Мошенничество в онлайн-образовании (фрод, fraud) глазами Cisco Talos

Мошенничество в онлайн-образовании глазами Cisco Talos

Мошенничество в онлайн-образовании глазами Cisco Talos

Специалисты Cisco Talos обнаружили, что с третьей недели августа 2020 года почти в четыре раза выросло количество поисковых запросов к мошенническим образовательным доменам — по сравнению с данными за тот же период 2019 года. Чем больше школьников переходят на дистанционное обучение, тем большую популярность приобретают такие сайты. Исследуем инструменты кибермошенников и способы противодействия.

 

 

 

 

 

 

  1. Введение
  2. Основные результаты нового исследования Cisco Talos
  3. Кто сделает домашнюю работу за вас
  4. Чем обернулся заказ авторского текста в EssayPro
  5. Какие ещё уловки используют мошенники
  6. Как работают фальшивые сайты и вредоносные домены
  7. Выводы

Введение

С началом нового учебного года многие учащиеся вернулись к дистанционному или смешанному обучению, что вновь открыло злоумышленникам ряд векторов для атак. Мошенничество в сфере образования подвергает риску целые домохозяйства. Новое исследование Cisco Talos, крупной международной группы, занимающейся изучением и анализом угроз, показало четырёхкратный по сравнению с 2019 г. рост числа поисковых запросов к мошенническим образовательным доменам начиная с третьей недели августа. Все результаты исследования изложены в блоге одного из ведущих научных сотрудников, написавшего статью «А домашнюю работу сделает интернет» (The Internet did my homework).

Основные результаты нового исследования Cisco Talos

  • Число поисковых запросов к мошенническим образовательным доменам за третью неделю августа выросло вчетверо по сравнению с тем же периодом 2019 г.
  • При некотором отличии от того, с чем постоянно имеет дело Talos (фишинга, вредоносной рекламы, банковского мошенничества и т. д.), образовательное мошенничество имеет поразительное сходство с другими видами обмана и манипуляций, особенно — с социальной инженерией.
  • Посещая фальшивый домен, никогда нельзя быть уверенным в результате. Может быть, пользователи получат то, за что заплатили, а может выйти и так, что злоумышленники воспользуются просьбой о помощи в своих интересах и пользователь получит вредоносный контент.
  • В лучшем случае учащиеся обманывают сами себя, не получая знаний по тому или иному предмету, в худшем — подвергаются риску заразить компьютер или мобильное устройство вредоносными программами. Последнее может затронуть не только самого учащегося, но и всех, кто пользуется той же локальной сетью, включая родителей, работающих удалённо из-за пандемии.
  • Чтобы изнутри познакомиться с тем, как работают мошенники, специалисты Cisco Talos заказали авторский текст на тему утечки данных. Несмотря на то что был заказан текст уровня кандидата наук, присланное исполнителями вряд ли подошло бы даже для средней школы.

После возвращения учащихся с каникул и возобновления очного / дистанционного обучения специалисты Cisco Talos обнаружили прирост числа DNS-запросов, поступающих на шлюз защитного сервиса Cisco Umbrella, которые разрешаются в домены, относимые к категории «образовательного мошенничества». Данные на начало нового учебного года, опубликованные порталом Pew Research, соответствуют отмеченному нами росту количества запросов к этим вредоносным доменам. На следующем графике (рис. 1) показано число обращений к мошенническим образовательным ресурсам. Начиная с третьей недели августа (на этой неделе в большинстве школ США начинается учебный год), можно обнаружить почти четырёхкратное увеличение количества запросов к таким ресурсам по сравнению с данными за тот же период прошлого года. Популярность этих сайтов в 2020 г. растёт тем больше, чем больше школьников переходят на дистанционное обучение.

 

Рисунок 1. DNS-запросы к доменам категории «образовательного мошенничества» в августе 2020 г.

DNS-запросы к доменам категории «образовательного мошенничества» в августе 2020 г.

