Эволюция мошенничества: Group-IB выявила схему  «Кроличья нора»

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, обнаружила новую многоступенчатую мошенническую схему, получившую название «Кроличья нора». Как и Алису, бегущую за белым кроликом в сказке Льюиса Кэрролла, злоумышленники ведут своих жертв с ресурса на ресурс, похищая персональную информацию, данные банковских карт или деньги.

После снижения в прошлом году ущерба от финансового фишинга (падение на 65% до 87 миллионов рублей за период H2 2018 — H1 2019), мошенничество с использованием приемов социальной инженерии вышло на первое место в России по степени распространения угрозы. Наряду с телефонными аферами — вишингом, особой популярностью у интернет-мошенников весь прошлый и нынешний год пользуется схема, названная сотрудниками Brand Protection Group-IB «Кроличьей норой». Отдельные части схемы, например, фейковые интернет-опросы, появились около двух лет назад, однако со временем интернет-афера усложнялась и масштабировалась, и в итоге стала многоступенчатой и защищенной от детектирования.

За «белым кроликом»

Условно всю мошенническую схему специалисты Brand Protection Group-IB разделили на две большие части: «Белый кролик» — этап, на котором происходит привлечение траффика и «Кроличья нора», где непосредственно и происходит атака, кража денег или данных банковских карт.

На начальном этапе «Кролика» мошенники в качестве приманки используют фейковые аккаунты «звезд» шоу-бизнеса, блогеров или популярных телеведущих (реже — известных брендов. — прим. Group-IB), от имени которых объявляют конкурсы-giveaway, акции или опросы с приличным призовым фондом и дорогими подарками — смартфонами, наушниками, билетами и т.д. Среди селебрити, чей бренд чаще других используют мошенники, эксперты Group-IB отмечают Ольгу Бузову, Юрия Дудя, Ивана Урганта, Басту, Тимати, Анастасию Ивлееву, Михаила Галустяна, Андрея Малахова и др.

Примечательно, что баннеры или контекстная реклама с изображением звезд в соцсетях часто таргетирована под интересы конкретного пользователя, а для перехода используется персональная мошенническая ссылка, которая генерируется под конкретного клиента, исходя из его местоположения, IP-адреса, модели устройства, user-агента. Поскольку эта персональная ссылка индивидуальна и работает только один раз, это также затрудняет детектирование начального этапа схемы.

После перехода по ссылке на ресурс-опросник жертву просят ответить на несложные вопросы и «поделиться» своей удачей в WhatsApp или в соцсетях с друзьями. Таким образом, злоумышленники обеспечивают вирусное распространение схемы и нагоняют трафик на свои мошеннические сайты.

Параллельно у жертвы запрашивают адрес электронной почты, который в будущем может быть использован для рассылки фишинговых писем или заражения вредоносной программой. После подобных подготовительных действий мошенники переходят к следующему этапу атаки — «Кроличья нора».

Бездонная «нора»

Всем жертвам, которые клюнули на «наживку» на предыдущем этапе, на почту или в личные сообщения в мессенджерах приходят приглашения принять участие в новом грандиозном опросе или викторине с приличным денежным вознаграждением.

— Если бы такое письмо или сообщение пришло «на холодную», без предварительной подготовки клиента, оно отправилось бы в спам, но здесь пользователь сам ждет «чуда» — он прошел опрос, сделал репост, оставил свои контакты, — рассказывает Андрей Бусаргин, руководитель департамента защиты интеллектуальной собственности Group-IB. — Пользователь уже доверяет этому приглашению и фактически сам «прыгает» за кроликом в «нору».

Хотя на этих ресурсах уже нет упоминаний известных брендов или «звезд», пользователи не подозревают, что оказались в «ловушке». Суть мошенничества в том, что в конце опроса нужно перечислить некоторую сумму, чтобы оплатить «пошлину» , «налог» или совершить тестовый платеж. Естественно, никакого вознаграждения жертва не получает, зато теряет свои деньги и персональные данные.

Например, на фейковых опросах от лица крупного российского ритейлера (посещаемость 6500 посетителей в сутки) пользователей обманом заставляли оставить на поддельном сайте персональные данные, электронную почту, данные банковской карты или логины-пароли от «учеток» личного кабинета. Целью мошенников была кража денег (среднее списание — 50 000 рублей), баллов или персональной информации. Сама ссылка работала только один раз и только у одного конкретного пользователя — как следствие, подобный ресурс очень сложно обнаружить и нейтрализовать.

Если классический фишинг часто содержал упоминания брендов и мошенническую схему с кражей денег или учетных записей на одном ресурсе и это легко было отследить и блокировать, «Кроличья нора» разделена на две части и несколько ресурсов для того, чтобы генерировать как можно больше трафика «звездными» именами и брендами, и при этом усложнить поиск и блокировку ресурсов, на которых происходит сама кража денег. Не все компании готовы отслеживать, например, тизерную контекстную рекламу в социальных сетях, а регистраторы доменов технически не могут пройти всю цепочку от «Белого кролика» до «Кроличьей норы». Блокировка одних только фейковых страниц и аккаунтов напоминает бой с гидрой — на месте заблокированных появляются новые. Понимая, как работает схема, мы видим, как перемещается по сайтам пользователь и блокируем обе части схемы — только так можно эффективно бороться с этим типом мошенничества.

Андрей Бусаргин

Директор департамента инновационной защиты бренда и интеллектуальной собственности Group-IB

Опасность «Кролика» еще и в том, что от него страдают не только частные лица — репутационный ущерб несут крупные бренды, а также селебрити — звезды шоу-бизнеса, блоггеры и телеведущие, чьи имена и изображения используют мошенники. Почти 64% пользователей, которые столкнулись с мошенничеством с брендом в интернете, никогда не вернутся к этому бренду — доверие подорвано.