Команда входящей в группу ПАО «Ростелеком» компании за два месяца выявила более двух тысяч доменов, использовавшихся преступниками для массированного фишинга под прикрытием брендов «Красное и белое» и «Додо пицца». Эксперты «РТК-Солар» заблокировали атаку, но схема мошенничества может быть снова использована в изменённой форме.
Мошенники предлагали получить пиццу или бутылку вина за 1 рубль и под этим предлогом привязывали банковские карты к некоему платному сервису с регулярным списанием средств.
Фишинговые атаки стали частью общей вредоносной кампании с периодами всплесков каждые 4 – 6 месяцев. Специалисты команды специальных сервисов Solar JSOC компании «РТК-Солар» вовремя проинформировали регистраторов доменов и регуляторов для блокировки фишинговой активности. Кроме того, был извещён банк, подключивший интернет-эквайринг, что помогло сократить ущерб для пользователей в несколько раз. Развитие атаки было пресечено.
По данным «РТК-Солар», решающим фактором была социальная инженерия. Чтобы получить «приз», жертва должна была самостоятельно разослать ссылку на тот же самый вредоносный сайт своим 10 – 20 друзьям – через мессенджер. Информация, полученная от знакомых, традиционно пользуется большим доверием, что резко повысило эффективность действий преступников.
Человеческий фактор прослеживается и в другом аспекте тщательно проработанной атаки. Для информирования об «акции» создавались группы в социальных сетях, внушавшие доверие, через которые была запущена самораспространяемая цепочка рассылок о «призах».
Другой фишкой были меры предосторожности, которыми мошенники защищали от быстрого обнаружения и блокировки свои фейковые ресурсы. Обычно фишинговые сообщения содержали ссылку на один статический сайт. На этот раз одна и та же ссылка вела на группу из тысяч доменов, переадресовывавших попавших в их сети пострадавших на вредоносный ресурс через цепочку промежуточных сайтов, которые также постоянно менялись.
Вы наверняка помните рекламу «онлайн-тренировок» по сжиганию жира? Так вот определённая часть такой рекламы была точно от мошенников. Они за один день зарегистрировали более двух десятков доменов с однотипными сайтами с примитивным функционалом, в котором большинство опций не работало. Главной целью «фитнес-сайтов» была регистрация на них банковских карт попавшихся на уловку жертв. Сайты максимально походили на реальные, на них размещались данные о некоей публичной оферте и юридическом лице, которые, правда, не имели ничего общего с действительностью.
Как выяснили эксперты дочерней компании «Ростелекома», схема с пиццей и вином за рубль и сайты со сжиганием жира являлись частью большого преступного комплекса.
Пик атаки позади: вредоносные сайты заблокированы, массовые рассылки в соцсетях и мессенджерах больше не фиксируются. Но это означает, что надо быть начеку.
© ИА Русский Запад/аш