Разводы
5K

Сериалы, шаблоны, драйверы: куда хакеры могут встроить вирус

5

Распространенность: интернет
Риск: 💰💰💰💰

Аватар автора

Алексей Малахов 🦣

магистр информационных технологий

Страница автора

Недавно Центробанк в своем телеграм-канале предупредил о набирающей популярность схеме, когда мошенники заражают вирусами шаблоны документов.

Преступники создают копии государственных сайтов или справочно-правовых систем, закупают рекламу и выводят поддельный сайт в топ поисковиков. На сайтах размещают зараженные документы, например шаблоны для отчетов или платежные документы для налоговой.

Когда пользователь скачивает и открывает такой документ, из-за уязвимостей текстового редактора на компьютер устанавливается программа-вирус. Самые прямолинейные вирусы шифруют важные данные на компьютере и требуют выкуп за дешифровку. Более коварные незаметно следят за системой, чтобы в нужный момент подменить реквизиты в банковском переводе. Бухгалтер будет думать, что перевел деньги контрагенту, а на самом деле они уйдут на счет мошенников.

Реальный пример: бухгалтер скачал список документов для проверки контрагента, а получил вирус-шифровальщик
Реальный пример: бухгалтер скачал список документов для проверки контрагента, а получил вирус-шифровальщик

Как защититься от вируса в документе

Специалисты Центрального банка дали советы по защите от подобных схем, а мы их дополнили.

Защитите компьютер. В операционную систему Windows уже встроен антивирус Windows Defender, с типовыми опасными программами он справится. Главное — вовремя устанавливать обновления и не игнорировать предупреждения операционной системы.

Если не доверяете встроенному антивирусу, установите другой. Мы выбрали пять антивирусов, в которых уверены. Но помните: антивирус — это не гарантия защиты.

Защита от нежелательных проникновений есть и в браузерах: Opera, Chrome и Mozilla предупреждают о поддельных сайтах и автоматических загрузках.

Ограничьте установку программ. В Windows есть собственный магазин приложений, в котором все файлы проходят проверку — в том числе на вирусы. Можно запретить системе устанавливать какие-либо приложения, не прошедшие эту проверку.

Откройте меню «Параметры», перейдите в раздел «Приложения» и в самом верхнем списке под названием «Выбор расположения для получения приложений» выберите пункт «Только из Microsoft Store». Перезагрузите компьютер.

Если в будущем понадобится установить стороннее приложение, в котором вы уверены, всегда можно отключить этот параметр — и включить его обратно после установки.

Следите за автозагрузкой программ. Вместе с полезными программами при запуске системы могут запускаться и вирусы. О том, как все проверить и настроить, Т⁠—⁠Ж рассказал в отдельной статье.

Проверяйте формат файла. Безопасными считаются файлы с расширениями pdf, docx, xlsx, pptx, jpg, png. Если вы скачиваете документ или картинку, а в конце названия файла какие-то другие буквы — возможно, вам пытаются подсунуть вирус.

Вот несколько примеров. Файлы формата exe и msi — это установщики программ, файлы wsf, bat, cmd и vbs — это скрипты, которые могут заставить компьютер навредить системе, а zip и rar — архивы, которые при распаковке могут установить вирус.

Но и с привычными форматами все не так просто. Обычные doc, xls и ppt могут содержать макровирусы, написанные на Visual Basic for Applications — встроенном в офисные программы языке программирования.

Опасны и документы, содержащие специальные команды — макросы. Расширения таких файлов похожи на расширения обычных офисных документов, но выделяет их буква M на конце: docm, dotm, xlsm, xltm, xlam, pptm, potm, ppam, ppsm.

Проверяйте адресную строку. Часто мошенники меняют пару символов в адресе сайта: вместо consultant.ru получается c0nsultant.ru или consuitant.ru. Расчет на то, что человек не будет приглядываться и не заметит подмены.

Еще чаще подделки размещают на доменах третьего уровня. Работает это так: если между названием сервиса и доменом верхнего уровня есть какие⁠-⁠то символы, кроме точки, — перед вами подделка. Сайт consultant.ru — настоящий, сайт consultant.shablon-doc.ru — мошеннический.

Точки разделяют уровни доменов, отсчет идет справа налево. При вычислении подделки посмотрите на домен второго уровня — там должно быть название сервиса. Если оно левее, например на месте домена третьего уровня, перед вами подделка
Точки разделяют уровни доменов, отсчет идет справа налево. При вычислении подделки посмотрите на домен второго уровня — там должно быть название сервиса. Если оно левее, например на месте домена третьего уровня, перед вами подделка

Где еще легко наткнуться на вирусы

Вирусы заражают компьютеры не только бухгалтеров и юристов. Вот еще несколько популярных мест, где обычного пользователя поджидают хакеры и зараженные файлы.

