Специалисты по кибербезопасности из Group-IB обнаружили новую многоступенчатую мошенническую схему, получившую название "Кроличья нора". По аналогии с белым кроликом из сказки Льюиса Кэрролла, злоумышленники ведут своих жертв с ресурса на ресурс, похищая персональную информацию, данные банковских карт или деньги.
Эксперты констатируют снижение ущерба от финансового фишинга, однако мошенничество с использованием приемов социальной инженерии вышло на первое место в России по степени распространения угрозы. Наряду с телефонными аферами, интернет-мошенники весь прошлый и нынешний годы пользовались схемой, использующей фейковые страницы брендов и знаменитостей.
Условно всю мошенническую схему специалисты Group-IB разделили на две большие части: этап на котором происходит привлечение трафика и непосредственно атака, кража денег или данных банковских карт.
На начальном этапе мошенники в качестве приманки используют фейковые аккаунты "звезд" шоу-бизнеса, блогеров или телеведущих или иногда известных брендов. От их имени объявляются конкурсы, акции или опросы с солидным призовым фондом и дорогими подарками — смартфонами, наушниками, билетами и т. д. Среди селебрити, чей бренд чаще других используют мошенники, эксперты Group-IB отмечают Ольгу Бузову, Юрия Дудя, Ивана Урганта, Басту, Тимати, Анастасию Ивлееву, Михаила Галустяна, Андрея Малахова и др.
Баннеры или контекстная реклама с изображением звезд в соцсетях таргетирована под интересы конкретного пользователя, а для перехода используется персональная мошенническая ссылка, которая генерируется под конкретного клиента исходя из его местоположения, IP-адреса, модели устройства, user-агента. Поскольку эта персональная ссылка индивидуальна и работает только один раз только у конкретного пользователя, это также затрудняет детектирование начального этапа схемы.
После перехода по ссылке на ресурс-опросник жертву просят ответить на несложные вопросы и сделать репост в соцсетях или поделиться в мессенджерах с друзьями. Таким образом, злоумышленники обеспечивают вирусное распространение схемы и нагоняют трафик на свои мошеннические сайты.
Параллельно у жертвы запрашивают адрес электронной почты, который в будущем может быть использован для рассылки фишинговых писем или заражения вредоносной программой.
После подобных подготовительных действий мошенники переходят к следующему этапу атаки, когда всем жертвам, которые клюнули на наживку, на почту или в личные сообщения в мессенджерах приходят приглашения принять участие в новом грандиозном опросе или викторине с приличным денежным вознаграждением.
Суть мошенничества в том, что в конце опроса пользователям нужно перечислить некоторую сумму, чтобы оплатить "пошлину" ,"налог" или совершить тестовый платеж. Естественно, никакого вознаграждения жертва не получает, зато теряет свои деньги и персональные данные.
Например, на фейковых опросах от лица крупного российского ритейлера (посещаемость 6500 посетителей в сутки) пользователей обманом заставляли оставить на поддельном сайте персональные данные, электронную почту, данные банковской карты или логины-пароли от "учеток" личного кабинета. Целью мошенников была кража денег (среднее списание — 50 тысяч руб.), баллов или персональной информации. Сама ссылка работала только один раз и только у одного конкретного пользователя — как следствие, подобный ресурс очень сложно обнаружить и нейтрализовать.
Эксперты отмечают, что от новой мошеннической схемы страдают не только частные лица: репутационный ущерб несут крупные бренды, а также селебрити — "звезды" шоу-бизнеса, блогеры и телеведущие, чьи имена и изображения используют мошенники.
