В конце мая центр расследования киберпреступлений Group IB выявил крупную мошенническую сеть, жертвами которой за два месяца стали более 300 тыс. пользователей. Злоумышленники копировали интерфейс популярных браузеров и государственных онлайн-сервисов и обещали посетителям крупный денежный выигрыш за совершение некоторых простых действий.

Расследование началось после того, как в Центр реагирования на киберинциденты (CERT) Group-IB поступила жалоба на ресурс http://browserupd[.]space. В ходе анализа специалисты выяснили, что сайт был зарегистрирован 26 апреля 2018 года и с ним связано еще девять идентичных страниц.

Ссылки на мошеннические ресурсы распространялись через спам-рассылку. По имеющейся статистике, ежемесячный охват каждого из сайтов составлял от 4500 до 35 тыс. человек, а вся кампания длилась около двух месяцев. Специалисты центра отдельно отметили масштаб, с которым действовали злоумышленники: контент был оптимизирован для разных регионов России, Украины, Казахстана и Беларуси.

Киберпреступники применяли две стратегии, в основе которых лежит социальная инженерия. В первом случае посетителям обещали вознаграждение в размере от 3 тыс. до 200 тыс. рублей за использование “обновленной” версии браузера. В сообщении говорилось, что деньги получат только первые десять тысяч “счастливчиков” и упоминалось, что общая сумма денежного приза составляет 1,5 млн долларов.

Злоумышленники полностью копировали интерфейс целевой страницы и подстраивали свое предложение под каждого пользователя индивидуально. Специально прописанный скрипт определял тип браузера и подгружал релевантный контент, кроме того, он создавал персонализированное “свидетельство об обновлении браузера”, содержащее реальный IP-адрес посетителя и данные его операционной системы.

Для получения выигрыша организаторы предлагали оплатить комиссию, составляющую от 350 до 1700 рублей. Деньги необходимо было внести через платформу E-pay.

Вторая схема мошенников была связана с государственными онлайн-сервисами, в частности высокой посещаемостью пользовалась поддельная копия интернет-платформы “Активный гражданин”. Злоумышленники создали шесть поддельных сайтов программы “Развитие регионов”, где предлагали посетителям получить от 65 тыс. рублей, пройдя опрос о реформировании системы ЖКХ, образования и здравоохранения.

Как и в первом случае, система подстраивалась под каждого конкретного пользователя, определяла местонахождение человека по IP и меняла свой интерфейс в зависимости от региона жительства.

В конце анкеты респонденту сообщали, что он сможет получить выигрыш только после внесения 170 рублей за активацию аккаунта. Для большей правдоподобности мошенники ссылались на несуществующий “Регламент проведения дистанционного опроса граждан”. Оплату предлагалось провести через вымышленный банк Евразийского экономического союза, на самом деле, деньги снова шли через E-pay.

Однако на этом преступники не останавливались. Для вывода средств после активации аккаунта посетителю предлагалось оплатить дальнейшие услуги — заверение реквизитов для получения денег, внесение данных опроса в единый реестр, комиссию информационной системы, страховку перевода и другие. Более того, стоимость каждой последующей операции была больше предыдущей.

В ходе кампании мошенники не заражали компьютеры пользователей вредоносным ПО. Главным фактором, сделавшим возможным эти преступления, стала доверчивость самих посетителей. Согласно исследованию Сбербанка, именно человеческий фактор приводит к успеху 80% подобных атак.

Категории: Другие темы