Rambler Group и компания Group-IB, специализирующаяся на предотвращении кибератак, выявили многоступенчатую мошенническую схему под видом фиктивной Ежесезонной премии «Лайк года 2020». В рамках масштабной фишинговой атаки пользователям предлагалось выиграть крупный денежный приз за случайно выбранный лайк, поставленный ими в соцсетях. В общей сложности было обнаружено более 1000 связанных доменов, использовавшихся в атаке.
Для привлечения желающих получить премию мошенники взломали почтовые серверы одного из операторов фискальных данных (ОФД) и массово рассылали пользователям Рунета сообщения от имени «команды Rambler». После обращений пользователей в Rambler Group, компания провела свое расследование и привлекла Group-IB к реагированию на инцидент.
Центр реагирования на киберинциденты CERT-GIB выявил, что мошенники использовали несколько векторов атаки для заманивания пользователей к участию в премии «Лайк года 2020». Помимо рассылки почтовых сообщений они также доставляли фишинговые сообщения через другие каналы, в частности, направляли оповещения о денежном вознаграждении в Google-календарь. Используя распространенные методы социальной инженерии, основанные на желании выигрыша, мошенники в течение длительного времени выманивали данные банковских карт пользователей. Тема посланий так или иначе была связана с денежными выплатами. Получателей поздравляли с победой в конкурсе и с денежным призом, который составлял от 100$ до 2 000$.
В результате проведенных мероприятий рассылка под видом Rambler Group была остановлена. Со своей стороны, Rambler Group связалась с публичными почтовыми сервисами, предупредила их об атаке и попросила превентивно перемещать мошеннические письма в «Спам». В рамках дальнейшей работы специалистам Group-IB удалось заблокировать большинство связанных с атакой сайтов, на которые осуществлялись переходы из полученных писем и приглашений. В общей сложности схема насчитывает более 1000 доменов. Работа по блокировкам продолжается.
Мы обращаем особое внимание пользователей на подобные фишинговые атаки. Чаще всего мошенники прикрываются известными брендами и компаниями, чтобы втереться в доверие получателей, собрать их личные данные и использовать их в корыстных целях. Получив подозрительное письмо, стоит к нему отнестись с осторожностью — не переходить по указанным ссылкам. Поэтому мы советуем в таком случае связаться с представителями бренда и уточнить, действительно ли была такая рассылка.
Илья Зуев
Директор по кибербезопасности Rambler Group
Дизлайк года: как шла атака
Мы тестировали схему «Лайк года» на десктопе и мобильных платформах — она везде качественно сверстана и на всех этапах реализации призвана вызвать доверие у пользователя. Этим объясняется ее длительный период активности. Помимо «лайка», графовый анализ выявляет порядка 6 различных сценариев мошеннических кампаний с одинаковой логикой, включая, например, выплаты от несуществующего «Фонда видеоблогеров», Центры финансовой защиты и другие. С каждым сценарием связано от 100 до 350 доменов. Это достаточно разветвленная инфраструктура. В некоторых сценариях почтовые адреса, использующиеся в качестве поддержки и консультации, были зарегистрированы на украинские номера.
Ярослав Каргалев
заместитель руководителя CERT Group-IB
Атаку «Лайк года» отличает ряд особенностей. Использование календаря в сервисе Gmail является относительно свежим трендом в социальной инженерии. При настройках календаря по умолчанию данные приглашения автоматически добавляются в него вместе с напоминанием. Таким образом любой пользователь Google-календаря может отправить приглашение на мероприятия другим пользователям Gmail, даже если их нет в его адресной книге. В итоге жертва получит уведомление о создании нового события на почту. Ключевые слова в содержании будут следующими: «банк, одобрена, выплата денежных средств, программа, возмещение, получение, согласовано, федеральная, служебная, реквизиты» и т. д.
В обоих случаях при клике на ссылку в письме или приглашении, пользователь попадает на сайт-приманку. На экран выводится сумма выигрыша, например, 1735$, а для создания доверия к конкурсу здесь же, на сайте, размещаются восторженные отзывы якобы уже выигравших свой приз пользователей.
Далее на связь выходит «оператор», который консультирует пользователя о дальнейших шагах. В данном случае вместо стандартного окна чата с аватаркой для большей реалистичности мошенники используют видео, в окне рядом демонстрируются инструкции.
Затем новый редирект — на этот раз пользователя просят ввести номер банковской карты для перевода ему выигрыша. Следующий этап схемы — твист (термин, обозначающий неожиданный поворот в кино): банк внезапно отклоняет карту пользователя. Для решения проблемы предлагается конвертировать валюту, так как выплата может быть произведена только в рублях. Пользователю необходимо заплатить небольшую комиссию — порядка 270 рублей.
Пользователь соглашается оплатить комиссию. Кульминация схемы — редирект на сайт с «безопасным» вводом банковских реквизитов: номера карты, срока действия и CVV, чтоб оплатить комиссию на якобы верифицированном всеми возможными платежными системами сервисами.
Именно здесь происходит кража данных банковской карты пользователя. Интересно, что в схеме с «Лайком года» на последнем этапе ввода данных используется реальный платежный шлюз. То есть «комиссию» мошенники действительно списывают, но их основная цель — данные карты. Как правило, в дальнейшем коллекции текстовых данных карт продаются в кардшопах или же на них приобретаются товары с целью дальнейшей перепродажи и обнала.
Фишинг? Проходим мимо
Для того чтобы не стать жертвой мошенников, необходимо знать основы цифровой гигиены и постоянно обновлять свои знания. Ниже несколько советов от Rambler Group о том, как самостоятельно определить признаки фишинга и защитить свой аккаунт:
- Относитесь с опаской к сообщениям и формам, в которых вас просят указать ваши личные данные.
- Отключите возможность автоматического добавления приглашений и мероприятий в свой Google-календарь (Настройки>> Мероприятия>> Автоматическое добавление мероприятий (отключить)).
- Не переходите по ссылкам, присланным в подозрительных или непонятных сообщениях электронной почты или через социальные сети.
- Не загружайте и не запускайте вложенные файлы из сообщений электронной почты, которые вы не ожидали.
- Внимательно анализируйте адреса сайтов, на которые ведут ссылки из писем.
- На всех аккаунтах, где это возможно, подключите двухфакторную аутентификацию. Это поможет, если основной пароль попал к взломщикам.
- Своевременно обновляйте системное и прикладное ПО и устанавливайте обновления безопасности.
Rambler Group обнаружил фейковые рассылки от своего имени о премии «Лайк года 2020» и привлек компанию Group IB, которая зафиксировала масштабную фишинговую атаку под видом этой акции. От имени «команды Rambler» мошенники сообщали жертвам о выигрыше денежного приза, для получения которого предлагалось заплатить комиссию. Помимо комиссии мошенники получали данные банковских карт.
Премия «Лайк года 2020» оказалась фишинговой атакой, сообщила компания Group-IB. Мошенники рассылали письма от имени «команды Rambler» с предложением выиграть от $100 до $2 тыс. за случайно выбранный лайк, поставленный пользователем в соцсетях. Число пострадавших от действий мошенников неизвестно, так как все рассылки производились со сторонних серверов на разные публичные почтовые сервисы, пояснили в Rambler Group.
Для рассылки мошенники взломали почтовые серверы одного из операторов фискальных данных (ОФД). Оповещения о выигрыше приходили пользователям через календарь в сервисе Gmail. В Group-IB называют такой способ «относительно свежим трендом в социальной инженерии».
При переходе по ссылке в письме или приглашении через Google-календарь пользователь попадал на сайт-приманку, где выводилась сумма выигрыша и отзывы других победителей.
Было обнаружено более 1 тыс. связанных доменов, на которые вели ссылки из полученных писем и приглашений. Дальнейшую инструкцию пользователь получал из чата с «оператором». Далее пользователю предлагалось ввести номер банковской карты для перевода его выигрыша, после чего банк неожиданно карту отклонял. Для решения проблемы жертве предлагалось заплатить 270 руб. за конвертацию валюты выплаты в рубли. Сайт перенаправлял на страничку с «безопасным» вводом банковских реквизитов для оплаты комиссии. «Как правило, в дальнейшем коллекции текстовых данных карт продаются в кардшопах или же на них приобретаются товары с целью дальнейшей перепродажи и обнала»,— комментируют в Group-IB.
Сообщения «об обмане на премии Лайк года» встречались на интернет-форумах последние два года. «Последняя атака была намного сложнее и технологичнее предыдущих — она стала многоэтапной, мошенники добавили такие психологические приемы, как отказ банка в выплате и начали использовать Google-календарь для рассылки оповещений о выигрыше»,— указывают в Group-IB. В Rambler Group добавили, что такую премию они никогда не проводили и фишинговые письма с приглашением на участие в этой премии от их имени рассылались впервые.
Сценариев кампаний с подобной логикой было зафиксировано шесть: помимо «Лайка года» злоумышленники обещали выплаты от несуществующего «Фонда видеоблогеров», «Центра финансовой защиты» и других, отмечает заместитель руководителя Cert-GIB Ярослав Каргалев. В основе этих сценариев лежат принципы социальной инженерии, на которую в 2019 году приходилось 69% мошеннических операций, согласно последнему отчету ФинЦЕРТ, подразделения Банка России.
Чтобы не стать жертвой мошенников, Rambler Group рекомендует с опаской относиться к сообщениям и формам, которые требуют личные данные, отключить возможность автоматического добавления приглашений и мероприятий в Google-календарь и подключить двухфакторную аутентификацию там, где это возможно, что поможет, если основной пароль попадет к взломщикам.
Юлия Степанова
Самое важное в канале Коммерсантъ в Telegram