 

Как при любой гонке вооружений, чем изощрённее становится учебное жульничество, тем интенсивнее развиваются средства противодействия. Когда ученики начинают обмениваться заданиями, сочинениями и ответами на экзаменационные вопросы в режиме «онлайн», на борьбу с этим конкретным злоупотреблением встаёт целая индустрия выявления плагиата. И даже простой факт регистрации доменного имени и запуска веб-сайта может привлечь робота поисковой системы, выявляющей плагиат в интернете. Само собой, мошенники ищут способы обхода и оплачивают разработку нового контента.

На множестве веб-ресурсов ученикам предлагают сделать за них домашнюю работу и даже сдать экзамены онлайн. Поисковый запрос в Google «do my homework» (сделать домашнюю работу) на сегодня выдаёт 270 млн результатов, среди которых буквально сотни различных сайтов предлагают за деньги сделать домашнюю работу и оказать другие аналогичные услуги. Как мы выяснили, не всем сервисам, предлагающим срезать путь к академическим успехам, можно доверять.

Кто сделает домашнюю работу за вас

Кто занимается выполнением домашних заданий за деньги? Насколько это просто и как будет выглядеть результат? Для получения ответов на эти вопросы специалисты Talos обратились на предоставляющий подобные услуги сайт ess******ice.com, который выступает под брендом EssayPro.

У сайта EssayPro есть приложение в магазине Google Play. Отзывы рисуют положительную картину. В настоящий момент у приложения — почти идеальный пятизвёздочный рейтинг и 291 отзыв.

 

Рисунок 2. Приложение EssayPro в Google Play Store

Приложение EssayPro в Google Play Store

 

Однако более внимательный анализ отзывов вызывает подозрения. Так, 4 июня 2020 г. пользователь Аарон Расселл написал: «Просто опубликуйте заказ и выберите подходящего исполнителя. Останется подождать окончания работы и загрузить результат. Это РЕАЛЬНО просто» (You'll just have to submit an order and choose the most suitable writer for it. Wait for him/her to finish and download your paper. It IS that easy!). Позднее, 22 июня, буквально такой же отзыв, вплоть до выделения прописными буквами, оставил пользователь Дэвид Питерс.

 

Рисунок 3. Отзывы о приложении EssayPro в Google Play Store

Отзывы о приложении EssayPro в Google Play Store

 

И это — не единственный случай. 4 июня 2020 г. некто Джейден Снайдер написал: «Получаешь потрясающий результат за вполне приемлемые деньги. Я нашёл лучшего корректора по хорошей цене!» (You'll receive amazing results for a very affordable price. I found the best proofreader for a good price!). 22 июня отзыв с точно таким же текстом разместил пользователь Рональд Хортон.

 

Рисунок 4. Повторяющиеся отзывы о приложении EssayPro в Google Play Store

Повторяющиеся отзывы о приложении EssayPro в Google Play Store

 

Аналогичные отзывы оставляли и многие другие учётные записи, восхищаясь продуктом и качеством услуг, слегка изменяя при этом текст и используя распространённые имена. Большинству разработчиков, без сомнения, известно, что организованные отзывы противоречат правилам магазина Google.

Чем обернулся заказ авторского текста в EssayPro

У ресурса EssayPro есть и свой веб-сайт. Навигация по сайту ess******ice.com проста, как у любой обычной компании. После регистрации учётной записи сайт даёт возможность выбрать тип задания и познакомиться с ценами. Мы заказали четырёхстраничный текст уровня кандидата наук (PhD), что стоило приблизительно 50 долларов США.

 

Рисунок 5. Оформление заказа в EssayPro

Оформление заказа в EssayPro

 

Затем из списка, предоставленного ресурсом, мы выбрали автора. У каждого имелся список рекомендаций и рейтинг на базе оценок от предыдущих клиентов. У большинства авторов рейтинг насчитывал 4–5 звёзд, а количество отзывов у некоторых переваливало за тысячу. С учётом характера комментариев к приложению EssayPro в магазине Google Play это вызывало некоторые подозрения.

