накрывают огромную территорию. Когда речь идет об угрозе здоровья или финансовой безопасности, распространять фейковые сообщения начинают обычные люди.

Задача злоумышленников вывести панику и неразбериху из онлайна в реальную жизнь. Когда в 2015 году в соцсетях появились ложные сведения о якобы планируемом «ограничении на снятие наличных в банкоматах Сбербанка», организаторы атаки через интернет нанимали желающих «постоять в очереди» у определенных отделений.

Чтобы противостоять атакам такого уровня, нужная мощная система киберразведки — предотвращать преступления против бренда еще на этапе их подготовки и развертывания. А если атака уже произошла — оперативно удалять нежелательные материалы, привлекать авторитетных «адвокатов бренда», работать в соцсетях с «недовольными», вытеснять негативные сообщения позитивными или нейтральными.

Сайты-клоны
Калькулятор вкладов обещал стремительное обогащение: если вложить 10 000 рублей, то ровно через сутки вкладчик сможет получить 15 000 рублей. «Забудь о кредитах вместе с Ankorinvest», — обещал рекламный баннер на сайте. Секрет такого сказочного дохода не внушал доверия: клиенты получали прибыль за счет вклада следующих участников. Проще говоря, это финансовая пирамида, которая использует ресурс вполне реального бренда — финансовой компании «Анкоринвест». О том, что кто-то использует бренд компании и даже похожее доменное имя, в ее столичном офисе не знают: «Мы не можем сказать, мошенники это или нет, но к компании «Анкоринвест» они не имеют никакого отношения, у нас другой ресурс — Ankorinvest.ru».
Для рекламы своей финансовой пирамиды мошенники использовали ресурс вполне реального бренда — финансовой компании «Анкоринвест»
Мошенники не просто копируют сайт компании, ее бренд, логотипы и фирменные цвета, регистрируют похожее доменное имя, они используют те же каналы продвижения, что и легальные ресурсы: заказывают рекламу в баннерных сетях, Яндекс.Директ и Google.Adwords, оплачивают посты в соцсетях, рассылают pop-up-сообщения о специальных акциях.

У сайта Челябинвестбанка (http://www.chelinvest.ru/) появился клон http://tocards.ru/ (в настоящее время ресурс уже заблокирован. — Forbes). И хотя доменное имя отличается от легального, мошенники полностью скопировали дизайн, разделы, контент и даже контактные телефоны официального сайта банка. Поддельный сайт создан для того, чтобы украсть деньги при переводе денег с карты на карту или при мгновенной оплате услуг операторов сотовой связи. Именно эту услугу злоумышленники выводили в топы поисковиков по запросу «Перевод денег на карту».
Сайт-клон Челябинвестбанка
В Челябинвестбанке начали собственное расследование инцидента, порекомендовав не пользоваться непроверенными сайтами: «Наш банк осуществляет сервис с карты на карту только по этой ссылке http://chelinvest.ru/citizen/p2p/. Любые другие ресурсы не являются сервисом Челябинвестбанка и могут оказаться мошенническими».

Если подозрительный сайт угрожает репутации бренда, его ждет блокировка. Опасный сайт можно заблокировать в течение 1–3 дней. В российских доменных зонах некоторые ресурсы реально заблокировать даже за 10 минут. Но перед этим желательно установить владельца площадки, собрать информацию, необходимую для расследования и дальнейшего судебного преследования.
Фишинг
Симпатичная девушка с ноутбуком в осеннем парке предлагает оплатить через онлайн-клиент платежи за свет, газ и квартиру — круглосуточно и без очередей. И хотя доменное имя сайта более чем подозрительное — podarok100.3eeweb.com, логотип банка вполне узнаваемый. Посетителю предлагают ввести в специальном окошке данные своей пластиковой карты и номер телефона. Другой ресурс — Barklifes.ru, тоже стилизованный под страницу того же банка, запрашивает у пользователей логины и пароли. Для большей убедительности страницу украшает логотип производителя антивируса — «Лаборатории Касперского».
Фишинговый сайт, стилизованный под Сбербанк
Оба этих сайта — фишинговые ресурсы, которые должны заставить жертву передать мошеннику пароли доступа к банковскому счету, номера банковских карт, аккаунты в социальных сетях (для вымогательства денег или рассылки спама от лица жертвы). Ссылки на поддельные сайты могут распространятся в фальшивых e-mail рассылках от имени банка или через контекстную рекламу в поисковых сетях. Пользователю обещают подарки, бонусы и другие соблазнительные поощрения от банка, если он перейдет по ссылке и вобьет данные своей банковской карточки.
Причем преступники подделывают даже SSL-сертификат (защищенное соединение с «замочком» в адресной строке), который дает пользователю дополнительные основания считать мошенническую страницу оригинальной, а пользование ею — безопасным. Но это не так. Были случаи, что вредоносная программа, собиравшая у клиентов их персональные данные, была найдена прямо на официальном сайте банка.

