Черный и не пушистый: появилась новая схема обмана "Белый кролик"
Мошенники придумали новую схему фишинга, которая получила название "Белый кролик". Ее суть заключается в том, что клиент сначала привлекается на безобидные брендированные сайты с опросами, где обещается вознаграждение, а получив письмо о выигрыше с вредоносной ссылкой, теряет бдительность и переводит деньги злоумышленнику. Всплеск таких случаев был зафиксирован во второй половине 2019 года, рассказали "Известиям" в Group-IB, информацию подтвердили в крупных банках. Опасность в том, что каждый отдельный этап не кажется подозрительным службам безопасности кредитных организаций, атаки учитывают индивидуальные характеристики жертвы, а клиенты склонны самостоятельно пройти по длинной цепочке за "белым кроликом".
Злой грызун
Мошенники решили удлинить схему фишинга, чтобы повысить доверие жертвы. О новом способе обмана "Известиям" рассказал руководитель департамента инновационной защиты бренда Group-IB Андрей Бусаргин. Он отметил, что схема условно названа "Белый кролик" по аналогии со сказкой "Алиса в Стране чудес", поскольку начинается с безобидных шагов: злоумышленники в соцсетях зачастую от имени звезд или с помощью поддельных роликов в новостном формате предлагают потенциальной жертве пройти опрос на брендированном сайте, например, банка или сотового оператора, при этом обещают вознаграждение. - Через некоторое время на почту клиенту приходит сообщение о выигрыше. Одноразовая ссылка, в которой не содержится домен проверенной организации, ведет на сайт без логотипов, но клиент уже доверился "белому кролику" и потерял бдительность, попав в "черную нору". На портале мошенник может, например, попросить "тестовый" платеж на сотни рублей, а также уточнить CVC-код или логин и пароль от интернет-банка, - пояснил Андрей Бусаргин. Он подчеркнул: схема особенно опасна, поскольку каждый отдельный этап не вызывает подозрений и его сложно отследить службе безопасности банка. Атаки по такой схеме адресные: с клиента собирается информация о браузере, устройстве, провайдере интернета, языке, геолокации, исходя из чего формируется одноразовая ссылка для конкретного пользователя, отметил Андрей Бусаргин. Он пояснил: когда владелец службы безопасности отправит жалобу регистратору сайта на неправомерное использование бренда или фишинг, ссылка, по которой открывался мошеннический портал, просто не сработает. Сами опросы также целевые: мошенники знают, например, какие онлайн-игры и интернет-магазины посещает клиент, отметил эксперт Group-IB. Массовые мошенничества таким способом наблюдались во второй половине 2019-го, рассказал Андрей Бусаргин. Он оценил, что каждый ресурс с фейковыми опросами посещали примерно 6,5 тыс. пользователей в сутки, а за рубежом были примеры и 13,5 тыс. пользователей в сутки. В Group-IB подчеркнули, что не располагают данными, сколько человек было обмануто по такой схеме и какую сумму они перевели мошенникам. Повестись на такого рода мошенничество могли поклонники Юрия Дудя. Злоумышленник перезалил видео блогера с призывом участвовать в настоящем конкурсе, разместив под ним ссылку на сторонний сайт. Корреспондент "Известий" прошел опрос на портале, после которого ему предложили провести "закрепительный" платеж в 240 рублей и вывести якобы выигранную сумму. Ссылки на этот опрос уже появляются в ленте Facebook. "Известия" направили вопросы Юрию Дудю про использование его видео в мошеннических целях. Также для убеждения клиентов используются видео в новостном формате: ведущие из студий, похожих на главные передачи телеканала "Россия 1" и Первого канала, сообщают о возможности, например, оформить социальные выплаты или получить налоговый вычет по системе tax free. "Известия" обнаружили такие ролики в Facebook и на YouTube. Ссылки под видео ведут на мошеннические сайты, где предлагается оплатить фальшивую консультацию юриста. В Росбанке, "Открытии", "Зените" и екатеринбургском СКБ-банке знают о новой схеме, подтвердили "Известиям" представители кредитных организаций.
Черная нора
Мошеннические опросы с вознаграждением или с обещанием гарантированных выплат - схемы социальной инженерии, которые набирают обороты, отметил директор департамента информбезопасности банка "Открытие" Владимир Журавлев. Он подчеркнул, что украденные суммы зачастую небольшие, поэтому клиенты не всегда обращаются в банк и правоохранительные органы. - Кредитные организации постоянно мониторят социальные сети, собирая информацию о новых видах киберугроз и мошенничеств, а также контролируют неправомерное использование бренда, - рассказал директор департамента информбезопасности Росбанка Михаил Иванов. Однако новую схему бывает сложно выявить из-за ссылок, которые срабатывают лишь один раз. Эксперт подчеркнул, что мошенники в соцсетях знают всю информацию о жертве из открытого аккаунта, а это повышает вероятность успешной аферы. Жертвами в Сети могут стать доверчивые подростки, которые, например, пользуются картами родителей, предупреждает начальник департамента кибербезопасности банка "Зенит" Олег Волков. Также злоумышленники под предлогом социальных экспериментов, краудфандинга или благотворительных акций в соцсетях с легкостью могут завоевать доверие молодых людей, активно участвующих в таких мероприятиях, добавил он. С другой стороны, в интернете у человека есть возможность подумать и принять взвешенное решение, тогда как телефонные мошенники пугают и торопят жертву, не давая времени на переоценку ситуации, считает директор блока "Обеспечение безопасности" СКБ-банка Денис Улейко. Классический фишинг, который и раньше часто использовался, стал менее эффективным, поскольку клиенты привыкли не доверять спонтанным сообщениям о выигрыше или вознаграждении. Схема "белый кролик" интересна с точки зрения методов социнженерии, которые позволяют снизить бдительность жертвы, уверен замдиректора по информбезопасности "Техносерв" Денис Шмырев. - В прошлом году злоумышленники также использовали для обмана поддельные сайты госорганов. Например, на фейковом портале Пенсионного фонда за небольшую плату предлагалось оформить льготы или выплаты, - отметил он. Банки не могут вернуть деньги жертвам социальной инженерии, потому что де-юре клиент сделал перевод на счет мошенника или поделился данными своей карты добровольно. Основной способ защититься от таких инцидентов - использовать антивирусное ПО и вводить личные данные только на проверенных сайтах, подчеркнул руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин. Он добавил, что к порталам, которые якобы для выплаты просят ввести все данные карты, с учетом имени и фамилии, даты окончания действия и CVV, необходимо относиться с подозрением: для перечисления денег достаточно номера на лицевой стороне "пластика". В ЦБ не ответили на запрос "Известий", знают ли там о новой схеме мошенничества.