РУССКИЙ
РУССКИЙ
ENGLISH
11.02.2019

Google в помощь

Как интернет-мошенники используют почтовые сервисы?
Полиция заинтересовалась мошеннической схемой с использованием платной рекламы в Google, сообщил сегодня Ъ. Подобные способы развода с завидной регулярностью появляются в сети от имени крупных банков, страховых компаний, популярных торговых сетей и онлайн-магазинов. Специалисты Group-IB давно предупреждали: для вывода в топ мошеннических сайтов, аккаунтов или групп в соцсетях злоумышленники используют те же каналы продвижения, что и легальные рекламодатели: рассылку в мессенджерах, баннерные показы, поисковую оптимизацию и и социальные сети. Google для них - очень удобный инструмент. А они для Google такие же рекламодатели, как и все остальные. Однако есть нюанс.
В разгар новогодних праздников многие россияне получили рекламную рассылку якобы от имени финансовой организации — объявление было создано при помощи легального рекламного сервиса Google Ads (ранее - Google AdWords). Заход, как обычно, с приятных обещаний, что под Новый год вполне ожидаемо и не вызывает подозрений. Получателю сообщали, что его адрес электронной почты был стал победителем в акции — приз составил более 70 000 рублей.

Сам рекламный баннер вел на сайт, который был сделан с помощью сервиса sites.google.com. Здесь посетителю предлагали за 5 минут получить круглую сумму — от 70 000 рублей от крупных "спонсоров" акции. Для этого надо было указать имя, ответить на несколько подобранных "только для вас" вопросов. По итогам заполнения анкеты про любимый газированный напиток или марку автомобиля, сайт мог насчитать вам и значительно большую сумму. Мы прошли его сами и «заслужили» порядка 132 000 рублей. Кто же от такого откажется?
Далее, для того, чтобы получить деньги, надо было выполнить некий "закрепительный платеж" — порядка 150 рублей. Для оплаты необходимо ввести данные банковской карты: номер, срок действия и СVV-код. Таким образом, если ничего не подозревающий пользователь дойдет до конца опроса, он не только отправляют деньги злоумышленникам, но и сообщает им данные своей карты. И это фиаско.

Давайте разберемся, как работает мошенническая схема на другом весьма показательном примере. Специалисты Group-IB зафиксировали эту рассылку летом 2018 года — она была нацелена на пользователей России, Украины, Казахстана, Белоруссии, Азербайджана, Армении, Киргизии, Таджикистана, Узбекистана, Грузии и других стран СНГ.
Больше Ad-да: разбор полетов
В один прекрасный день пользователь находил в своей почте письмо, напоминающее рассылку якобы от имени Google:
Лишь самые внимательные, заметят, что сообщение не похоже на стандартные уведомления от Google: разнокалиберные шрифты и «какофония» цветов.

Цвет и размер выбраны не случайно: злоумышленники используют такой подход для возбуждения эмоций у потенциальной жертвы. К сожалению, многие еще верят в подарки, конкурсы и бесплатный сыр.

Наша первая гипотеза была о возможной подделке отправителя письма. Злоумышленники часто пользуются уязвимостями в почтовых протоколах и без особых трудностей меняют отправителя письма на адреса известных компаний или персон.

Мы проверили технические заголовки письма: по ним можно определить, было ли подделано письмо:
В технических заголовках мы не увидели признаков подделки письма, более того здесь присутствует цифровая подпись компании Google, а также пройдены методы защиты от подделки сообщений: DKIM, SPF.
В теме письма не было никакой информации об акции и призе, что навело нас на мысли, что письмо не является подделанным и, действительно, отправлено сервисом Google Ads. Подобного рода уведомления об аккаунте Google Рекламы описаны в документации Google.

