Как мошенники распространяют вредоносные программы

Есть много сценариев, которые заканчиваются тем, что на вашем устройстве оказывается вирус или другое опасное ПО. Разберём основные способы «доставки».

Поддельные банковские, платёжные или другие важные приложения. Например, мошенники создают приложение, которое внешне почти не отличается от официального приложения вашего банка.

Обычно липовое приложение предлагают скачать через Telegram, по ссылке из СМС или на фейковом сайте под предлогом «обновления», «разблокировки счёта» или «новой версии». Иногда такие подделки попадают и в официальные магазины приложений, например в App Store. Как правило, их оттуда быстро удаляют, но можно успеть скачать. После установки программа может украсть данные банковской карты, логин и пароль для входа в онлайн-банк, коды подтверждения из СМС.

Копия приложения российского Т-Банка, которая встречалась в App Store. Источник: ixbt.com

Фишинговые СМС. Пользователю приходит сообщение с текстом вроде таких: «Ваша карта заблокирована», «Получен штраф», «Необходимо подтвердить личность» или «Вам пришла посылка». Внутри находится или сам вредоносный файл, или ссылка на сайт. На сайте предложат что-то скачать либо ввести личные данные — якобы для решения проблемы.

Социальные сети и мессенджеры. Вредоносные файлы часто распространяют через Telegram, WhatsApp и другие мессенджеры. Злоумышленники могут выдавать себя за друзей, родственников, работодателей или сотрудников банка и отправлять файлы под видом фотографий, документов, обновлений или ссылок на «государственные сервисы».

А если мошенники получат доступ к аккаунту кого-то из ваших знакомых, то вредоносные файлы и обманные ссылки будут приходить от его имени с привычного вам аккаунта.

Фальшивые сайты. Мошенники создают сайты, внешне похожие на официальные страницы банков, маркетплейсов или государственных органов. Часто они используют адреса с похожими символами или небольшими изменениями, например bunk вместо bank, из-за чего пользователь может не заметить подмены и вести туда все свои данные.

Как распознать сайты, на которых вас хотят обмануть, мы подробно рассказывали в статье «Чем фишинговые сайты отличаются от настоящих».

0 и О легко спутать, особенно если экран смартфона маленький: так вы можете случайно перейти на фишинговый сайт вместо настоящего

Пиратские ресурсы. Вредоносное ПО часто маскируют под бесплатные игры, фильмы, программы или взломанные версии платных приложений. Вместе с нужным файлом пользователь устанавливает вирус.

Письма с вложениями. На электронную почту приходит письмо якобы от банка, налоговой, службы доставки или работодателя — а во вложении находится опасный файл. Другой вариант — вам предлагают перейти по ссылке, после чего будет скачана вредоносная программа.

Один из примеров подобного фишингового письма на электронную почту

Как мошенники заставляют скачать и запустить вредоносное ПО

Главная цель мошенников — заставить человека действовать быстро и не дать ему времени проверить информацию.

Часто это достигается методами социальной инженерии, когда злоумышленники воздействуют на эмоции: страх, любопытство, жадность и другие. Например, сообщают о блокировке карты, штрафе, налоговой задолженности, выигрыше — причём требуют срочно что-то оплатить, посмотреть, скачать, чтобы избежать последствий или получить бонусы.

Опасные файлы или ссылки могут приходить от людей из списка ваших контактов. Например, вы получаете сообщение от мамы или подруги: «Срочно посмотри этот документ». Вы доверяете отправителю, поэтому открываете файл. Однако на самом деле аккаунт взломали, теперь с него автоматически рассылают письма всем, кто есть в контактах.

Также часто мошенники создают аккаунты, похожие на официальные, — например, на аккаунт вашего банка. Это тоже помогает им преодолеть ваше недоверие.

В Telegram могут приходить сообщения о том, что ваш друг якобы подарил вам доступ к премиум-аккаунту. При переходе по ссылке или нажатии на кнопку вы загрузите вредоносный файл

В каком виде приходят вредоносные файлы

Компьютеры и ноутбуки на Windows. На компьютерах злоумышленники чаще используют:

Мошенники часто маскируют опасное ПО под фотографии, счета, документы, игры или важные программы.

Устройства на macOS. Компьютеры Apple тоже не защищены полностью. Чаще всего злоумышленники используют:

Обычно мошенники убеждают пользователя самостоятельно установить программу и предоставить ей необходимые разрешения.

Телефоны на Android. Самый распространённый вариант — файлы формата APK, так как их легко модифицировать, добавив вредоносный код. При попытке открыть такой файл вы, как правило, увидите предложение установить приложение, отключив встроенную защиту Android.

Человеку интересно посмотреть, он ли на фотографии, но загрузится опасное ПО. При этом смартфон выдаст предупреждение о том, что вы хотите установить приложение из неизвестного источника. Уже поэтому можно понять, что внутри не фото. Источник: телеграм УБК МВД России

Смартфоны на iOS. На iPhone установка вредоносных приложений значительно сложнее благодаря ограничениям iOS: скачать что-либо можно только из официального магазина App Store.Однако полностью исключить риск нельзя. Мошенники часто используют другие схемы, например фишинговые сайты или поддельные страницы входа в Apple ID, присылают сообщения с просьбой подтвердить данные или ввести код из СМС.

