Rambler Group обнаружил фейковые рассылки от своего имени о премии «Лайк года 2020» и привлек компанию Group IB, которая зафиксировала масштабную фишинговую атаку под видом этой акции. От имени «команды Rambler» мошенники сообщали жертвам о выигрыше денежного приза, для получения которого предлагалось заплатить комиссию. Помимо комиссии мошенники получали данные банковских карт.
Фото: Stefano Rellandini / Reuters
Премия «Лайк года 2020» оказалась фишинговой атакой, сообщила компания Group-IB. Мошенники рассылали письма от имени «команды Rambler» с предложением выиграть от $100 до $2 тыс. за случайно выбранный лайк, поставленный пользователем в соцсетях. Число пострадавших от действий мошенников неизвестно, так как все рассылки производились со сторонних серверов на разные публичные почтовые сервисы, пояснили в Rambler Group.
Для рассылки мошенники взломали почтовые серверы одного из операторов фискальных данных (ОФД). Оповещения о выигрыше приходили пользователям через календарь в сервисе Gmail. В Group-IB называют такой способ «относительно свежим трендом в социальной инженерии».
При переходе по ссылке в письме или приглашении через Google-календарь пользователь попадал на сайт-приманку, где выводилась сумма выигрыша и отзывы других победителей.
Было обнаружено более 1 тыс. связанных доменов, на которые вели ссылки из полученных писем и приглашений. Дальнейшую инструкцию пользователь получал из чата с «оператором». Далее пользователю предлагалось ввести номер банковской карты для перевода его выигрыша, после чего банк неожиданно карту отклонял. Для решения проблемы жертве предлагалось заплатить 270 руб. за конвертацию валюты выплаты в рубли. Сайт перенаправлял на страничку с «безопасным» вводом банковских реквизитов для оплаты комиссии. «Как правило, в дальнейшем коллекции текстовых данных карт продаются в кардшопах или же на них приобретаются товары с целью дальнейшей перепродажи и обнала»,— комментируют в Group-IB.
Сообщения «об обмане на премии Лайк года» встречались на интернет-форумах последние два года. «Последняя атака была намного сложнее и технологичнее предыдущих — она стала многоэтапной, мошенники добавили такие психологические приемы, как отказ банка в выплате и начали использовать Google-календарь для рассылки оповещений о выигрыше»,— указывают в Group-IB. В Rambler Group добавили, что такую премию они никогда не проводили и фишинговые письма с приглашением на участие в этой премии от их имени рассылались впервые.
Сценариев кампаний с подобной логикой было зафиксировано шесть: помимо «Лайка года» злоумышленники обещали выплаты от несуществующего «Фонда видеоблогеров», «Центра финансовой защиты» и других, отмечает заместитель руководителя Cert-GIB Ярослав Каргалев. В основе этих сценариев лежат принципы социальной инженерии, на которую в 2019 году приходилось 69% мошеннических операций, согласно последнему отчету ФинЦЕРТ, подразделения Банка России.
Чтобы не стать жертвой мошенников, Rambler Group рекомендует с опаской относиться к сообщениям и формам, которые требуют личные данные, отключить возможность автоматического добавления приглашений и мероприятий в Google-календарь и подключить двухфакторную аутентификацию там, где это возможно, что поможет, если основной пароль попадет к взломщикам.