 

Рисунок 6. Хвалебное резюме одного из исполнителей в EssayPro

Хвалебное резюме одного из исполнителей в EssayPro

 

Наконец мы остановились на одном из авторов и сделали следующий заказ: «Кража цифровых данных стала распространённым явлением. Ворованные персональные данные легко найти в интернете, в социальных сетях, на торрент-сайтах и на сервисах Tor. В зависимости от того, как распространяется украденная информация, жертвы информационных краж могут пострадать многократно.

Нужна статья о том, как киберпреступники используют данные, украденные в результате взлома систем. Необходимо привести не менее 4 реальных примеров. Поясните, какие данные являются целью киберпреступников, как и почему они используют эти данные, а также расскажите о новых трендах в получении и использовании скомпрометированных данных в будущем».

Мы заказали текст объёмом 4 страницы со сроком исполнения 11 дней. Дальнейшее общение с автором происходило в мессенджере приложения.

 

Рисунок 7. Переписка в мессенджере: наёмный автор расхваливает себя и ещё не сделанную работу

Переписка в мессенджере: наёмный автор расхваливает себя и ещё не сделанную работу

 

В итоге мы получили готовую работу. Хотя мы заказали текст уровня кандидата наук, то, что нам прислали, вряд ли приняли бы даже в средней школе. Статья изобиловала ошибками, которые начинались уже в заголовке. Большинство статистических данных и ссылок устарели. Хочется предостеречь учащихся, пытающихся срезать академический путь: имейте в виду, что такие заказные домашние работы далеко не всегда получают желаемый высший балл.

Какие ещё уловки используют мошенники

Не все исследованные нами мошеннические веб-сайты в сфере образования занимались поточным производством статей. Рекламодатели и киберпреступники понимают объёмы рынка академического трафика и стремятся перехватить просмотры, используя схожие с настоящими имена сайтов или изобретая заманчивые — вроде itexam***.*** (название, обещающее успешную сдачу экзамена по информационным технологиям. — Прим. ред.). Переход по такой ссылке в результате приведёт пользователя на вредоносную страницу — это известная техника вредоносной рекламы, уже исследованная специалистами Talos. В зависимости от браузера или операционной системы пользователь может получить поддельный установщик популярной программы, опасный сценарий JavaScript с шелл-кодом или любой другой вредоносный объект. Так, однажды браузер Brave на Mac перенаправил нас на хранилище Amazon AWS с фальшивым Flash Player (рис. 8).

 

Рисунок 8. Brave на Mac перенаправляет на хранилище Amazon AWS с фальшивым Flash Player

Brave на Mac перенаправляет на хранилище Amazon AWS с фальшивым Flash Player

 

Другие сочетания браузеров и ОС также зачастую ведут к вредоносным программам, как показано на следующей иллюстрации.

 

Рисунок 9. Нежелательная нагрузка в других сочетаниях браузеров и ОС

Нежелательная нагрузка в других сочетаниях браузеров и ОС

 

Инфраструктура itexam***.*** не остаётся неизменной. Только за последний год для сервера доменных имён использовались минимум три различных сервиса, а имя разрешалось в восемь IP-адресов у четырёх различных провайдеров хостинга. Такая переменная инфраструктура в качестве точки входа в сеть переадресации используется преступниками в качестве эффективного средства для сокрытия своих действий.

Как работают фальшивые сайты и вредоносные домены

Ещё одним исследованным нами фальшивым сайтом стал клон оригинального ресурса gceguide.com, позиционирующего себя как «основной ресурс для международных кембриджских экзаменов» (Cambridge Assessment International Education). На обоих сайтах размещены ссылки на сотни научных статей в формате PDF. Доменное имя клона зарегистрировано в 2016 г., через два года после оригинального сайта в домене .com. О сходстве сайтов можно судить по следующим иллюстрациям.

 

Рисунок 10. Оригинальный сайт gceguide.com

Оригинальный сайт gceguide.com

 

Рисунок 11. Сайт-приманка

Сайт-приманка

 

Оба домена также имеют практически идентичные страницы в фейсбуке (см. ниже).