Как защититься от вредоносного ПО

Не верьте всем сообщениям. Смотрите на расширение файлов, которые присылают через мессенджеры, СМС или по почте, даже если они отправлены вашими знакомыми или родственниками. Также не переходите сразу по присланной ссылке. Если сообщение прислали с официального аккаунта, например банка, убедитесь, что это не мошенники —проверьте название аккаунта и позвоните в поддержку.

Скачивайте приложения с осторожностью. Особенно не из официальных магазинов Google Play и App Store. Если вы хотите скачать что-то с сайта, убедитесь, что он официальный, а не фишинговый.

Обращайте внимание на то, что требуется для установки приложений. Вот несколько признаков опасного ПО:

  1. Для телефонов на Android — приложение требует отключить защиту, установить  «обновление» или «антивирус», просит доступ к СМС или специальным     возможностям.
  2. Для компьютеров — операционная система предупреждает, что издатель ПО неизвестен, антивирус сообщает об угрозе, программа требует отключить антивирусную защиту.
  3. Для iPhone — появляется предложение установить профиль конфигурации или требование войти в Apple ID через неизвестный сайт.

Не давайте приложениям доступ к лишним данным. Всегда отклоняйте запросы приложений на доступ к данным, не связанным с их работой.

Вредоносное ПО, как правило, не может навредить только из-за того, что вы его скачали. Так, банковские и платёжные сервисы, такие как payme, используют для входа и важных действий дополнительные проверки. Чтобы попробовать обойти их, мошенникам нужен доступ к чувствительной информации, например звонкам и СМС. Если вы его не предоставите, это существенно уменьшит риск потерять деньги.

Обновляйте устройства. Иногда злоумышленники используют уязвимости в системе и получают нужное без вашего участия. Чтобы этого не произошло, вовремя обновляйте ПО гаджетов и не отключайте автоматические уведомления о том, что требуется обновление.

Проверяйте файлы и ссылки. Если вам действительно нужно скачать файл или приложение, а вы сомневаетесь в безопасности ссылки, используйте специальные бесплатные сервисы, например:

  1. VirusTotal  — позволяет проверить подозрительный файл или ссылку сразу несколькими антивирусами. Также показывает репутацию файла и историю его обнаружения различными системами безопасности.
  2. Kaspersky OpenTIP — бесплатный онлайн-сервис, который позволяет проверить файл, ссылку или адрес сайта на известные угрозы без установки антивируса.
Так выглядит результат проверки безопасного файла с помощью VirusTotal

Как понять, что устройство уже заражено

Странные уведомления. Например, вы видите СМС, в том числе с кодами, которые вы не запрашивали, или пуш-уведомления о входе в сервисы, которые вы не пытались открыть. Также могут появляться всплывающие уведомления от неизвестных приложений и рекламные сообщения.

Следы активности злоумышленников. Например, приходят уведомления о списаниях или попытках оплаты, которые вы не совершали. Или вы видите вход в соцсети и ваши аккаунты с других устройств, которыми вы не пользовались.

Изменение работы устройства. Гаджет стал быстрее разряжаться или сильно нагреваться, медленно работать, также могут меняться настройки.

Странное поведение приложений. Например, банковское приложение или Telegram самопроизвольно закрываются, показывают ошибки, требуют повторного входа в аккаунт, не отображают часть уведомлений. Могут появляться новые приложения без вашего участия.

Что делать, если вы скачали или установили вредоносное ПО

Если вы скачали подозрительный файл, установили странное приложение или заметили перечисленные выше признаки, воспользуйтесь нашей инструкцией:

  1. Не открывайте банковские и платёжные приложения. Также не вводите никакие пароли, в том числе в мессенджерах и соцсетях, иначе ваш аккаунт могут украсть, а потом рассылать от вашего имени фишинговые сообщения.
  2. Отключите интернет и включите режим «Полёт» на смартфоне. Это остановит передачу данных злоумышленникам. Смартфоны на Android и компьютеры на Windows можно переключить в безопасный режим — в таком большинство сторонних программ, в том числе вредоносное ПО, временно не работают.
  3. Зайдите в настройки телефона и удалите подозрительные приложения. На компьютере откройте панель управления и просмотрите скачанные программы. Затем включите в настройках сканирование антивирусом: встроенным, например на Android — Google Play Protect, или платным, если у вас такой установлен.
  4. После удаления подозрительных программ и проверки устройства, смените пароли на всех важных аккаунтах, особенно на банковских и в соцсетях. Если вы до этого заходили в онлайн-банк или переживаете, что эти данные могли украсть, обратитесь в поддержку банка: попросите проверить операции и при необходимости заблокировать карты. Особенно если вы обнаружили коды подтверждений для входа в банковское приложение, которые не запрашивали.
  5. Если подозрительный файл не удаляется или признаки заражения не исчезли, придётся действовать радикально. Сбросьте устройство до заводских настроек. Но помните, что в этом случае вместе с вредоносным ПО с него удалится вся информация, включая фото и сообщения. Если не хотите сбрасывать устройство до заводских настроек, можно попробовать сначала обратиться в сервисный центр.