Поделиться
NoCAPTCHA: злоумышленники используют сайты компаний для массовой рассылки писем
Эксперты «Лаборатории Касперского» предупреждают о всплеске мошеннических рассылок, направленных на русскоязычных пользователей. Речь идет о сообщениях, которые отправляются с официальных сайтов компаний без ведома владельцев. С середины июня по начало августа 2022 г. в компании зафиксировали как минимум 600 тыс. таких писем (данные анонимизированной статистики срабатывания решений «Лаборатории Касперского» с 14 июня по 2 августа 2022 г.). Об этом CNews сообщили представители «Лаборатории Касперского».
Сама схема известна не первый год, но не теряет своей актуальности. Она реализуется с помощью ботов и выглядит так: злоумышленники находят сайты, где есть формы для обратной связи, регистрации пользователей или связи с техподдержкой, которые не требуют верификации, в частности теста CAPTCHA. В одних случаях они вводят короткое скам-сообщение вместо логина или Ф.И.О, например: «Вы выиграли! Пройдите по ссылке». В других — вставляют развернутый текст с картинками в поле самого обращения. Далее почтовые адреса жертв добавляются в раздел «Контакты для связи». В результате человеку с легитимного адреса организации приходит автоматически сформированное письмо, например с благодарностью за регистрацию или уведомлением, что его обращение принято. В этом же письме отражается информация, которую ввели злоумышленники.
Обычно в подобных сообщениях адресату обещают легкий заработок или подарок, для этого нужно перейти по ссылке. Далее человек попадает на сайт, где ему предлагают пройти опрос, принять участие в акции или получить социальную выплату. В любом случае результат один — прежде чем получить деньги, требуется заплатить скромную по сравнению с обещанной суммой «комиссию» (например, несколько сотен рублей). На самом деле она и составляет заработок мошенников, жертва же не получает ничего и рискует конфиденциальными данными, если вводила их на сайте. Как правило, для убедительности на подобных страницах размещают фальшивые отзывы других благодарных пользователей.
В скам-сообщениях, которые рассылались в июне — августе, злоумышленники придерживались нескольких легенд. Например, предлагали принять участие в вымышленной акции мессенджеров и обещали моментальную денежную выплату — до $5000. В других письмах содержалось уведомление от некой платформы по автоматическому сбору денежных бонусов с предложением перейти по ссылке. На сайте говорилось, что учетная запись пользователя, якобы созданная год назад, будет удалена через день. Однако за время, пока аккаунт был неактивен, сбор денежных бонусов происходил в пассивном режиме и для вывода доступно больше 300 тыс. руб. Пользователю предлагают запустить вывод средств и показывают анимацию сбора денег с доменов в интернете. Чтобы их получить, необходимо указать номер своей банковской карты и выполнить проверочный платеж, который якобы должен вернуться вместе с суммой выплаты.
«Опасность этой схемы в том, что письма приходят с легитимного адреса. Это известный и актуальный прием среди злоумышленников, которые эксплуатируют недоработки на сайтах. Невнимательный пользователь может кликнуть по ссылке, не обратив внимание на верстку и несоответствие темы письма его содержанию. Мошенники применяют этот прием в том числе для обхода антифишинговых и антиспам-технологий. Поэтому важно использовать продвинутые защитные решения, которые могут эффективно детектировать такие угрозы и не дадут перейти по ссылке на мошеннический ресурс», — отметил Андрей Ковтун, руководитель группы защиты от почтовых угроз в «Лаборатории Касперского».
Чтобы не стать жертвой злоумышленников, «Лаборатория Касперского» рекомендует пользователям:
повышать уровень цифровой грамотности, критически относиться к подозрительному содержанию в письмах, особенно когда речь идет о внезапных выигрышах или компенсациях; установить надежное защитное решение, которое не даст перейти по фишинговой или скам-ссылке.
Также есть несколько рекомендаций для компаний:
установить надежное защитное решение, которое автоматически будет отправлять подобные письма в спам и регулярно проводить тренинги по кибербезопасности для сотрудников, обучать их распознавать техники социальной инженерии; владельцам сайтов рекомендуется использовать на страницах для ввода пользовательских данных верификацию, например тест CAPTCHA.
Поделиться
Короткая ссылка
