Украинская преступная группировка Coinhoarder заработала более 50 млн долларов, заманивая энтузиастов криптовалюты из развивающихся стран на фишинговые сайты. Мошенники продвигали клоны популярного ресурса blockchain.info через сервис Google AdWords, пользуясь слабым знанием английского у своих жертв.

По словам экспертов Cisco Talos, которые обнаружили кампанию около года назад, преступники ведут деятельность по меньшей мере с 2015 года.

Как выяснили исследователи, организаторы Coinhoarder закупали контекстную рекламу по связанным с криптовалютой запросам: например, «crypto wallet» или «blockchain». Блок с рекламными объявлениями занимает первые строчки на странице выдачи Google, и далеко не все пользователи отличают его от основных результатов поиска. Мошенники предлагали перейти на домены, маскирующиеся под популярный BTC-кошелек blockchain.info: block-clain[.]info, blockchalna[.]info, blockcharin[.]info и другие. В некоторых случаях преступники использовали интернациональные символы, похожие на латинские буквы — blockchaìn[.]com, blokchaín[.]info, — делая URL практически неотличимым от адреса исходной страницы.

Чтобы повысить шансы на успех, участники Coinhoarder атаковали развивающиеся страны с низким уровнем владения английским языком и даже внедрили на своих ресурсах SSL-шифрование. Ранее эксперты ИБ уже сообщали о растущей популярности ложных сертификатов среди киберпреступников. Пользователи склонны доверять сайтам с «замком» в адресной строке, и мошенники это знают: в III квартале 2017 года на HTTPS-доменах оказались размещены около 25% фишинговых сайтов. Это почти вдвое больше, чем во II квартале. При этом в 2016 году эта цифра не превышала 3%.

Кампанию удалось обнаружить по всплеску DNS-запросов к фишинговым сайтам. Как отмечают эксперты, в феврале час рекламы в Google обеспечил преступникам приток в 200 тысяч посетителей.

Анализ данных WHOIS показал, что за атакой стоят граждане Украины, и к расследованию подключился департамент киберполиции этой страны. ИБ-аналитикам и сотрудникам правоохранительных органов удалось выяснить, что за период с сентября по декабрь 2017 года злоумышленники выманили у жертв криптовалюты на 10 млн долларов, из которых 2,5 млн пришлись на пиковые три с половиной недели. Общая сумма преступных доходов за три года оценивается в 50 млн долларов. Немалую роль сыграл курс биткойна — в 2015 году он не превышал $300, а в середине декабря 2017 достигал $20 тысяч. Эксперты отметили, что столь бурный рост затруднит злоумышленникам незаметный вывод преступных средств.

К настоящему моменту все домены, которые были обнаружены в ходе расследования, уже заблокированы, однако личности преступников установить пока не удалось.

Это не первый случай, когда рекламные технологии находят применение в киберпреступности. В январе 2018 года ИБ-специалисты обнаружили сеть фальшивых маркетинговых агентств, которые завлекали посетителей на зараженные площадки через баннеры на легитимных веб-ресурсах. Схема обеспечила мошенникам еженедельный охват до 60% всех зарабатывающих на интернет-рекламе сайтов.

Категории: Мошенничество