Таким образом, злоумышленники сами и вполне легально предоставляют потенциальным жертвам доступ к аккаунту Google Рекламы, после чего жертвам приходит сообщение о приглашении получать уведомления. В уведомлении содержится собственно сама реклама, а в ней ссылки на сторонние мошеннические ресурсы.
У нас также отображается уровень доступа, в котором видно, что жертва получает только уведомления по электронной почте. Также у пользователя есть право принять приглашение.
Конечно, злоумышленники предусмотрели, что если жертва окажется не простым пользователем, то сможет, действительно, получить доступ к аккаунту Google Реклама, поэтому они сразу аннулируют приглашение. Все внутренние ссылки в уведомлении, естественно, ведут на сервисы Google. Однако ссылка, содержащаяся в самой рекламе, впоследствии перенаправляет на сайт злоумышленников.

Когда жертва переходит по ссылке, чтобы получить приз, открывается сайт cryptogenesis[.]work, на котором располагаются подробности акции, а также имеется возможность забрать обещанный приз.

Жертва может проверить сумму выигрыша, предварительно ответив на ряд вопросов. Для убедительности ниже располагаются восторженные комментарии пользователей, якобы получивших приз, которые не меняются и всегда одинаковы.
Жертва может проверить сумму выигрыша, предварительно ответив на ряд вопросов. Для убедительности ниже располагаются восторженные комментарии пользователей, якобы получивших приз, которые не меняются и всегда одинаковы.
После получения ответов на вопрос, жертве демонстрируют сообщение от «консультанта», в котором говорится о выплате приза на банковский счет или карту.
Далее жертве очень подробнее рассказывают об «акции», притупляя бдительность.
И вот, наконец, пользователю объявляют сумму выигрыша — она всегда одинаковая – 2628 евро.
Чтобы получить деньги, жертве необходимо только оплатить стоимость конвертации валюты, которая составляет 162 рубля для пользователей из России.

В HTML коде страницы можно увидеть, что сумма выигрыша фиксированная. Никаких сценариев на языке JavaScript, изменяющих данный параметр, обнаружено не было.

Также из анализа кода страницы видно, что злоумышленники пытались предусмотреть конвертацию в национальную валюту разных стран: Украина, Казахстан, Россия.
Для совершения оплаты конвертации валюты, жертву перенаправляли на сайт fasclicks[.]com, где необходимо было ввести данные платежных карт или сервисов электронных денег.
Данный сайт с виду похож на легитимный платежный сервис, но на самом деле это не так. В результате этой мошеннической схемы злоумышленники получают конфиденциальные данные пользователей и воруют деньги с банковских карт и со счетов электронных денег.
Откуда "ноги" растут

В ходе расследования были обнаружены следующие доменные имена весьма подозрительных сайтов (большинство из них уже успешно были заблокированы):

  • happymail18[.]win
  • emai1ove[.]win
  • rolmailore[.]win
  • 365malorie[.]win
  • 7mailoffis[.]win
  • xmailove[.]win
  • mailonyx[.]win
  • mailofy[.]win
  • duomailo[.]win
  • zoloto-email[.]ru
  • emailw1n[.]com
  • wash-email[.]ru
  • akciz-email[.]ru
  • www.storepay[.]tech
  • moi-email[.]com
  • gold-email[.]me
  • email-pobeda[.]ru
  • pobeditel-email[.]com
  • email-mezdunarodni[.]com
  • emails-happy[.]com
  • priziemail[.]com
  • mailw1n[.]su
  • email-hitos[.]com
  • cryptogenesis[.]work
  • prizovoy[.]email
  • prizovoy-email[.]com
  • prizovoy-email[.]today
  • prizovoy-email[.]info
  • mailprizy[.]ru
  • luckyemail[.]gq
  • happy-win[.]com
  • luckyemail[.]ml
  • email-priz[.]com

Примечательно, что доменная зона .win предназначена в том числе для конкурсов и лотерей. А доменное имя .email идентифицирует веб-сайты, предоставляющие услуги электронной почты.

Email-адреса, с которых осуществлялась мошенническая рассылка:

exas.r2.lessma@gmail[.]com
skeladinna1985@gmail[.]com

Очевидно, что адреса распространения мошеннической рассылки используют почтовый сервис Google и имеют аккаунт на Google Ads.

Email-адреса, которые указывались в качестве технической поддержки сайтов:

Было установлено, что email-адрес prizovoy-email.help@mail[.]ruзарегистрирован на имя Николая Ж...ва(07.06.1989), а email-адрес cryptogenesis.help@mail[.]ru на имя Олега Т...на(05.08.1985). Не исключено, что данные, вероятнее всего, фейковые, как это часто бывает в подобных кейсах.

Доменные имена платежных сервисов:
  • hippclicks[.]info
  • hippclicks[.]com
  • hippclicks[.]net
  • ridclicks[.]com
  • settclicks[.]net
  • kassa[.]click
  • fasclicks[.]com

При заполнении базовых контактных данных(имя, телефон) идёт переадресация и формирования платежа на simplepay[.]pro

Злоумышленники предусмотрели конвертацию в национальные валюты разных стран.
Курс доллара по отношению к национальной валюте фиксированный, сценариев, изменяющих данные параметры, обнаружено не было.

В итоге злоумышленники были нацелены на пользователей следующих стран: Россия, Украина, Казахстан, Белоруссия, Молдавия, Азербайджан, Армения, Киргизия, Таджикистан, Туркмения, Узбекистан, Грузия.

Сайт запоминает сессию пользователей и при повторном переходе в некоторых случаях перенаправляет на страницу Google. Кстати, в 2017 году был случай с использованием сервиса Google Calendar.

Исходя из посещаемости выявленных ресурсов и расчета, что каждый десятый осуществляет перевод необходимых денежных средств в размере 150-200 рублей, ущерб при суммарной посещаемости 33 ресурсов может достигать 17.5 миллионов рублей!
Фишинговая тревога
По данным Group-IB, в 2018 году значительно выросло количество преступлений, совершенных с использованием web-фишинга, фейковых сайтов банков, платежных систем, телеком-операторов, интернет-магазинов и известных брендов. Особую опасность для покупателей представляли ресурсы, созданные злоумышленниками для кражи денег или данных (логинов, паролей, банковских карт) — речь идет о фишинговых сайтах.

В декабре 2018 года, по данным Центра реагирования на инциденты информационной безопасности Group-IB (CERT GIB), было зафиксировано и заблокировано 1 149 финансовых фишинговых ресурсов. Для сравнения: в декабре 2017 года таких ресурсов было всего 705, в августе 2018 года - 1006. Рост заметен и в начале 2019 года: если в первой декаде 2018 года было заблокировано 52 фишинговых ресурса, то в первом декаде 2019 года - 130.

По оценкам Group-IB, количество групп, которые создают фишинговые сайты под российские бренды, за прошлый год выросло с 15 до 26. С помощью web-фишинга злоумышленникам удалось похитить 251 млн. рублей, что на 6% больше по сравнению с показателем прошлого периода. В среднем средняя сумма одного хищения с помощью фишинга составляет около 1 000 руб. с физического лица.
Как защититься от подобного рода мошенничества?
1
В настройках аккаунта Google имеется возможность ограничения рассылки уведомлений. Вот, что говорится на сайте Google по этому поводу:
2
Проверяйте дату создания сайтов, где вы планируете совершить покупку. Для этого используйте бесплатные Whois-сервисы, где по адресу сайта можно узнать дату регистрации, сроки оплаты и информацию о владельце домена.
3
Соблюдайте правила цифровой гигиены. Не кликайте подозрительные ссылки. Не оставляйте свои персональные данные на сомнительных ресурсах. Обращайте внимание на доменное имя и интерфейс ресурса. Ставьте последние обновления операционной системы.