Размах преступной деятельности поражает. Ежемесячно наша компания фиксирует в среднем около 100 000 фишинговых ссылок. Примерно 50% этих фишинговых ссылок направлены на клиентов финансово-кредитных учреждений.
Пример мошеннического сайта
Но злоумышленников интересуют не только сайты банков. Более 40% фишинговых атак в мире, по данным международной коалиции APWG, были направлены против брендов в ретейле, в том числе и e-Commerce. Злоумышленники собирают данные карт покупателей на фишинговый сайтах «интернет-магазинов». Например, так работают фиктивные сайты, использующие бренды Timberland и Moncler.

Покупатель вообще не получает ничего — он оплачивает товар банковской картой, ее данные попадают в хакерские базы. Сразу деньги, может быть, и не спишут, но в дальнейшем эти скомпрометированные карты пачками продаются на закрытых хакерских форумах.
Мошенники привлекают пользователей скидками или приятными бонусами
Темные личности
Можно серьезно навредить репутации компании, скомпрометировав в соцсетях ее руководителей и сотрудников. Поддельные аккаунты — с реальными фотографиями и биографиями — могут использоваться как для публикации компромата, мошенничества, так и для последующих целевых атак на компанию.
It is necessary to choose a visual aid that is appropriate for the material and audience.
Например, если фиктивный руководитель попросит переслать ему персональную или служебную информацию, логины и пароли от входа в корпоративную почту, открыть ссылку на зараженный сайт или файл, содержащий вирус. На этом примере видно, как преступники создали аккаунт от имени генерального директора Berkshire Hathaway Уоррена Баффета. Только самые внимательные заметят, что имя настоящего «Оракула из Омахи» — Buffett.

Вот пример из российской практики. «Анастасия», якобы сотрудница крупного банка, в соцсети «ВКонтакте» пишет клиенту другого банка в личку:

«Добрый вечер Сергей! По вашему обращению (ссылка) Подскажите, пожалуйста, номер любой из Ваших карт, чтобы мы зарегистрировали Вас заново». Пользователь молчит, тогда «сотрудница» банка пишет: «даун не молчи». Рассерженный клиент обещает сделать так, чтобы девушка больше не работала в банке. «Анастасия» не выдерживает и грубо ругается. Никакой «Анастасии» не существует — большинство подобных аккаунтов создают заключенные. Переписку с клиентами они ведут прямо из колонии.
Подделки
В октябре Александр Карабутко получил на почте долгожданную посылку — ботинки Timberland, заказанные в интернет-магазине http://timberland-piter.ru/. Радость оказалась преждевременной: один ботинок был 40-го размера, другой — 43-го. Александр попытался связаться с магазином и вернуть товар, но не смог. «Все номера на сайте принадлежат разным фирмам, но только не той, которой нужно. При попытке поговорить о возврате там бросают трубку, — уверяет Александр. — Страница в соцсети с отзывами фейковая».

Новогодние праздники и распродажи сопровождают всплеск интернет-мошенничества. Чаще всего подделывают люксовые бренды — часы, рюкзаки и сумки, сотовые телефоны, алкоголь — под предлогом оригинала пользователю приходит дешевый контрафакт.

Оборот контрафактной продукции в мире, по информации Организации экономического сотрудничества и развития (ОЭСР), достигает $460 млрд. Чаще других подделывают американские бренды — каждый пятый товар, якобы выпущенный в США, является подделкой, потом идут итальянские, французские и швейцарские бренды. 63% всех подделок в мире, по данным ОЭСР, производится в Китае.

Большой размах имеет продажа поддельных авиабилетов. О том, что авиабилеты, купленные на сомнительном online-ресурсе, недействительные, некоторые пассажиры узнают только у стойки регистрации. Подозрения у путешественников могут вызвать и простые на первый взгляд вещи: слишком дешевые авиабилеты (скидка более 20% — уже повод задуматься), оплата с помощью электронных денег, переводом на карту или минимальное количество информации о компании. Но не каждого покупателя есть время и желание проверять сайты.

Существует ресурс настоящийбилет.рф, на котором можно проверить продавца перед покупкой. Присланные покупателям ссылки проверяют круглосуточно — уже составлена база из 70 000 легальных ресурсов. Если ресурс признан поддельным, хостинг-провайдеры его блокируют в течение 12 часов, а информацию о продаже поддельных билетов отправляют в полицию. За это время заблокировало более 500 подозрительных страниц.


Если бренд не следит за своей репутацией — он становится легкой мишенью. В идеале надо перехватить инициативу у преступников еще на этапе разработки преступной схемы. Довольно часто в теневом интернете, дарквебе, на подпольных форумах происходит обсуждения уязвимостей и мошеннических схем, объявлений о продаже контрафакта, баз данных, сборе информации и поиске инсайдеров в компании. Владельцы бренда должны узнать об угрозах в свой адрес как можно быстрее. И желательно не из новостей.

Источник — Forbes