«РТК-Солар» разоблачил более 2 тыс. доменов для мошенничества от имени «Красное и Белое» и «Додо Пицца»

12.09.2022 16:39
4 мин   


Команда входящей в группу ПАО «Ростелеком» компании за два месяца выявила более двух тысяч доменов, использовавшихся преступниками для массированного фишинга под прикрытием брендов «Красное и белое» и «Додо пицца». Эксперты «РТК-Солар» заблокировали атаку, но схема мошенничества может быть снова использована в изменённой форме.

Мошенники предлагали получить пиццу или бутылку вина за 1 рубль и под этим предлогом привязывали банковские карты к некоему платному сервису с регулярным списанием средств.

Фишинговые атаки стали частью общей вредоносной кампании с периодами всплесков каждые 4 – 6 месяцев. Специалисты команды специальных сервисов Solar JSOC компании «РТК-Солар» вовремя проинформировали регистраторов доменов и регуляторов для блокировки фишинговой активности. Кроме того, был извещён банк, подключивший интернет-эквайринг, что помогло сократить ущерб для пользователей в несколько раз. Развитие атаки было пресечено.

Чем воспользовались злоумышленники?

По данным «РТК-Солар», решающим фактором была социальная инженерия. Чтобы получить «приз», жертва должна была самостоятельно разослать ссылку на тот же самый вредоносный сайт своим 10 – 20 друзьям – через мессенджер. Информация, полученная от знакомых, традиционно пользуется большим доверием, что резко повысило эффективность действий преступников.

Человеческий фактор прослеживается и в другом аспекте тщательно проработанной атаки. Для информирования об «акции» создавались группы в социальных сетях, внушавшие доверие, через которые была запущена самораспространяемая цепочка рассылок о «призах».

Другой фишкой были меры предосторожности, которыми мошенники защищали от быстрого обнаружения и блокировки свои фейковые ресурсы. Обычно фишинговые сообщения содержали ссылку на один статический сайт. На этот раз одна и та же ссылка вела на группу из тысяч доменов, переадресовывавших попавших в их сети пострадавших на вредоносный ресурс через цепочку промежуточных сайтов, которые также постоянно менялись.

«Вредоносные домены не имели привязки к бренду – это набор из сгенерированной последовательности символов в экзотических доменных зонах .ml, .tk, .cf, .ga и .gq. Регистрация там бесплатна и может быть осуществлена через API, то есть автоматически. В свободном доступе легко найти скрипты, позволяющие пачками регистрировать такие доменные имена, – прокомментировал Александр Вураско, эксперт направления специальных сервисов Solar JSOC компании «РТК-Солар». – Но самое интересное в новом витке схемы – это непосредственно процесс хищения денег. Вводя данные карты, жертва оформляла подписку, в рамках которой каждые 5 дней с неё списывали 889 рублей. Деньги поступали на счёт реально существующего юрлица в банке из ТОП-20. Такие платежи антифрод-системы банка в большинстве случаев не замечают, а малая сумма с лихвой компенсировалась большим количеством “подписчиков”».

Как выводились деньги?

Вы наверняка помните рекламу «онлайн-тренировок» по сжиганию жира? Так вот определённая часть такой рекламы была точно от мошенников. Они за один день зарегистрировали более двух десятков доменов с однотипными сайтами с примитивным функционалом, в котором большинство опций не работало. Главной целью «фитнес-сайтов» была регистрация на них банковских карт попавшихся на уловку жертв. Сайты максимально походили на реальные, на них размещались данные о некоей публичной оферте и юридическом лице, которые, правда, не имели ничего общего с действительностью.

Как выяснили эксперты дочерней компании «Ростелекома», схема с пиццей и вином за рубль и сайты со сжиганием жира являлись частью большого преступного комплекса.

Пик атаки позади: вредоносные сайты заблокированы, массовые рассылки в соцсетях и мессенджерах больше не фиксируются. Но это означает, что надо быть начеку.

Опрос
  • Были ли вы хоть раз на концерте в "Янтарь холле"?

    Ян.JPG

Проголосовало 382 человек Проголосуй, чтобы узнать результаты