На сегодняшний день атаку удалось заблокировать, но эксперты не исключают ее скорого возрождения уже в видоизмененном формате.
Все обнаруженные мошеннические атаки являются частью масштабной фишинговой кампании, которая активизируется каждые несколько месяцев. По словам специалистов, преступную деятельность удалось своевременно купировать благодаря слаженной работе «РТК-Солар», регистраторов доменов и регуляторов. Потенциальный ущерб для граждан был снижен в несколько раз за счет оперативной коммуникации с банковской организацией, подключившей Internet-эквайринг.
Нынешняя атака доказала готовность кибермошенников к модификации и развитию своих схем. Так, в актуальном сценарии ставка делалась на человеческий фактор: чтобы получить «приз», жертва должна была в мессенджере отправить ссылку на вредоносный ресурс не менее чем 10-20 друзьям. И этот подход себя оправдал, так как обезличенные почтовые рассылки не вызывают такого доверия, как ссылка от знакомого человека.
Прочие нюансы атаки были проработаны до мелочей. Например, информацию о проведении «акции» мошенники распространяли не только через мессенджеры, а и специально создавали для этого группы в соцсетях. Таким образом была запущена само распространяемая цепочка рассылок о фейковых призах.
Учитывая предыдущий опыт, аферисты предприняли ряд мер, чтобы обнаружить, заблокировать или пресечь работу их фейковых сайтов было как можно сложнее. Если ранее сообщения могли содержать ссылку на статический портал, то сейчас она вела пользователя на один из многих тысяч доменов, переадресовывающих жертву на вирусный сайт через непрерывно изменяющийся ряд промежуточных web-сайтов.
По словам экспертов, домены не были привязаны к определенному бренду, а представляли из себя набор из сгенерированной серии символов в доменных зонах .ga, .gq, .cf, .tk и .ml. Зарегистрироваться там можно бесплатно и автоматически через API. При этом скрипты, с помощью которых массово регистрируются подобные доменные имена, находятся в свободном доступе.
Самым же интересным моментом в новой мошеннической схеме является сам процесс кражи денежных средств. Так, потенциальная жертва вводила реквизиты банковской карты и оформляла платную подписку, по условиям которой происходило списание 889 рублей каждые пять дней. Эти средства поступали на реальный счет юридического лица в одном из крупных российских банков. Антифрод-система кредитной организации не обращала внимание на такие платежи, а небольшая сумма компенсировалась количеством «подписчиков».
Чтобы вывести украденные деньги, аферисты одномоментно зарегистрировали свыше 20 доменов с однотипными сайтами, посвященными online-тренировкам для похудения. Ничего не подозревая, жертвы мошеннической атаки подписывались на платный курс, когда указывали данные своей карты. При этом поддельные фитнес-площадки не отличались функциональностью: большая часть опций не работала, сведений о подписке не было, публичная оферта фактически являлась юридически ничтожной. Это все служит доказательством того, что подобные порталы являлись частью мошеннической схемы с пиццей и спиртными напитками.
Эксперты подчеркивают, что на данный момент пик преступной атаки миновал. Все вирусные ресурсы были заблокированы, а массовые рассылки через соцсети и мессенджеры больше не фиксируются.
Комментарии: 0