Украинцев накрыл cпам с вирусами от поддельного «ПриватБанка». Сколько это могло стоить

Спам-письма, подделанные под официальные письма банков — далеко не редкость. Однако на днях украинские интернет-пользователи получили буквально шквал писем, не очень старательно подделанных под сообщения «ПриватБанка». Во многих случаях почтовые сервисы справились с работой, сразу определив их в спам.

Рассылка проходила на днях, с почтовых адресов на net096.sv.ru, yarmap.com.ua, возможно, а также ряда других доменов. Имя пользователя-отправителя определено как «ПриватБанк», так что во «Входящих» еще можно его спутать с письмом от банка. Но письма оформлены, как правило, очень подозрительно, что нивелирует такую возможность. Выглядеть могут так:

В банке сообщили, что письма рассылались не только по клиентам банка (что исключает слив базы «ПриватБанка»), и рассылка при этом была очень массовой. Фейковые письма, как правило, сделаны по шаблону: приветствие, сообщение об открытии нового счета и предложение перейти по ссылке, чтобы с ним ознакомиться.

В письме содержится ссылка на файл schet.zip. В данном архиве — файл JavaScript, который качает один из двух файлов и устанавливает их на компьютер жертвы. Это — вирусы семейства TrojanEncoder, они же — трояны-шифровальщики, которые шифруют данные пользователя, а потом требуют выкуп за это. Сумма выкупа может составлять до $50 000.

У банка нет информации о том, скольких пользователей затронула рассылка. На вопрос о том, кто мог бы заказать такую кампанию и во сколько она могла бы обойтись заказчику, эксперты службы безопасности банка ответили, что сами пытаются подсчитать это.

«Рассылку сделать — недорого. Арендовать сервер, на который поместить вирусы на несколько дней или воспользоваться взломанным сайтом — дело на сумму до $100. С вирусом выйдет чуть дороже, но можно взять готовый и сделать максировку (обфускацию, кодирование), чтобы обойти антивирусные системы. При готовой схеме такой атака недорого обойдется злоумышленникам, а вот жертвам, скачавшим вирус, придется попрощаться с данными», — говорят в банке.

Как правило, цель таких атак понятна — заработать денег. Но в этом случае, как считает Николай Коваль, CEO CyS Centrum, атака может быть и целенаправленной, поскольку злоумышленники использовали «доброе имя» ПриватБанка».

«Это мое субъективное ощущение, но использование бренда «ПриватБанк» может быть не случайным (ведь недавно он был национализирован и т.п.)», — говорит эксперт. С другой стороны, выбор мошенников мог пасть на этот банк просто потому, что он у всех на слуху.
«Тяжело сказать — это был «заказ» или это обычная партнерская деятельность каких-то преступных коллективов. Обычно с ransomware действуют исключительно с целью получения выгоды для себя», — отмечает Николай.

С ним согласны и другие эксперты рынка, к которым обратилась редакция. Как рассказал AIN.UA эксперт, пожелавший остаться анонимным, скорее всего, целью такой кампании было не столько заражение компьютеров пользователей, как удар по репутации банка. «Всем нам приходит море спама, благо услуг по спаму на рынке — море, а «Приват» — это бренд, и тут сам бог велел попробовать раздуть скандал вокруг бренда. Вряд ли удастся выяснить, кто занимался отправкой рассылки и кто является заказчиком, можно строить догадки, однако реалистичней всего выглядит попытка ударить по репутации», — отметил он.

Стоимость такой рассылки зависит от массовости и метода рассылки, но в целом она не может быть очень дорогой — речь о тысячах долларов. «Не думаю, что переваливает за $10 000», — отметил эксперт. К тому же, злоумышленникам не довелось создавать дополнительный фишинговый сайт, да и на дизайн рассылки они не особо тратились.

Напомним, ранее мы публиковали статью c детальными инструкциями по собственной кибербезопасности от Влада Стирана, основателя компании Berezha Security.