Мошенники атакуют пользователей ближневосточных стран
Яков Кравцов
Руководитель отдела исследования цифровых рисков департамента защиты от цифровых рисков
Евгений Егоров
Ведущий аналитик департамента защиты от цифровых рисков
Введение
Весной 2021 года аналитики департамента Digital Risk Protection (DRP) Group-IB зафиксировали мошенническую схему, направленную на пользователей арабоговорящих стран на Ближнем Востоке. В своих атаках злоумышленники незаконно использовали свыше 130 известных брендов со всего мира из различных индустрий: телекоммуникации, розничная торговля, индустрия развлечений и др.
В общей сложности аналитики Group-IB обнаружили более 4 300 мошеннических страниц, созданных на популярном веб-сервисе для ведения блогов Blogspot. Все эти страницы были зарегистрированы группой из более чем 100 аккаунтов.
Скаммеры действовали по проверенной схеме, используя в качестве приманки конкурсы-giveaway якобы от известных брендов, розыгрыши денежных призов от знаменитостей, а также конкурсы по трудоустройству от государственных организаций. Используя такие уловки, злоумышленники похищали личные данные или привлекали трафик на другие мошеннические сайты. Количество посетителей конечных сайтов, задействованных в схеме, составляет более 500 000 человек в месяц.
Как работает схема?
Жертвы попадают в сети злоумышленников, согласившись принять участие в якобы промо-акции от известного бренда, гос организации или знаменитости, чтобы попытаться выиграть ценный приз, деньги или получить работу, пройдя опрос или сыграв в "колесо фортуны".
Примеры публикаций в социальных сетях со ссылкой на мошеннический блог
Примеры публикаций в социальных сетях со ссылкой на мошеннический блог
Пример сообщения в Whatsapp со ссылкой на мошеннический блог
Жертву также могут попросить ввести свое полное имя, номер телефона, город проживания, уровень образования или желаемое место работы.
Независимо от выбора ответов или прокрутки "колеса", пользователь объявляется победителем и его просят поделиться ссылкой на этот или аналогичный сайт с розыгрышем с 5-20 контактам в WhatsApp. Это позволяет скамерам расширить потенциальный пул жертв.
После того, как жертва рассылает необходимое число сообщений, ее перенаправляют на другие мошеннические ресурсы: новые розыгрыши, скам-сайты знакомств, сайты с установкой расширений для браузера. В худшем случае жертва может оказаться на вредоносном или фишинговом сайте.
Мошенническая страница на Blogspot, на которой жертву просят поделиться ссылкой на розыгрыш со своими контактами в Whatsapp
Главной целью злоумышленников стали компании из телекоммуникационного сектора: в своей схеме мошенники использовали по меньшей мере 47 брендов телекоммуникационных компаний. Помимо телекома, мошенники также наживались на клиентах брендов из сферы розничной торговли, индустрии развлечений и автомобильной отрасли.
Индустрии атакованных брендов
Злоумышленники эксплуатировали не только бренды компаний, но и персональные бренды известных личностей, в частности членов королевской семьи Саудовской Аравии.
Мошенническая кампания была нацелена на 16 арабоговорящих стран: Саудовскую Аравию, Кувейт, Иорданию, Судан, Марокко, Египет, Бахрейн, Ирак, Йемен, Палестину, ОАЭ, Алжир, Ливан, Катар, Сирию, и Оман. Также атаке были подвержены англоязычные интернет-пользователи из Турции и Нигерии.
Однако мошенническая группа не всегда использовала на своих сайтах известные бренды и личности. Среди сайтов специалистами Group-IB также были выявлены фейковые сайты знакомств и просто фейковые розыгрыши.
Для того, чтобы заманить пользователей на скам-сайт, мошенники использовали рассылки в мессенджере WhatsApp, а также всплывающие окна pop-up и сервис контекстной рекламы Google Ads. Первый относящийся к этой мошеннической группе аккаунт на Blogspot был зарегистрирован в августе 2013 года. Пик регистрации этих аккаунтов пришелся на 2018 год, злоумышленники затем продолжили создание новых аккаунтов в 2019 и 2020 годах. По сей день на некоторых аккаунтах создаются мошеннические страницы, которые используют названия и дизайн множества брендов.
Схема работы группы
Отличительной чертой работы этой мошеннической группы является активное использование возможностей сервиса Blogspot в своих схемах.
Мошенническая страница на Blogspot, на которой жертву просят поделиться ссылкой на опрос со своими контактами в Whatsapp
Blogspot используется не только для регистрации фейковых страниц, имитирующих сайты известных брендов, но и для других целей: сервис выступает в качестве хранилища данных или своеобразного CDN (Content Delivery Network), с помощью которого хранится медиа-контент и код страниц. Такие данные в некоторых случаях загружаются на отдельные домены, благодаря чему мошенники экономят на услугах хостинга.
Blogspot также может выполнять функции сервиса для сокращения ссылок и использоваться для того, чтобы перенаправлять пользователей на мошеннические домены: поисковые системы считают переход по таким ссылкам безопасным и не отображают предупреждение о потенциально опасном сайте.
Саму же страницу на которой происходит редирект выявить довольно трудно, особенно рядовым пользователям, так как переход происходит мгновенно и пользователь банально не успевает увидеть факт редиректа.
Схема работы мошеннических страниц на Blogspot
Атрибуция атак
Установить связи между элементами инфраструктуры мошеннической группы удалось достаточно легко: кроме одинаковых названий (больше половины (51,9%) профилей имели od.company в названии), зарегистрированные аккаунты активно используют одни и те же ссылки для распространения в Whatsapp, перелинковки друг на друга, а также одинаковые сервера и группы доменов. Вышеперечисленное указывает на то, что эти профили вероятнее всего принадлежат одной группе злоумышленников.
Ниже представлен высокоуровневый пример объединения исследуемых аккаунтов по источнику трафика, Google-статистике и связями между доменами.
Группа использует более 100 аккаунтов, и их количество постоянно растет: за первое полугодие 2021 года количество страниц, созданных этими аккаунтами, возросло более чем в два раза. Самые ранние аккаунты, относящиеся к группе злоумышленников, были зарегистрированы в 2013 г., что удивительно, поскольку чаще всего мошеннические страницы не работают дольше нескольких месяцев. Эта же группа активно работает на протяжении как минимум 6 лет.
В своей работе группа злоумышленников использует не только ресурсы Blogspot, но и множество других инструментов, в том числе рекламу в социальных сетях и рассылки в мессенджерах.
Как не стать жертвой мошенников
Переходите на сайты компаний, известных личностей и гос. организаций через официальные источники, например, верифицированные аккаунты в социальных сетях или мессенджерах.
Вводите конфиденциальные данные и данные банковской карты только на проверенных сайтах.
Переходя по ссылкам из сообщений в мессенджерах или социальных сетях, проверяйте доменное имя сайта. Мошенники используют доменные имена созвучные с эксплуатируемыми брендами.
Проверяйте информацию об акциях и розыгрышах на официальных ресурсах брендов, гос. организаций или знаменитостей.
Рекомендации для правообладателей
Мониторьте и анализируйте жалобы клиентов компании, ставших жертвами мошенников.
Производите мониторинг интернет-ресурсов на предмет неправомерного использования имени и товарного знака компании.
Для предотвращения неправомерного использования своей интеллектуальной собственности используйте решения класса Digital Risk Protection (DRP), которые позволяют оперативно отслеживать угрозы бренду в онлайн-пространстве и отправлять их на блокировку.