Черный и не пушистый: появилась новая схема обмана «Белый кролик»

После прохождения безобидного опроса клиенту присылают одноразовую ссылку, ведущую на сайт злоумышленника.

Мошенники придумали новую схему фишинга, которая получила название «Белый кролик». Ее суть заключается в том, что клиент сначала привлекается на безобидные брендированные сайты с опросами, где обещается вознаграждение, а получив письмо о выигрыше с вредоносной ссылкой, теряет бдительность и переводит деньги злоумышленнику. Всплеск таких случаев был зафиксирован во второй половине 2019 года, рассказали «Известиям» в Group-IB, информацию подтвердили в крупных банках. Опасность в том, что каждый отдельный этап не кажется подозрительным службам безопасности кредитных организаций, атаки учитывают индивидуальные характеристики жертвы, а клиенты склонны самостоятельно пройти по длинной цепочке за «белым кроликом». На удочку злоумышленников могли попасть, в частности, поклонники видеоблогера Юрия Дудя.

Злой грызун

Мошенники решили удлинить схему фишинга, чтобы повысить доверие жертвы. О новом способе обмана «Известиям» рассказал руководитель департамента инновационной защиты бренда Group-IB Андрей Бусаргин. Он отметил, что схема условно названа «Белый кролик» по аналогии со сказкой «Алиса в Стране чудес», поскольку начинается с безобидных шагов: злоумышленники в соцсетях зачастую от имени звезд или с помощью поддельных роликов в новостном формате предлагают потенциальной жертве пройти опрос на брендированном сайте, например, банка или сотового оператора, при этом обещают вознаграждение.

— Через некоторое время на почту клиенту приходит сообщение о выигрыше. Одноразовая ссылка, в которой не содержится домен проверенной организации, ведет на сайт без логотипов, но клиент уже доверился «белому кролику» и потерял бдительность, попав в «черную нору». На портале мошенник может, например, попросить «тестовый» платеж на сотни рублей, а также уточнить CVC-код или логин и пароль от интернет-банка, — пояснил Андрей Бусаргин.

Он подчеркнул: схема особенно опасна, поскольку каждый отдельный этап не вызывает подозрений и его сложно отследить службе безопасности банка.

Атаки по такой схеме адресные: с клиента собирается информация о браузере, устройстве, провайдере интернета, языке, геолокации, исходя из чего формируется одноразовая ссылка для конкретного пользователя, отметил Андрей Бусаргин. Он пояснил: когда владелец службы безопасности отправит жалобу регистратору сайта на неправомерное использование бренда или фишинг, ссылка, по которой открывался мошеннический портал, просто не сработает. Сами опросы также целевые: мошенники знают, например, какие онлайн-игры и интернет-магазины посещает клиент, отметил эксперт Group-IB.

Массовые мошенничества таким способом наблюдались во второй половине 2019-го, рассказал Андрей Бусаргин. Он оценил, что каждый ресурс с фейковыми опросами посещали примерно 6,5 тыс. пользователей в сутки, а за рубежом были примеры и 13,5 тыс. пользователей в сутки. В Group-IB подчеркнули, что не располагают данными, сколько человек было обмануто по такой схеме и какую сумму они перевели мошенникам.

Повестись на такого рода мошенничество могли поклонники Юрия Дудя. Злоумышленник перезалил видео блогера с призывом участвовать в настоящем конкурсе, разместив под ним ссылку на сторонний сайт. Корреспондент «Известий» прошел опрос на портале, после которого ему предложили провести «закрепительный» платеж в 240 рублей и вывести якобы выигранную сумму. Ссылки на этот опрос уже появляются в ленте Facebook. «Известия» направили вопросы Юрию Дудю про использование его видео в мошеннических целях.

Также для убеждения клиентов используются видео в новостном формате: ведущие из студий, похожих на главные передачи телеканала «Россия 1» и Первого канала, сообщают о возможности, например, оформить социальные выплаты или получить налоговый вычет по системе tax free. «Известия» обнаружили такие ролики в Facebook и на YouTube. Ссылки под видео ведут на мошеннические сайты, где предлагается оплатить фальшивую консультацию юриста.

В Росбанке, «Открытии», «Зените» и екатеринбургском СКБ-банке знают о новой схеме, подтвердили «Известиям» представители кредитных организаций.

Черная нора

Мошеннические опросы с вознаграждением или с обещанием гарантированных выплат — схемы социальной инженерии, которые набирают обороты, отметил директор департамента информбезопасности банка «Открытие» Владимир Журавлев. Он подчеркнул, что украденные суммы зачастую небольшие, поэтому клиенты не всегда обращаются в банк и правоохранительные органы.

— Кредитные организации постоянно мониторят социальные сети, собирая информацию о новых видах киберугроз и мошенничеств, а также контролируют неправомерное использование бренда, — рассказал директор департамента информбезопасности Росбанка Михаил Иванов.

Однако новую схему бывает сложно выявить из-за ссылок, которые срабатывают лишь один раз. Эксперт подчеркнул, что мошенники в соцсетях знают всю информацию о жертве из открытого аккаунта, а это повышает вероятность успешной аферы.

Жертвами в Сети могут стать доверчивые подростки, которые, например, пользуются картами родителей, предупреждает начальник департамента кибербезопасности банка «Зенит» Олег Волков. Также злоумышленники под предлогом социальных экспериментов, краудфандинга или благотворительных акций в соцсетях с легкостью могут завоевать доверие молодых людей, активно участвующих в таких мероприятиях, добавил он.

С другой стороны, в интернете у человека есть возможность подумать и принять взвешенное решение, тогда как телефонные мошенники пугают и торопят жертву, не давая времени на переоценку ситуации, считает директор блока «Обеспечение безопасности» СКБ-банка Денис Улейко.

Классический фишинг, который и раньше часто использовался, стал менее эффективным, поскольку клиенты привыкли не доверять спонтанным сообщениям о выигрыше или вознаграждении. Схема «белый кролик» интересна с точки зрения методов социнженерии, которые позволяют снизить бдительность жертвы, уверен замдиректора по информбезопасности «Техносерв» Денис Шмырев.

— В прошлом году злоумышленники также использовали для обмана поддельные сайты госорганов. Например, на фейковом портале Пенсионного фонда за небольшую плату предлагалось оформить льготы или выплаты, — отметил он.

Банки не могут вернуть деньги жертвам социальной инженерии, потому что де-юре клиент сделал перевод на счет мошенника или поделился данными своей карты добровольно. Основной способ защититься от таких инцидентов — использовать антивирусное ПО и вводить личные данные только на проверенных сайтах, подчеркнул руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин. Он добавил, что к порталам, которые якобы для выплаты просят ввести все данные карты, с учетом имени и фамилии, даты окончания действия и CVV, необходимо относиться с подозрением: для перечисления денег достаточно номера на лицевой стороне «пластика».

В ЦБ не ответили на запрос «Известий», знают ли там о новой схеме мошенничества.

Источник: audit-it.ru