Мошенники разработали новую схему фишинга, с которой не могут бороться банки. Она получила название «Белый кролик», ее обнаружили аналитики компании Group-IB. Схема выглядит так: злоумышленник размещает видео от имени известного блогера с предложением поучаствовать в конкурсе, но оставляет под ним вредоносную ссылку. Пользователю предлагают пройти опрос, после чего ему присылают письмо на почту с адресом, где можно получить выигрыш. На финальном этапе человеку предлагают сделать «тестовый» платеж на 100 руб. В итоге у мошенников оказываются, например, данные банковской карты.
Фото: Анатолий Жданов, Коммерсантъ / купить фото
Причем вредоносные ссылки создаются под конкретного пользователя, рассказал руководитель департамента инновационной защиты бренда Group-IB Андрей Бусаргин: «Многие компании мониторят доменные имена с использованием товарных знаков, но на этих ресурсах, где будут собираться данные карты или какие-то платежи, уже не будет никаких упоминаний. Это будет белый одностраничный сайт, где будет нарисована карточка, нужно будет ввести номер и нажать кнопку оплаты. Пока ты не пройдешь этот путь вместе с пользователем за “белым кроликом”, за, казалось бы, безобидной рекламой в Instagram, каким-то безобидным опросником, ты не выявишь этот финальный ресурс, где происходит мошенничество, и в этом сложность.
Может быть и такое, что ссылка откроется только у одного человека. Будут специально собирать данные, например, об операторе связи вашем, о геопозиции, браузере, устройстве. Можно потом скинуть ссылку кому-то еще с сообщением: “Не ведитесь, здесь обман”. А она просто не открывается у других людей. Вы понимаете, насколько это усложняет схему и мониторинга, и реагирования, насколько это продлевает жизнь ресурсам. А именно для этого злоумышленники все и делают — чтобы ресурс работал дольше».
Как выяснили СМИ, ссылки на фейковые опросы в Сети появлялись под видео блогера Юрия Дудя, а также под роликами передач федеральных телеканалов. Банкам сложно бороться с двухэтапным фишингом, отметил технический директор Qrator Labs Артем Гавриченков. По его словам, многие пользователи теряют бдительность из-за долгого пути к предполагаемому выигрышу: «Раньше бы это письмо пользователем было бы автоматически отправлено в спам, а тут уже выстроена некоторая цепочка доверия. Пользователь помнит, что проходил опрос, что это было некоторое время назад, и воспринимает эту ссылку как несколько более доверенную по той причине, что просто не ожидает такого от мошенников.
Мы привыкли считать, что мошенническая ссылка — это какая-то короткая история, то есть деньги у нас хотят забрать здесь и сейчас. А в данном случае мы имеем сценарии, которые могут разыгрываться на протяжении нескольких дней.
Предотвращение подобных действий — это достаточно затруднительный процесс для банков при том. Ряд рекомендаций, который работал с прошлыми сценариями, продолжает действовать и сейчас — например, рекомендация занести сайт банка в избранное браузера и открывать только оттуда, то есть не переходить ни по каким ссылкам из почты. Но дело в том, что уже обманутый пользователь, так как это игра именно на эмоциях, в какой-то момент плюет на все эти рекомендации и выполняет те процедуры, которых от него хочет злоумышленник».
Сколько человек могли пострадать от схемы «Белого кролика» в Group-IB не уточнили. По данным аналитиков, каждый вредоносный ресурс посещали больше 6,5 тыс. пользователей в сутки.