Пару лет назад одним из самых популярных, судя по посещаемости, ресурсов мошеннической сети была фейковая интернет-платформа «Активный гражданин». Злоумышленники создали шесть идентичных фальшивых сайтов программы «Развитие регионов», на которых посетителям обещали выплатить от 65 000 рублей за ответы на интерактивный опрос о необходимости реформирования ЖКХ, сферы образования и здравоохранения.

Мошенническая схема была нацелена под конкретного пользователя: программа по IP определяла местонахождение посетителя сайта, в зависимости от чего менялся контент и оформление ресурса. Например, для жителей российской столицы в шапке опроса упоминается Москва и Московская область, а для жителей Винницкой области сайт стилизован под цвета украинского флага.

Даже ответив на вопросы, пользователи не могли получить свое вознаграждение из-за якобы неактивированного аккаунта: «Активация аккаунта и его разблокировка в системе „Активный гражданин" во время проведения опроса является платной и составляла 170 рублей».

Чтобы запутать пользователей, мошенники ссылались на некий «Регламент проведения дистанционного опроса граждан» № 203 о 17 января 2018 года. Оплату предлагали провести через несуществующий банк Евразийского экономического союза, но фактически деньги шли через ту же платформу e-pay, которая была задействована в схеме с браузерами.

Оплатив активацию аккаунта, «активный гражданин» вновь не может получить свой выигрыш — мошенники раскручивали его на новые и новые расходы. «Прейскурант» выглядел так:

1. Заверение реквизитов для получения средств — 350 руб.
2. Внесение данных опроса в единый реестр — 420 руб.
3. Комиссия информационной системы — 564 руб.
4. Оплата страховки перевода — 630 руб.
5. Регистрация выплаты в управляющем департаменте — 710 руб.
6. Активация цифровой подписи — 850 руб.
7. Согласование перевода со службой безопасности — 975 руб.
8. Регистрация цифровой подписи — 1190 руб.
9. Оплата услуги — моментальный перевод — 1280 руб.
10. Подключение шифрованной линии связи — 1730 руб

Несмотря на незначительный срок работы новых сайтов — от месяца до двух — специалисты Group-IB отмечают масштаб, с которым действовали злоумышленники: у них были «заготовки» с стилистикой и контентом под различные регионы России, Украины, Белоруссии и Казахстана. Распространение ссылок на мошеннические сайты происходило через спам-рассылку и рекламу: в среднем каждый из сайтов ежемесячно посещали от 4 500 до 35 000 человек.

Злоумышленники от имени популярного банка предлагают пользователям пройти опрос о качестве обслуживания с целью улучшения качества сервиса. После ответов на достаточно простые опросы пользователю предлагается получить выплату, в конечном счете указав данные банковской карты в фишинговой форме.

Целевая аудитория такого сценария - пенсионеры, малообеспеченные граждане, безработные, а также недостаточно осведомленные в плане цифровой гигиены люди. Некоторых пользователей может не смущать даже тот факт, что у них никогда не было счета в проводящем опрос банке.

В феврале 2020 года Rambler Group и компания Group-IB выявили многоступенчатую мошенническую схему под видом фиктивной Ежесезонной премии «Лайк года 2020». В рамках масштабной фишинговой атаки пользователям предлагалось выиграть крупный денежный приз за случайно выбранный лайк, поставленный ими в соцсетях.
Используя распространенные методы социальной инженерии, основанные на желании выигрыша, мошенники в течение длительного времени выманивали данные банковских карт пользователей. В общей сложности было обнаружено более 1000 связанных доменов, использовавшихся в атаке.

Для привлечения желающих получить премию мошенники взломали почтовые серверы одного из операторов фискальных данных (ОФД) и массово рассылали пользователям Рунета сообщения от имени «команды Rambler». Тема посланий так или иначе была связана с денежными выплатами. Получателей поздравляли с победой в конкурсе и с денежным призом, который составлял от 100$ до 2 000$.

Мошенники использовали несколько векторов атаки для заманивания пользователей к участию в премии «Лайк года 2020». Помимо рассылки почтовых сообщений они также доставляли фишинговые сообщения через другие каналы, в частности, направляли оповещения о денежном вознаграждении в Google-календарь.

При настройках календаря по умолчанию данные приглашения автоматически добавляются в него вместе с напоминанием. Таким образом любой пользователь Google-календаря может отправить приглашение на мероприятия другим пользователям Gmail, даже если их нет в его адресной книге. В итоге жертва получит уведомление о создании нового события на почту. Ключевые слова в содержании будут следующими: «банк, одобрена, выплата денежных средств, программа, возмещение, получение, согласовано, федеральная, служебная, реквизиты» и т. д.

Далее на связь выходит «оператор», который консультирует пользователя о дальнейших шагах. В данном случае вместо стандартного окна чата с аватаркой для большей реалистичности мошенники используют видео, в окне рядом демонстрируются инструкции.

Затем новый редирект — на этот раз пользователя просят ввести номер банковской карты для перевода ему выигрыша. Следующий этап схемы — твист (термин, обозначающий неожиданный поворот в кино): банк внезапно отклоняет карту пользователя. Для решения проблемы предлагается конвертировать валюту, так как выплата может быть произведена только в рублях. Пользователю необходимо заплатить небольшую комиссию — порядка 270 рублей.

Пользователь соглашается оплатить комиссию. Кульминация схемы — редирект на сайт с «безопасным» вводом банковских реквизитов: номера карты, срока действия и CVV, чтоб оплатить комиссию на якобы верифицированном всеми возможными платежными системами сервисами.

Именно здесь происходит кража данных банковской карты пользователя. Интересно, что в схеме с «Лайком года» на последнем этапе ввода данных используется реальный платежный шлюз. То есть «комиссию» мошенники действительно списывают, но их основная цель — данные карты. Как правило, в дальнейшем коллекции текстовых данных карт продаются в кардшопах или же на них приобретаются товары с целью дальнейшей перепродажи и обнала.

Получив подозрительное письмо, стоит к нему отнестись с осторожностью — не переходить по указанным ссылкам. Поэтому мы советуем в таком случае связаться с представителями бренда и уточнить, действительно ли была такая рассылка.

1. Нужно относитесь с опаской к сообщениям и формам, в которых вас просят указать ваши личные данные.
2. Отключите возможность автоматического добавления приглашений и мероприятий в свой Google-календарь (Настройки>> Мероприятия>> Автоматическое добавление мероприятий (отключить)).
3. Не переходите по ссылкам, присланным в подозрительных или непонятных сообщениях электронной почты или через социальные сети.
4. Не загружайте и не запускайте вложенные файлы из сообщений электронной почты, которые вы не ожидали.
5. Внимательно анализируйте адреса сайтов, на которые ведут ссылки из писем.
6. На всех аккаунтах, где это возможно, подключите двухфакторную аутентификацию. Это поможет, если основной пароль попал к взломщикам.
7. Своевременно обновляйте системное и прикладное ПО и устанавливайте обновления безопасности.