Что важно знать об интернет-мошенничестве в 2020 году

Фишинговые атаки теперь проводят через разные ссылки, поэтому их стало сложнее блокировать. Киберпреступники научились тонко вплетать бренды в свои схемы и персонализировать контент, а миллионы людей попадают в различные ловушки вроде «кроличьей норы».

Об основных трендах в интернет-мошенничестве, кратном росте кибератак и главных сложностях в борьбе с ними, рассказали в Group-IB.

Простые и примитивные виды интернет-мошенничества, каким оно было с первых лет существования Интернета, остались в прошлом. Как в фильмах про апокалипсис, вирус мутировал, стал устойчивее, и прежние методы лечения ему — как слону дробина.

Все знают про сайты с фишингом. Можно набрать в поисковике название известного бренда, кликнуть по контекстной рекламе и попасть на сайт-клон банка или интернет-магазина. На нем все будет очень похоже на настоящее — цвета, тексты, логотип, — а потом где-нибудь вас попросят ввести логин и пароль от вашего личного кабинета. И если вы по глупости ввели — ну, пеняйте на себя. Такие сайты очень легко сделать — с этим справится любой хакер-любитель и даже технически подкованный школьник или желающий легких денег сисадмин. Но и обнаружить и блокировать их так же легко: сайты легко находятся поиском, нарушения налицо, и если сообщить о схеме провайдеру-регистратору — за считаные часы информацию проверят и меры примут.

Все привыкли к этой схеме — ей почти столько же лет, сколько Интернету в целом. Кто-то еще может по глупости или невниманию повестись на нее, но в целом такой фишинг никого не пугает. И все расслабились — как пользователи, так и бренды.

А зря.

Новое поколение мошеннических схем было разработано уже не школьниками, а преступниками-профессионалами, и в разработке были учтены и побеждены все недостатки старой схемы. На нее ведутся миллионы людей, а обнаружить ее, доказать ее наличие и уничтожить «под корень» — практически невозможно.

Мы в Group-IB назвали одну из самых распространенных схем «кроличья нора».

Как это работает?

В качестве приманки мошенники используют фейковые аккаунты звезд или известных брендов, чтобы от их имени объявить конкурс или опрос с приличным призовым фондом.

После перехода по ссылке жертву просят ответить на несложные вопросы и оставить адрес своей электронной почты, а также поделиться своей удачей с друзьями в WhatsApp или в социальных сетях.

Всем, кто оставил свои контакты, присылают приглашение принять участие в грандиозном опросе или викторине с приличным денежным вознаграждением. В конце опроса пользователям нужно перечислить некоторую сумму, чтобы оплатить «пошлину» или совершить тестовый платеж. Никакого вознаграждения никто не получает, зато, конечно, теряют свои деньги и персональные данные.

На этом этапе на техническом ресурсе нет упоминаний известных брендов или имен звезд, поэтому нет формального повода для превентивной блокировки. Сам ресурс находится на другом домене, куда ведут сотни и тысячи других «ловушек», но пользователи об этом не подозревают. Можно убрать одну ловушку, но блокировка фейковых аккаунтов напоминает бой с гидрой — на месте заблокированных страниц появляются новые.

Ссылка (копия официального сайта компании, или сайт, где нелегально используются название, логотипы, фирменные цвета) — статична. Ее легко обнаружить поиском, на нее легко пожаловаться провайдеру-регистратору, и можно быстро добиться удаления за нарушение авторских прав. Для этого можно не обращаться к специалистам, справиться своими силами. Вот же сайт, где скопированы наши данные, наши тексты, наш дизайн, незаконно используется наше название и логотип, надо на него пожаловаться — и все.

Когда пользователь кликает на баннер, контекстную рекламу или вредоносную ссылку из письма или даже СМС, он не сразу попадает на статичный сайт — сначала его выносит на так называемый redirect path, где с него соберут кучу идентификационных данных, геолокацию, язык, браузер, название провайдера. На основе этой информации автоматически создается итоговая мошенническая ссылка, которая включает timestamp — данные о конкретной дате и времени. Эта конкретная ссылка — индивидуальна и сработает только один раз и только у конкретного пользователя. Почему это важно? Когда компания — владелец бренда пойдет жаловаться провайдеру, ссылка просто не откроется, либо на ее месте будет что-то совершенно невинное. Что обезвреживать? Кого обезвреживать? Никого и не было.

По такому упоминанию было легко найти «плохие» страницы поисковиком, а также доказать факт нелегитимного использования бренда.

Пользователь переходит на страницу злоумышленников со страницы, на которой упоминается его любимый бренд, и не замечает, что на последующих сайтах, где ему предлагается совершить платеж или оставить свои персональные данные, этот бренд уже не упоминается. Для верности эти страницы могут лежать на совершенно другом домене и у другого провайдера.

Таким образом, связь с брендом существует только в восприятии пользователя, а доказать переход или найти эти страницы с «разводом» становится намного сложнее.

Схемы онлайн-мошенничества становятся все более проработанными, сложно и выявить случаи атаки на бренд, и доказать их, чтобы заблокировать сайты.

Кликая по мошеннической ссылке, пользователь становится участником цепочки редиректов, где скрипты позволяют мгновенно собрать информацию о его расположении, провайдере, интересах (через анализ его сookies и недавно посещенных сайтов).

Распространенной схемой такого мошенничества являются опросы, где в качестве благодарности за участие предлагаются призы — смартфоны, автомобили, авиабилеты, денежные суммы. Опрос составлен в зависимости от интересов пользователей — играет ли конкретный посетитель в World of Tanks, был ли недавно на сайте «Эльдорадо» или покупал ли билеты «Аэрофлота» — в опросе это будет учтено. Опрос отображается на языке пользователя — страницами, которые могут отображаться на 18 различных языках, включая все основные европейские, китайский и арабский.

Предлагается ответить всего на несколько простых вопросов — это психологическая ловушка, позволяющая завоевать доверие. Ура, я знаю ответ, это как раз тема, которой я интересуюсь! Затем вас просят оставить свой электронный адрес и порекомендовать конкурс друзьям. Так от имени легального пользователя формируется «веерная рассылка» по его доверенному кругу лиц. Те, в свою очередь, не чувствуют подвоха, так как ссылку прислал их друг. Между тем его самого продолжают вести по этому лабиринту: ему на почту (он же сам ее указал) приходит приглашение подписаться на платный сервис. Или обновить официальное приложение на его смартфоне. Это письмо выглядит совершенно как настоящее. Выигранный автомобиль вот-вот уже вручат, деньги перечислят на счет. И он подписывается на предложенный сервис. Рыбка проглотила крючок.

Примеры:

Справедливости ради отметим, что классические способы неплохо работали. Именно поэтому они не отжили свое и продолжают использоваться. Среди них можно назвать следующие:

Возможно, когда-то атаками на бренды занимались хакеры-любители, но теперь атакой на бренды занялись преступные группы с огромными ресурсами. В 2019 году команда Brand Protection Group-IB обнаружила Lotsy — крупную группу «траферов», нелегально использующих бренды международных компаний. Lotsy действуют от имени десятков крупных европейских брендов, таких как Alitalia, Conad, Carrefour и Target, заманивая преимущественно итало- и испаноговорящих пользователей на токсичные сайты с целью монетизации рекламного трафика. Было обнаружено 114 связанных между собой поддельных ресурсов, задействованных в мошеннической схеме Lotsy. Часть из них по-прежнему активны.