Весь даркнет работает на коронавирус — об этом «Известиям» рассказали исследователь скрытой сети Антон Ставер, а также анонимные рассыльщики и подтвердили специалисты компаний, которые занимаются информационной безопасностью. Чаще всего такой спам направлен на аудиторию тех стран, где число заболевших особенно велико, — это Италия, Испания и США. Некоторые участники подпольных форумов по продаже данных переквалифицировались и занялись условно легальным бизнесом. Сейчас они торгуют медицинскими масками, антисептиками, термометрами и даже туалетной бумагой.
Перестройка в даркнете
Всего два месяца назад теневой рынок спам-рассылок жил обычной жизнью — на нем присутствовали совершенно разные темы. Однако сейчас всё поглотили сообщения о коронавирусе. Спамеры размещают такие рассылки в мессенжерах, соцсетях, разных интернет-чатах и отправляют с помощью e-mail.
— Заказчиков такого спама можно условно разделить на три группы: это «коммерсанты» (отправляют открытую и скрытую рекламу, продают товары), «скаммеры» (от англ. Scam — мошенничество, — рассылают фишинг и вирусы) и «проповедники», — рассказал «Известиям» независимый исследователь даркнета Антон Ставер. — Самые интересные изменения произошли с «проповедниками». Из их рядов исчезли «антипрививочники» (агитируют не делать прививки) и «плоскоземельщики» (они верят, что Земля плоская), хотя до этого и те и другие существовали годами. Теперь их место заняли люди, которые пропагандируют определенные методы профилактики коронавируса, или проводят мысль, что пандемию организовало «мировое правительство».
По словам Антона Ставера, «проповедники» обычно не хотят славы или денег. Это видно по структуре и тексту рассылок. Большинство из них не монетизируются. Они именно проповедуют, то есть хотят распространить свою мысль на большую аудиторию.
Как объяснил «Известиям» источник из среды рассыльщиков в даркнете, люди, которые делают заказы на спам-рассылки, не обязательно богаты.
— Иногда мы видим, что средства переводят нам буквально в тот же день, когда пришла зарплата, — отметил он. — Это не большие деньги, от тысячи рублей до 10 или 20 тысяч. И нам требуется только предоставить скриншот о том, что рассылка выполнена.
За два месяца, в течение которых теневой спам претерпел тематическую перестройку, рассыльщикам поступали разные задания. Одно из них, например, касалось объявления о вирусной вечеринке, которая организуется с целью приобретения иммунитета от COVID-19. Однако, по словам Антона Ставера, спамеры отказались брать деньги за распространение этой информации.
— Даже в даркнете есть свои ограничения, — сообщил он «Известиям». — Тема с вирусными вечеринками потенциально может стать очень громкой, так как рассылки могут перейти в бесконтрольное распространение. Тогда будут задействованы большие силы для поиска организаторов и рассыльщики рискуют попасть под удар. Они это понимают.
Простая схема
Теневые спамеры не боятся пиариться в Open Web. То есть найти того, кто окажет поддержку в распространении информации, можно даже с помощью поисковика Google и Яндекс. Обычное объявление с темой: «Рассылки через вотсап-вайбер» уходит своей невидимой частью в даркнет.
После того как заказчик списывается с рассыльщиком, оговариваются текст и оплата. Если текст самому заказчику написать трудно, из теневой команды для этого выделяется специальный человек. Он помогает обойти так называемые стоп-слова, которые служат маркером для блокировки системами «Антиспам». Структура текста также имеет значение.
Дальше заказчик оплачивает рассылку. Сейчас для этого чаще используют QIWI или «Яндекс.Кошелек». Биткоин, по словам Антона Ставера, в подобных сделках уже практически не применяется.
Для теневых схем, где нужны переходы по ссылкам (а тогда или загружается вирус, или пользователь попадает на фишинговый сайт и т.д.) обычно заказывается пакет от 100 тыс. до 1 млн сообщений, отметил Антон Ставер.
— Если разослать более миллиона сообщений, возрастет риск «запалить» всю схему, так как высока вероятность того, что о ней начнут говорить в СМИ. Если меньше 100 тыс., то через спам-фильтры пройдет только тысяча, а этого мало, — объяснил эксперт.
Спам-рассылки «проповедников» обычно зависят от количества денег заказчика.
Спам уполномочен заявить
Специалисты компании InfoWatch подтвердили «Известиям», что тема распространения COVID-19 стала не просто ключевой, а тотально доминирующей в информационном пространстве 2020 года.
— Всплеск спама по теме коронавируса произошел еще в феврале и продолжает нарастать, — рассказал руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. — Многие спамеры используют рассылки для сбора персональных данных якобы под эгидой известных организаций (UNICEF, ВОЗ, различные благотворительные фонды и т.д). Также мошенники охотно эксплуатируют рост заболеваемости коронавирусом для сбора пожертвований.
По словам эксперта, COVID-19 — это благодатная почва для мошенников, предлагающих якобы чудодейственные лекарства от заражения коронавирусом. Чаще подобные рассылки направлены на те страны, где число заболевших особенно велико: Италию, Испанию и США.
— Что интересно, некоторые участники подпольных форумов по продаже данных в период распространения коронавируса перешли на условно легальный бизнес, — сообщил Андрей Арсентьев. — Они занялись продажей медицинских масок, антисептиков, термометров и даже туалетной бумаги.
Впрочем, по данным компаний «СёрчИнформ» и «Лаборатория Касперского», спам-рассылки на тему коронавируса не являются абсолютно доминирующими на рынке. Однако в целом атак становится больше, подчеркнул начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд.
— Мошенники стремятся использовать благоприятную для себя ситуацию и не упускают шанс. Интерес к теме коронавируса, неизвестность, в которой оказались люди, создают предпосылки к более успешному восприятию уловок хакеров, эксплуатирующих актуальные проблемы «на злобу дня». Например, если в письме указана тема: «Возврат налогов в связи с эпидемией» — конечно, у письма большие шансы быть открытым, — уверен эксперт.
По данным «Лаборатории Касперского», доля спама по коронавирусу пока не превышает 6% в день, но и это достаточно большой объем.
— Мы наблюдали рассылки, в которых предлагались различные способы заработка, но в заголовке всё равно фигурировал коронавирус, — поделилась своими наблюдениями старший контент-аналитик «Лаборатории Касперского» Татьяна Щербакова.
Поэтому специалисты «Лаборатории Касперского» призывают пользователей быть особенно внимательными: скептически относиться ко всей информации, которая появляется на тему пандемии, и проверять ее в надежных источниках. А также не переходить по ссылкам из подозрительных писем или сообщений в мессенджерах и соцсетях и установить защитное решение с актуальными базами фишинговых сайтов и спама.