Сетевое мошенничество, выдающее себя за оригинальную техническую поддержку старо как мир, но киберпреступники не перестают изобретать новые способы незаконного отъёма денег у населения. Недавно была зарегистрирована волна фишинговых писем, которая показала свою эффективность и позволила хакерам достичь своей цели.

Центр защиты от кибератак компании Microsoft вчера сообщил о массовой рассылке по электронной почте фишинговых ссылок на вебсайты, которые убедительно показывают посетителям всплывающие окна с предупреждениями о, якобы, обнаруженных проблемах с их компьютерами и предложением немедленно решить эти проблемы, позвонив по указанному телефону технической поддержки.

«Электронный спам, содержащий ссылки на фейковые сайты технической поддержки технически является обычной фишинговой кампанией. Такие письма выглядят как сообщения от реальных реселлеров софта или специализированных социальных сетей, а подозрительные ссылки умело скрываются за безвредным текстом», — написали в своём исследовании Олден Порнасдоро (Alden Pornasdoro), Юнь Мун (Jeong Mun), Барак Шейн (Barak Shein) и Эрик Авина (Eric Avena).

По мнению авторов исследования обнаруженная ими схема принципиально отличается от обычных «холодных» звонков мошенников «от техподдержки», которые были в ходу раньше. Тогда киберпреступники использовали различные инструменты, чтобы навести жертву на вредоносные рекламные баннеры, размещённые на «левых» сайтах, которые, с свою очередь, запускали на компьютерах пользователей установку фейкового софта. Этот софт вынуждал жертву звонить в мошенническую техподдержку. Другой распространённый способ «развода» включал разные вредоносные программы (например, Hicurdismos или Monitnev), которые показывали пользователям «экраны смерти» (BSOD) или поддельные сообщения об ошибках.

В исследовании указывается: «Данная спам кампания доказывает, что киберпреступники не перестают искать новые векторы атак. Конечно, они вряд ли откажутся от «старых, проверенных» способов таких, как, например, реклама, малвара или холодные звонки, но эта новая технология, безусловно, предоставляет в их распоряжение гораздо более эффективных инструмент, имеющий значительно больший охват».

Microsoft зарегистрировал фишинговые письма, которые маскировались под сообщения от Amazon, Alibaba и LinkedIn. Внедрённые ссылки вели на сайты, где пользователю впаривалась фейковая техподдержка.

Некоторые из этих сайтов переводят браузер в полноэкранный режим, в котором имитируют другие окна, которые содержат поддельные адресные строки, чтобы замаскировать реальное местонахождение пользователя. Об этом виде атак Microsoft сообщал в марте, при этом заметив, что в этих случаях использовался вредоносный скрипт из семейства Techbrolo.

При посещении таких сайтов пользователю демонстрируются всплывающие окна с фейковыми предупреждениями о заражении вирусами, истечении лицензии на разный софт или о системных проблемах с компьютером. Конечной целью этой активности является заставить жертву позвонить на указанный мошенниками телефон «техподдержки».

Мошенникам не занимать фантазии и креативности в манипулировании пользователями. Одни сайты показывают таймеры, чтобы создать ощущение крайней необходимости, другие проигрывают аудио-сообщения, описывающие суть обнаруженных технических проблем. Ещё одна любопытная тактика состоит в показе назойливых всплывающих диалоговых окон, которые появлялись каждый раз после попытки их закрытия, таким образом блокируя работу браузера.

Неудивительно, что звонок в такую «техподдержку» в конце концов приводит к настойчивой просьбе мошенников заплатить за услуги по решению обнаруженных проблем.

Центр защиты от кибератак Microsoft оценивает, что ежемесячно примерно три миллиона пользователей сталкиваются с подобным мошенничеством. Для борьбы с этой напастью компания добавила в последние версии своей операционной системы и браузера Edge специальные технологии, в том числе защиту от рекурсивных всплывающих окон.

Вывод Microsoft неутешителен: «Фейковая техподдержка продолжает развиваться и расширяться. Атаки становятся всё более сложными, многоходовыми, использют различные векторы для контакта с пользователями».

Категории: Вредоносные программы, Кибероборона, Хакеры