Магазин расширений для браузеров. Расширения — небольшие программы, которые добавляют браузеру новые функции. Например, блокировку рекламы, поддержку чат-ботов, удобный менеджер закладок и многое другое.

Плагины для браузеров в основном можно найти в официальных интернет-магазинах вроде Chrome Web Store или Firefox Add-ons. Но у модераторов этих площадок нет времени на кропотливое тестирование, иначе создателям аддонов пришлось бы ждать публикации месяцами.

В итоге в официальный магазин может попасть расширение, которое при установке передаст хакерам данные ваших банковских карт или пароли от сайтов. Вот как подстраховаться от такого сценария.

Сайты с бесплатными сериалами. Мошенники маскируют вирусы под файлы с сериалами. Когда человек пытается включить новую серию, вместо нее на компьютере запускается вредоносная программа — и передает все данные с устройства мошенникам.

Под видом очередной серии может скрываться вирус. Вычислить его можно по расширению zip или exe: например, igra-prestolov-8-sezon-4seria.avi.exe
Под видом очередной серии может скрываться вирус. Вычислить его можно по расширению zip или exe: например, igra-prestolov-8-sezon-4seria.avi.exe

Сайты со взломанными программами. Пираты обещают бесплатную Windows или Photoshop, но заплатить придется по-другому. Иногда во взломанные программы встраивают вирусы-майнеры, которые втихаря добывают криптовалюту для хакера. А иногда добавляют трояны — и они пересылают хакерам все данные и пароли, которые вы вводите.

Т⁠—⁠Ж уже писал о вероятных сценариях мошенничества, связанных со скачиванием пиратских версий Windows.

Сайты с драйверами. Драйвер — это специальная программа, которая обеспечивает взаимодействие системы и оборудования: видеокарты, дисковода, монитора и так далее. Операционные системы обычно сами скачивают и устанавливают необходимые драйверы, если подключить что-то к компьютеру.

Но если оборудование старое, редкое или узкоспециализированное, драйверы приходится искать и устанавливать самостоятельно. Этим и пользуются мошенники: они создают сайты с поддельными драйверами для любых мыслимых и немыслимых устройств. Но вместо драйверов, разумеется, скачаются вирусы.

Советуем устанавливать драйверы с официальных сайтов производителей оборудования или воспользоваться специальными программами с архивами: рассказали о них в отдельной статье.

Электронная почта. Системы безопасности почтовых сервисов с каждым годом совершенствуются, и получить вирус по почте становится все сложнее. Поэтому мошенники разработали новую тактику: отправляют ссылки на свои сайты и предлагают скачать зараженный файл самостоятельно.

Предлог для скачивания документа может быть любым. Чаще всего это неоплаченный счет или неподписанный договор
Предлог для скачивания документа может быть любым. Чаще всего это неоплаченный счет или неподписанный договор
Предлог для скачивания документа может быть любым. Чаще всего это неоплаченный счет или неподписанный договор

Что в итоге

Вот главные советы, которые помогут защититься от вирусов:

  1. Регулярно обновляйте систему, браузеры и антивирус.
  2. Ограничьте установку программ не из Microsoft Store и настройте автозагрузку только нужных вам приложений.
  3. Проверяйте формат файла, который скачиваете. Безопасными считаются pdf, docx, xlsx, pptx, jpg, png. Если под видом документа вам предлагают скачать что-то другое — лучше поищите название этого формата в интернете. Возможно, это скрипт, архив или установщик программ.
  4. Перепроверяйте адресную строку: мошенники могут добавить в адрес лишний символ. Обращайте внимание на домен второго уровня: сайт consultant.ru — настоящий, сайт consultant.shablon-doc.ru — мошеннический.
  5. Прочитайте нашу статью про фишинг, чтобы защититься от других типов хакерских атак.

Если сталкивались с мошенниками, поделитесь своей историей с другими читателями

Алексей Малахов 🦣А ваш компьютер когда-нибудь заражали вирусом? Расскажите, что произошло и как вы справились:
  • Марина"Чернобыль" - 26 апреля 1999. "Справились" покупкой нового компьютера (вроде бы нужно было материнскую плату менять, но в тот момент денег не было, а года через полтора восстанавливать уже стало бессмысленно).0
  • Алексей ВладимировичНет. Всегда осторожен. СисАдмин в отставке.1
  • Алексей ВладимировичМарина, можно было перепрошить Биос.1
  • Ale KАлексей, ключевое слово - можно0
  • Panzer KaiserAle, ключевое слово нужно. И делалось это легко и просто. Как и сейчас, впрочем.0