Команда «РТК-Солар» обнаружила более 2000 вредоносных доменов, которые использовались злоумышленниками для массированного фишинга от имени брендов «Красное и Белое» и «ДОДО пицца». Под предлогом получения пиццы или бутылки вина «всего за 1 рубль» банковские карты жертв привязывались к несуществующему платному сервису с регулярным списанием средств.

Фишинговые атаки стали продолжением кампании, всплески которой наблюдаются каждые 4-6 месяцев, отмечают специалисты команды специальных сервисов Solar JSOC «РТК-Солар». Как и прежде, злоумышленники используют человеческий фактор: для получения «приза» жертве предлагалось самостоятельно разослать ссылку на вредоносный сайт 10-20 друзьям в мессенджерах. Такой подход повысил эффективность действий мошенников: ссылка от друга вызывает большее доверие, чем обезличенная почтовая рассылка.

Все элементы атаки были тщательно проработаны. Так, для распространения информации об «акции» использовались не только мессенджеры, но и специальные группы в соцсетях. Именно они запустили самораспространяемую цепочку рассылок о «призах».

С учетом опыта предыдущих атак злоумышленники предприняли все необходимые меры, чтобы фейковые ресурсы работали как можно дольше, а их обнаружение и блокировка были затруднены. Если раньше сообщения содержали ссылку на статический сайт, то теперь она вела на один из тысяч доменов, который переадресовывал жертву на вредоносный ресурс через меняющуюся цепочку промежуточных сайтов.

«Вредоносные домены не имели привязки к бренду – это набор из сгенерированной последовательности символов в экзотических доменных зонах .ml, .tk, .cf, .ga и .gq. Регистрация там бесплатна и проходит через API, автоматически. В свободном доступе легко найти скрипты, позволяющие пачками регистрировать такие доменные имена, – отметил Александр Вураско, эксперт направления специальных сервисов Solar JSOC «РТК-Солар». – Но самое интересное в новой схеме – сам процесс хищения денег. Вводя данные карты, жертва оформляла подписку, в рамках которой каждые 5 дней с нее списывали 889 рублей. Деньги поступали на счет реально существующего юрлица в банке ТОП-20. Такие платежи антифрод-системы банка часто не замечают, а малая сумма компенсировалась большим количеством «подписчиков».

Для вывода денег злоумышленники зарегистрировали в один день более двух десятков доменов, на которых разместили однотипные сайты, посвященные онлайн-тренировкам для «сжигания жира». Именно на этот курс незаметно для себя подписывались жертвы атаки, оставлявшие данные своих карт. Фейковые фитнес-сайты были нефункциональными: большинство опций не работало, сведения об оформляемой подписке отсутствовали, а публичная оферта, хоть и имела сведения о юрлице, являлась юридически ничтожной. Все это доказывает, что данные сайты использовались исключительно как часть мошеннической схемы с напитками и пиццей.

Сейчас атака заблокирована, но возможна реинкарнация данной схемы в новой форме, – предупреждают эксперты «РТК-Солар».

Rate this item
(0 votes)
Read 109 times

О нас

Журнал IT News+ Чувашия — старейшее печатное издание посвященное высоким технологиям, выходящие более 10 лет на территории Поволжья.

Наши читатели — образованные платёжеспособные люди в возрасте от 30 до 45 лет. Руководители компаний или люди занимающие высокие посты, которые следят за новинками в мире высоких технологий как в нашем городе, так и в мире. Проживающие по большей части в Чебоксарах, Москве, Санкт-Петербурге, Новочебоксарске.

Рекламные материалы отмечены знаком "Р".

 
Top
We use cookies to improve our website. By continuing to use this website, you are giving consent to cookies being used. More details…