Эксперты по безопасности выявили более 2 000 вредоносных доменов, которые использовались кибермошенниками для массированного фишинга от имени брендов «Красное и белое» и «Додо пицца». Под предлогом получения пиццы или бутылки вина всего за 1 рубль карта жертвы привязывалась к несуществующему платному сервису с регулярным списанием средств. Сейчас атака заблокирована, однако в ближайшие месяцы возможно появление такой схемы в новой форме, предупредили в команде «Ростелеком-Солар».
По данным пресс-службы «Ростелекома», фишинговые атаки стали продолжением вредоносной кампании, всплески которой наблюдаются каждые 4-6 месяцев. Благодаря взаимодействию с регистраторами доменов и регуляторами удалось остановить фишинговую активность, а коммуникация с подключившим интернет-эквайринг банком помогла в разы сократить ущерб для пользователей.
Текущая атака продемонстрировала способность мошеннических схем к развитию. Как и прежде, злоумышленники использовали человеческий фактор: для получения «приза» жертве предлагалось самостоятельно переслать ссылку на вредоносный сайт 10-20 своим друзьям в мессенджере. Такой подход значительно повысил эффективность работы неизвестных: ссылка от друга вызывает куда большее доверие, чем обезличенная почтовая рассылка.
Остальные же элементы атаки были тщательно переработаны. Для распространения информации об «акции» использовались не только мессенджеры, но и специально созданные группы в соцсетях. Именно они запустили самораспространяемую цепочку рассылок о несуществующих призах.
С учетом опыта предыдущих атак мошенники предприняли меры, чтобы фейковые ресурсы работали как можно дольше, а их обнаружение и блокировка были затруднены. Если раньше рассылаемые сообщения как правило содержали ссылку на статический сайт, то теперь она вела на один из тысяч доменов, который переадресовывал жертву на вредоносный ресурс через постоянно меняющуюся цепочку промежуточных сайтов.
«Вредоносные домены не имели привязки к бренду – это набор из сгенерированной последовательности символов в экзотических доменных зонах .ml, .tk, .cf, .ga и .gq. Регистрация там бесплатна и может быть осуществлена через API, то есть автоматически. В свободном доступе легко найти скрипты, позволяющие пачками регистрировать такие доменные имена, – отмечает Александр Вураско, эксперт направления специальных сервисов Solar JSOC компании «РТК-Солар». – Но самое интересное в новом витке схемы – это непосредственно процесс хищения денег. Вводя данные карты, жертва оформляла подписку, в рамках которой каждые 5 дней с нее списывали 889 рублей. Деньги поступали на счет реально существующего юрлица в банке из ТОП-20. Такие платежи антифрод-системы банка в большинстве случаев не замечают, а малая сумма с лихвой компенсировалась большим количеством “подписчиков”».
Для вывода денег в один день зарегистрировали более двух десятков доменов, на которых разместили однотипные сайты, посвященные онлайн-тренировкам для «сжигания жира». Именно на этот курс незаметно для себя подписывались жертвы атаки, оставлявшие данные своих банковских карт. При этом фейковые фитнес-сайты были максимально нефункциональными: большинство опций не работало, подробные сведения об оформляемой подписке отсутствовали, а публичная оферта, хоть и имела сведения о юрлице, по факту являлась юридически ничтожной.
У информагентства «Все новости» есть Telegram-канал. Это быстрый и удобный способ получать самые главные новости прямо в свой телефон. Подпишитесь, чтобы не пропускать важное.