Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Опасные скриншоты: криптомошенничество в сервисе Lightshot | Блог Касперского
Киберпреступники выманивают деньги у криптоинвесторов, используя известную особенность сервиса Lightshot.
Мошенничество с криптовалютой, похоже, день ото дня набирает обороты. Совсем недавно мы рассказывали, как мошенники обманывали пользователей Discord, предлагая им несуществующие монеты на фальшивых биржах, освещая псевдовыигрыши на фейковых новостных сайтах и имитируя вертолетные деньги. И вот нам попалась новая схема, причем весьма оригинальная: злоумышленники используют публичный сервис для обмена скриншотами Lightshot, чтобы выманивать средства у излишне любопытных криптоинвесторов.
Удобно — не значит безопасно
Сервис Lightshot служит для создания, обработки и быстрой передачи скриншотов. Он состоит из приложения для платформ Windows, macOS и Ubuntu и облачного портала prnt.sc. Пользователей привлекает в нем возможность быстро поделиться снимками экрана: изображение можно одним кликом или горячими клавишами отправить в облако, где оно будет опубликовано по уникальному адресу, который остается скопировать и отправить в любом мессенджере или по электронной почте.
В Lightshot можно зарегистрировать аккаунт, чтобы хранить историю своих загрузок. Однако по большому счету аккаунт для работы с сервисом не нужен: увидеть опубликованный скриншот может кто угодно без всякой аутентификации. Это быстро и удобно, но не очень безопасно, если речь идет об обмене хоть сколько-нибудь конфиденциальной информацией.
Более того, человеку даже не обязательно знать точную ссылку на скриншот, чтобы его увидеть: адреса формируются последовательно, так что если, к примеру, заменить в одном из них символ на следующий по порядку, то откроется другой снимок. Этот процесс даже можно автоматизировать: простой скрипт для перебора адресов и скачивания контента пишется буквально за пять минут.
Такая открытость — не баг, а вполне легитимное свойство сервиса. Его разработчики честно предупреждают: все загруженные изображения по умолчанию считаются публичными. Однако судя по тому, что утечки ценной информации через Lightshot регулярно попадают в новости, далеко не все внимательно читают пользовательское соглашение.
Как слить данные в Lightshot: вредные советы
«Подумаешь, какие-то там скриншоты попадут в общий доступ — кому вообще интересны мои рекорды в играх или шуточки из переписки с коллегами?» — скажете вы. Не торопитесь с выводами. Вот как минимум три сценария, по которым может себя задоксить любой пользователь Lightshot.
Допустим, сотрудник делает снимок интерфейса, чтобы ему помогли настроить рабочую программу. И все бы ничего, но под окном приложения оказывается открыта почта или документ с конфиденциальными сведениями. Или, например, человек решает поделиться с другом, которому доверяет как себе, потрясающе глупым письмом своего начальника или клиента, чтобы вместе посмеяться. Или некто решает похвастаться интимной перепиской, забыв замазать имена и адреса участников.
Если герои этих историй — как и многих им подобных — пользуются Lightshot, их могут поджидать серьезные проблемы. Интернет-хулиганы охотятся за откровенными фото ради развлечения, тролли вполне могут использовать свои находки для травли, а шантажисты — потребовать выкуп, угрожая показать переписку тому самому начальнику или второй половинке.
Впрочем, для тех, кто держит ценные данные вдали от чужих глаз и всегда проверяет, не попало ли на скриншот лишнее, зато не прочь посмотреть на чужие фейлы и секреты, на сервисе тоже найдутся сюрпризы.
Ловушка для умников
Схема мошенников по-своему изящна. Преступники размещают на портале Lightshot скриншоты с данными якобы для доступа к криптокошельку. Легенды разнятся от случая к случаю. Иногда «участники переписки» якобы намеренно делятся учеткой с собеседником: мы встречали снимки, замаскированные под просьбу помочь с криптокошельком или предсмертные записки.
Иногда «данные для входа» попадают в сервис как будто случайно, по невнимательности, — например, мы видели скриншоты, оформленные как письма для восстановления пароля от криптокошелька.
Если в погоне за легкой наживой пользователь переходит по адресу, указанному на скриншоте, его встречает сайт, выдающий себя за криптобиржу. После ввода учетных данных он попадает в аккаунт, где якобы лежит внушительная сумма в криптовалюте — скажем, 0,8 BTC (около 3,5 миллиона рублей на момент написания). Мошенники рассчитывают, что на этом этапе человек поддастся соблазну и попробует вывести чужие средства на свой счет.
В этом случае биржа запрашивает «комиссию» — сущие копейки по сравнению с полной суммой. Если оплатить комиссию, то… ничего не происходит, разве что эти «копейки» перетекают в карман мошенников. Копейки, конечно, относительные: речь идет о комиссии порядка 0,001–0,0015 BTC, что по нынешнему курсу составляет примерно 4–6 тысяч рублей.
Судя по всему, схема неплохо работает: на момент написания поста в кошельке, куда поступают «комиссии», было суммарно переведено около 0,1 BTC — примерно 450 тысяч рублей.
Как не слить данные и сохранить деньги
Удобство совсем не значит безопасность или приватность, часто даже наоборот. И Lightshot — яркий тому пример. Вот несколько советов по безопасной работе со скриншотами:
- Перед установкой Lightshot подумайте, действительно ли вы хотите для пересылки скриншотов публиковать их в общем доступе.
- Если все же решите использовать сервис, помните, что конфиденциальная информация — банковские данные, пароли к онлайн-ресурсам и прочие сведения лично о вас — желанная добыча для преступников. Не пересылайте ее через Lightshot, пользуйтесь защищенными каналами, а еще лучше — не делитесь ей вовсе.
- Если вы уже пользовались Lightshot и теперь вспомнили, что отправляли туда чувствительную информацию, поищите в переписке адрес страницы со скриншотом, зайдите на нее и нажмите «Пожаловаться» или отправьте запрос на адрес support@skillbrains.com.
- Помните, что существуют штатные средства для создания скриншотов: «Ножницы» в Windows и сочетания клавиш Cmd+Shift+3 или Cmd+Shift+4 на macOS. Возможно, для ваших целей их будет достаточно.
Вряд ли вы захотите выводить чужую криптовалюту на свой счет, но даже из любопытства заходить в чужие аккаунты мы не рекомендуем. А чтобы случайно не подарить преступникам логин и пароль от своего, введя их на фишинговом сайте, используйте надежное защитное решение, которое предупредит вас, если вдруг зайдете на подозрительную страницу.
Источник: Лаборатория Касперского
09.04.2021