В Интернете выявлена новая мошенническая схема

После снижения в прошлом году ущерба от финансового фишинга (падение на 65% до 87 миллионов рублей за период H2 2018 — H1 2019), мошенничество с использованием приемов социальной инженерии вышло на первое место в России по степени распространения угрозы. Наряду с телефонными аферами — вишингом, особой популярностью у интернет-мошенников весь прошлый и нынешний год пользуется схема, названная сотрудниками Brand Protection Group-IB — «Кроличья нора». Отдельные части этой схемы — например, фейковые интернет-опросы, появились около двух лет назад, однако со временем интернет-афера усложнялась и масштабировалась, и в итоге стала многоступенчатой, защищенной от детектирования и атрибуции. 

Условно всю мошенническую схему специалисты Brand Protection Group-IB разделили на две большие части: «Белый кролик» — этап на котором происходит привлечение траффика и «Кроличья нора», где непосредственно и происходит атака, кража денег или данных банковских карт.

На начальном этапе «Кролика» мошенники в качестве приманки используют фейковые аккаунты «звезд» шоу-бизнеса, блогеров или телеведущих (реже — известных брендов. — прим. Group-IB), от имени которых объявляют конкурсы-giveaway, акции или опросы с приличным призовым фондом и дорогими подарками — смартфонами, наушниками, билетами и т.д. Среди селебрити, чей бренд чаще других используют мошенники, эксперты Group-IB отмечают Ольгу Бузову, Юрия Дудя, Ивана Урганта, Басту, Тимати, Анастасию Ивлееву, Михаила Галустяна, Андрея Малахова и др.

Примечательно, что баннеры или контекстная реклама с изображением звезд в соцсетях таргетирована под интересы конкретного пользователя, а для перехода используется персональная мошенническая ссылка, которая генерируется под конкретного клиента, исходя из его местоположения, IP-адреса, модели устройства, user-агента. Поскольку эта персональная ссылка — индивидуальна и работает только один раз только у конкретного пользователя, это также затрудняет детектирование начального этапа схемы.  

После перехода по ссылке на ресурс-опросник жертву просят ответить на несложные вопросы и «поделиться» своей удачей в WhatsApp или соцсетями с друзьями. Таким образом, злоумышленники обеспечивают вирусное распространение схемы и нагоняют трафик на свои мошеннические сайты. 

Параллельно, у жертвы запрашивают адрес электронной почты, который в будущем может быть использован для рассылки фишинговых писем или заражения вредоносной программой. После подобных подготовительных действий мошенники переходят к следующему этапу атаки — «Кроличья нора». 

Всем жертвам, которые клюнули на «наживку» на предыдущем этапе, на почту или в личные сообщения в мессенджерах приходят приглашения принять участие в новом грандиозном опросе или викторине с приличным денежным вознаграждением. 

«Если бы такое письмо или сообщение пришло «на холодную» без предварительной подготовки клиента, оно отправилось бы в спам, но здесь пользователь сам ждет «чуда» — он прошло опрос, сделал репост, оставил свои контакты, — рассказывает Андрей Бусаргин, руководитель департамента защиты интеллектуальной собственности Group-IB. —  Пользователь уже доверяет этому приглашению и фактически сам «прыгает» за кроликом в «нору».

Хотя на этих на ресурсах уже нет упоминаний известных брендов или «звезд», но пользователи не подозревают, что оказались в «ловушке». Суть мошенничества в том, что в конце опроса пользователям нужно перечислить некоторую сумму, чтобы оплатить «пошлину» ,«налог» или совершить тестовый платеж. Естественно, никакого вознаграждения жертва не получает, зато теряет свои деньги и персональные данные. 

Например, на фейковых опросах от лица крупного российского ритейлера (посещаемость 6500 посетителей в сутки) пользователей обманом заставляли оставить на поддельном сайте персональные данные, электронную почту, данные банковской карты или логины-пароли от «учеток» личного кабинета. Целью мошенников была кража денег (среднее списание — 50 000 рублей), баллов или персональной информации. Сама ссылка работала только один раз и только у одного конкретного пользователя — как следствие подобный ресурс очень сложно обнаружить и нейтрализовать.

«Если классический фишинг часто содержал упоминания брендов и мошенническую схему с кражей денег или учетных записей на одном ресурсе и это легко было отследить и блокировать, «Кроличья нора»  разделена на две части и несколько ресурсов для того, чтобы генерировать как можно больше трафика «звездными» именами и брендами, и при этом усложнить поиск и блокировку ресурсов, на которых происходит сама кража денег, — отмечает Андрей Бусаргин, руководитель департамента защиты интеллектуальной собственности Group-IB — Не все компании готовы отслеживать, например, тизерную контекстную рекламу в социальных сетях, а регистраторы доменов технически не могут пройти всю цепочку от «Белого кролика» до «Кроличьей норы». Блокировка одних только фейковых страниц и аккаунтов напоминает бой с гидрой — на месте заблокированных появляются новые. Понимая, как работает схема, мы видим, как перемещается по сайтам пользователь и блокируем обе части схемы — только так можно эффективно бороться с этим типом мошенничества».

Опасность «Кролика» еще и в том, подчеркивают эксперты Brand Protection Group-IB, что от него страдают не только частные лица —  репутационный ущерб несут крупные бренды, а также селебрити — звезды шоу-бизнеса, блоггеры и телеведущие, чьи имена и изображения используют мошенники. Почти 64% пользователей, который столкнулись с мошенничеством с брендом в интернете, никогда не вернутся к этому бренду — доверие подорвано.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!