Вы были выбраны для получения денежного приза «Лайк года 2020»
20 февраля 2020 г. Рави Лакшманан
Исследователи кибербезопасности обнаружили широкомасштабную мошенническую схему, которая заманивает ничего не подозревающих российских интернет-пользователей обещаниями финансового вознаграждения за кражу информации об их платежных картах.
По данным исследователей Group-IB, многоэтапная фишинговая атака использовала доверие к российскому интернет-порталу Rambler, чтобы обманным путем заставить пользователей принять участие в фиктивном конкурсе «Лайк года 2020».
Разработка является напоминанием о том, что кампании социальной инженерии, основанные на вознаграждениях, продолжают оставаться эффективным средством для мошенничества пользователей, не говоря уже об использовании собранных данных для их финансовой выгоды.
В рамках схемы «Нравится года» пользователям предлагалось выиграть крупный денежный приз, сообщая им, что они были выбраны случайным образом после того, как лайкнули публикацию в социальных сетях, таких как ВКонтакте.
Приглашения были отправлены по электронной почте путем взлома почтовых серверов оператора фискальных данных, под которым понимается юридическое лицо, созданное для агрегирования, хранения и обработки фискальных данных для обслуживания ФНС России.
Помимо отправки электронных писем, мошенники также доставляли фишинговые сообщения, отправляя оповещения о денежных призах в виде событий Google Календаря, что является новой тенденцией в социальной инженерии.
«При настройках календаря по умолчанию в него автоматически добавляются данные о приглашении вместе с напоминанием», — подчеркнули исследователи Group-IB. «Таким образом, любой пользователь Google Календаря может отправлять приглашения на мероприятия другим пользователям Gmail, даже если их нет в их адресных книгах. В результате жертва получит уведомление о создании нового мероприятия по почте».
При обращении к пользователям Рунета от имени онлайн-портала одним из двух способов ничего не подозревающие получатели, перешедшие по ссылке, перенаправлялись на сайт-приманку.
Этот веб-сайт не только поздравляет жертву с победой в поддельном конкурсе и денежным призом в размере от 100 до 2000 долларов, но также предлагает обменять деньги онлайн.
Однако, когда пользователь пытается продолжить, сайт предупреждает пользователей, что они не могут получить деньги в долларах США, и предлагает им конвертировать их в рубли через онлайн-сервис обмена валюты — и для этого им нужно заплатить небольшую комиссию, примерно 270 руб.
Как только пользователи соглашаются заплатить комиссию и попадаются на удочку, сайт перенаправляет их на другой контролируемый злоумышленниками фишинговый сайт, якобы являющийся платежным шлюзом, где их просят ввести такие данные, как номер карты, срок действия и номер карты. номер CVV, что привело к краже данных карты.
«Мошенники действительно списывают «комиссию», но их основная цель — данные карты», — заключили исследователи.
ПРЕДСТОЯЩИЙ ВЕБИНАР
Узнайте, как останавливать программы-вымогатели с помощью защиты в реальном времени
Присоединяйтесь к нашему веб-семинару и узнайте, как останавливать атаки программ-вымогателей с помощью многофакторной проверки подлинности в реальном времени и защиты учетных записей служб.
Сохрани мое место!
Group-IB заявила, что «Like of the Year» — это лишь одна из шести различных мошеннических кампаний, которые работают по одному и тому же принципу действия, включая платежи из несуществующего «Фонда видеоблогов» и центров финансовой защиты.
Было обнаружено, что каждая из этих схем управляла от 100 до 350 доменов, при этом одна только кампания «Мне нравится» охватывает более 1000 доменов, большинство из которых с тех пор заблокированы.
Сообщается, что Rambler, со своей стороны, предупредил государственные почтовые службы страны об атаке, заблаговременно попросив их пометить эти мошеннические электронные письма как спам.
Известно, что преступники постоянно находят новые способы обманом заставить пользователей раскрыть свою информацию. Во всяком случае, атака подчеркивает необходимость проявлять бдительность, когда дело доходит до открытия электронных писем и вложений от неизвестных отправителей.