 

Рисунок 12. Оригинальная страница gceguide.com в фейсбуке

Оригинальная страница gceguide.com в фейсбуке

 

Рисунок 13. Страница-приманка в фейсбуке

Страница-приманка в фейсбуке

 

Поисковый запрос в Google, содержащий доменное имя фальшивого ресурса, выдаёт ссылки с таких известных доменов, как virginia.gov, ucsf.edu и harvard.edu (см. ниже). На странице результатов Google даже есть ссылка на исключение результатов вследствие нарушения авторских прав.

 

Рисунок 14. Ссылка на исключённые вследствие нарушения авторских прав сайты, связанные с фальшивым доменом

Ссылка на исключённые вследствие нарушения авторских прав сайты, связанные с фальшивым доменом

 

При ближайшем рассмотрении поддельного сайта обнаруживается вредоносное содержание. Анализ, проведённый 7 июня 2020 г., выявил многочисленные антивирусные обращения, свидетельствующие о наличии майнера криптовалюты. В отчёте ThreatGrid приведён код, который указывает на запуск соответствующего JavaScript-сценария. Поиск в интернет-архиве archive.org подтвердил наличие вредоносного майнера криптовалюты Monero (XMR), который располагался на этом сайте как минимум с января 2018 г.

 

Рисунок 15. Поиск в интернет-архиве archive.org подтверждает наличие вредоносного майнера

Поиск в интернет-архиве archive.org подтверждает наличие вредоносного майнера

 

Текущая версия фальшивого сайта делает запросы на такие подозрительные домены, как ueu******rhb.com и shq******unl.com. В настоящее время оба они разрешаются в 127.0.0.1, но по архивным данным ещё в июле 2020 г. они соответствовали IP-адресам 216.21.*.14 и 216.21.*.15. Ресурс Umbrella Investigate выявил по ним богатую коллекцию вредоносных доменов и программ.

 

Рисунок 16. Ресурс Umbrella Investigate выявляет по адресам 216.21.*.14 и 216.21.*.15 богатую коллекцию вредоносных доменов и программ

Ресурс Umbrella Investigate выявляет по адресам 216.21.*.14 и 216.21.*.15 богатую коллекцию вредоносных доменов и программ

 

Учащимся, которые пытаются получить помощь на подобных сайтах, особенно пригодятся сведения о поджидающих там потенциальных угрозах. Впрочем, для обеспечения безопасности в любом случае необходима система защиты оконечных устройств. Кроме того, сейчас, когда многие школьники работают в одной домашней сети вместе со своими родителями, создаются новые риски, отсутствовавшие ранее. В целом домашние сети хуже защищены по сравнению с корпоративными и даже школьными сетями, и это открывает атакующим дополнительные возможности.

Выводы

Пандемия COVID-19 изменила характер школьного обучения. Многие учатся только онлайн, дома. Поэтому не стоит удивляться, что находятся «креативные» подходы к выполнению заданий. В лучшем случае учащиеся обманывают сами себя, не получая знаний по тому или иному предмету, в худшем — подвергаются риску близкого знакомства с вредоносными программами. Последнее может затронуть не только самого учащегося, но и всех, кто пользуется той же локальной сетью, включая родителей, которые из-за пандемии работают дома. Ведь доступ киберпреступника к локальной сети — это его шанс проникнуть в сеть корпоративную, где он может причинить вполне реальный ущерб.

Блокирование мошеннических образовательных доменов с помощью Cisco Umbrella или других механизмов защиты DNS — разумная мера предосторожности. Защита оконечных устройств с помощью AMP и аналогичных систем необходима для того, чтобы избежать заражения при случайном контакте с вредоносной программой. Главное — помнить: никакая технология не может служить панацеей. Ваша задача — стараться донести до пользователей информацию о том, что может произойти при обращении к потенциально опасным веб-сайтам и приложениям.

Авторы:

Джесон Шульц, специалист по угрозам Cisco Talos

Мэтт Валитес, руководитель группы специалистов по угрозам Cisco Talos

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru