20 февраля 2020

Премия «Лайк года 2020» награждает фишингом: новая волна масштабной схемы мошенничества

Rambler Group и компания Group-IB, специализирующаяся на предотвращении кибератак, выявили многоступенчатую мошенническую схему под видом фиктивной Ежесезонной премии «Лайк года 2020». В рамках масштабной фишинговой атаки пользователям предлагалось выиграть крупный денежный приз за случайно выбранный лайк, поставленный ими в соцсетях. В общей сложности было обнаружено более 1000 связанных доменов, использовавшихся в атаке.

Для привлечения желающих получить премию мошенники взломали почтовые серверы одного из операторов фискальных данных (ОФД) и массово рассылали пользователям Рунета сообщения от имени «команды Rambler». После обращений пользователей в Rambler Group, компания провела свое расследование и привлекла Group-IB к реагированию на инцидент.

Центр реагирования на киберинциденты CERT-GIB выявил, что мошенники использовали несколько векторов атаки для заманивания пользователей к участию в премии «Лайк года 2020». Помимо рассылки почтовых сообщений они также доставляли фишинговые сообщения через другие каналы, в частности, направляли оповещения о денежном вознаграждении в Google-календарь. Используя распространенные методы социальной инженерии, основанные на желании выигрыша, мошенники в течение длительного времени выманивали данные банковских карт пользователей. Тема посланий так или иначе была связана с денежными выплатами. Получателей поздравляли с победой в конкурсе и с денежным призом, который составлял от 100$ до 2 000$.

В результате проведенных мероприятий рассылка под видом Rambler Group была остановлена. Со своей стороны, Rambler Group связалась с публичными почтовыми сервисами, предупредила их об атаке и попросила превентивно перемещать мошеннические письма в «Спам». В рамках дальнейшей работы специалистам Group-IB удалось заблокировать большинство связанных с атакой сайтов, на которые осуществлялись переходы из полученных писем и приглашений. В общей сложности схема насчитывает более 1000 доменов. Работа по блокировкам продолжается.

Мы обращаем особое внимание пользователей на подобные фишинговые атаки. Чаще всего мошенники прикрываются известными брендами и компаниями, чтобы втереться в доверие получателей, собрать их личные данные и использовать их в корыстных целях. Получив подозрительное письмо, стоит к нему отнестись с осторожностью — не переходить по указанным ссылкам. Поэтому мы советуем в таком случае связаться с представителями бренда и уточнить, действительно ли была такая рассылка.

Илья Зуев

Илья Зуев

Директор по кибербезопасности Rambler Group

Дизлайк года: как шла атака

Мы тестировали схему „Лайк года“ на десктопе и мобильных платформах — она везде качественно сверстана и на всех этапах реализации призвана вызвать доверие у пользователя. Этим объясняется ее длительный период активности. Помимо „лайка“, графовый анализ выявляет порядка 6 различных сценариев мошеннических кампаний с одинаковой логикой, включая, например, выплаты от несуществующего „Фонда видеоблогеров“, Центры финансовой защиты и другие. С каждым сценарием связано от 100 до 350 доменов. Это достаточно разветвленная инфраструктура. В некоторых сценариях почтовые адреса, использующиеся в качестве поддержки и консультации, были зарегистрированы на украинские номера.

Ярослав Каргалев

Ярослав Каргалев

заместитель руководителя CERT Group-IB

Атаку «Лайк года» отличает ряд особенностей. Использование календаря в сервисе Gmail является относительно свежим трендом в социальной инженерии. При настройках календаря по умолчанию данные приглашения автоматически добавляются в него вместе с напоминанием. Таким образом любой пользователь Google-календаря может отправить приглашение на мероприятия другим пользователям Gmail, даже если их нет в его адресной книге. В итоге жертва получит уведомление о создании нового события на почту. Ключевые слова в содержании будут следующими: «банк, одобрена, выплата денежных средств, программа, возмещение, получение, согласовано, федеральная, служебная, реквизиты» и т. д.

В обоих случаях при клике на ссылку в письме или приглашении, пользователь попадает на сайт-приманку. На экран выводится сумма выигрыша, например, 1735$, а для создания доверия к конкурсу здесь же, на сайте, размещаются восторженные отзывы якобы уже выигравших свой приз пользователей.

Далее на связь выходит «оператор», который консультирует пользователя о дальнейших шагах. В данном случае вместо стандартного окна чата с аватаркой для большей реалистичности мошенники используют видео, в окне рядом демонстрируются инструкции.

Затем новый редирект — на этот раз пользователя просят ввести номер банковской карты для перевода ему выигрыша. Следующий этап схемы — твист (термин, обозначающий неожиданный поворот в кино): банк внезапно отклоняет карту пользователя. Для решения проблемы предлагается конвертировать валюту, так как выплата может быть произведена только в рублях. Пользователю необходимо заплатить небольшую комиссию — порядка 270 рублей.

Пользователь соглашается оплатить комиссию. Кульминация схемы — редирект на сайт с «безопасным» вводом банковских реквизитов: номера карты, срока действия и CVV, чтоб оплатить комиссию на якобы верифицированном всеми возможными платежными системами сервисами.

Именно здесь происходит кража данных банковской карты пользователя. Интересно, что в схеме с «Лайком года» на последнем этапе ввода данных используется реальный платежный шлюз. То есть «комиссию» мошенники действительно списывают, но их основная цель — данные карты. Как правило, в дальнейшем коллекции текстовых данных карт продаются в кардшопах или же на них приобретаются товары с целью дальнейшей перепродажи и обнала.

 

Фишинг? Проходим мимо

Для того чтобы не стать жертвой мошенников, необходимо знать основы цифровой гигиены и постоянно обновлять свои знания. Ниже несколько советов от Rambler Group о том, как самостоятельно определить признаки фишинга и защитить свой аккаунт:

  1. Относитесь с опаской к сообщениям и формам, в которых вас просят указать ваши личные данные.
  2. Отключите возможность автоматического добавления приглашений и мероприятий в свой Google-календарь (Настройки>> Мероприятия>> Автоматическое добавление мероприятий (отключить)).
  3. Не переходите по ссылкам, присланным в подозрительных или непонятных сообщениях электронной почты или через социальные сети.
  4. Не загружайте и не запускайте вложенные файлы из сообщений электронной почты, которые вы не ожидали.
  5. Внимательно анализируйте адреса сайтов, на которые ведут ссылки из писем.
  6. На всех аккаунтах, где это возможно, подключите двухфакторную аутентификацию. Это поможет, если основной пароль попал к взломщикам.
  7. Своевременно обновляйте системное и прикладное ПО и устанавливайте обновления безопасности.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, IDC.

В основе технологического лидерства компании – 17-летний опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты ИБ, аккумулированные в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.

Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ. Group-IB – компания-участник Всемирного экономического форума.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте