Мошенники использовали бренд популярного магазина для хищения денег у граждан

Специалисты Ростелекома по  кибербезопасности рассказали, какие схемы используют злоумышленники

За прошедшие два месяца команда «РТК-Солар» (ПАО «Ростелеком) обнаружила более 2000 вредоносных доменов, которые использовались злоумышленниками для массированного фишинга от имени некоторых известных брендов. Под предлогом получения товара жертвы привязывалась к несуществующему платному сервису с регулярным списанием средств. В настоящее время атака заблокирована, однако в ближайшие месяцы возможна реинкарнация данной схемы в новой форме — предупреждают эксперты «РТК-Солар».

Выявленные фишинговые атаки стали продолжением вредоносной кампании, всплески которой наблюдаются каждые в 4-6 месяцев, отмечают специалисты команды специальных сервисов компании «РТК-Солар». Благодаря взаимодействию с регистраторами доменов и регуляторами удалось вовремя пресечь фишинговую активность, а оперативная коммуникация с банком, подключившим интернет-эквайринг, помогла в несколько раз сократить ущерб для пользователей.

Текущая атака продемонстрировала способность мошеннических схем к развитию. Как и прежде, злоумышленники использовали человеческий фактор: для получения «приза» жертве предлагалось самостоятельно переслать ссылку на вредоносный сайт 10-20 своим друзьям. Ссылка от друга вызывает куда большее доверие, чем обезличенная почтовая рассылка.

Для распространения информации об «акции» использовались не только мессенджеры, но и специально созданные группы в социальных сетях. Именно они запустили самораспространяемую цепочку рассылок о несуществующих призах.

«Вредоносные домены не имели привязки к бренду — это набор из сгенерированной последовательности символов в экзотических доменных зонах. Регистрация там бесплатна и может быть осуществлена через API, то есть автоматически. В свободном доступе легко найти скрипты, позволяющие пачками регистрировать такие доменные имена, — отметил Александр Вураско, эксперт направления специальных сервисов Solar JSOC компании „РТК-Солар“. — Но самое интересное в новом витке схемы — это непосредственно процесс хищения денег. Вводя данные карты, жертва оформляла подписку, в рамках которой каждые 5 дней с нее списывали 889 рублей. Деньги поступали на счет реально существующего юрлица в банке из ТОП-20. Такие платежи антифрод-системы банка в большинстве случаев не замечают, а малая сумма с лихвой компенсировалась большим количеством „подписчиков“».

Для вывода денег злоумышленники в один день зарегистрировали более двух десятков доменов, на которых разместили однотипные сайты.

На сегодня пик атаки прошел. Вредоносные сайты заблокированы, массовые рассылки в мессенджерах и социальных сетях не фиксируются.