Group-IB
4250

Что важно знать об интернет-мошенничестве в 2020 году

Фишинговые атаки теперь проводят через разные ссылки, поэтому их стало сложнее блокировать. Киберпреступники научились тонко вплетать бренды в свои схемы и персонализировать контент, а миллионы людей попадают в различные ловушки вроде «кроличьей норы».

В закладки

Об основных трендах в интернет-мошенничестве, кратном росте кибератак и главных сложностях в борьбе с ними, рассказали в Group-IB.

Простые и примитивные виды интернет-мошенничества, каким оно было с первых лет существования Интернета, остались в прошлом. Как в фильмах про апокалипсис, вирус мутировал, стал устойчивее, и прежние методы лечения ему — как слону дробина.

Все знают про сайты с фишингом. Можно набрать в поисковике название известного бренда, кликнуть по контекстной рекламе и попасть на сайт-клон банка или интернет-магазина. На нем все будет очень похоже на настоящее — цвета, тексты, логотип, — а потом где-нибудь вас попросят ввести логин и пароль от вашего личного кабинета. И если вы по глупости ввели — ну, пеняйте на себя. Такие сайты очень легко сделать — с этим справится любой хакер-любитель и даже технически подкованный школьник или желающий легких денег сисадмин. Но и обнаружить и блокировать их так же легко: сайты легко находятся поиском, нарушения налицо, и если сообщить о схеме провайдеру-регистратору — за считаные часы информацию проверят и меры примут.

Все привыкли к этой схеме — ей почти столько же лет, сколько Интернету в целом. Кто-то еще может по глупости или невниманию повестись на нее, но в целом такой фишинг никого не пугает. И все расслабились — как пользователи, так и бренды.

А зря.

Новое поколение мошеннических схем было разработано уже не школьниками, а преступниками-профессионалами, и в разработке были учтены и побеждены все недостатки старой схемы. На нее ведутся миллионы людей, а обнаружить ее, доказать ее наличие и уничтожить «под корень» — практически невозможно.

Мы в Group-IB назвали одну из самых распространенных схем «кроличья нора».

Как это работает?

Первый этап: Привлечение трафика

«Алисе наскучило сидеть с сестрой без дела на берегу реки; разок-другой она заглянула в книжку, которую читала сестра, но там не было ни картинок, ни разговоров. Вдруг мимо пробежал белый кролик с красными глазами, который на бегу говорил: „Ах, боже мой, боже мой! Я опаздываю“. Раньше Алиса никогда не видела кролика с часами, да еще с жилетным карманом в придачу!»

В качестве приманки мошенники используют фейковые аккаунты звезд или известных брендов, чтобы от их имени объявить конкурс или опрос с приличным призовым фондом.

Второй этап: Дальнейшее распространение «заразы»

«Сгорая от любопытства, Алиса побежала за ним по полю. Она только-только успела заметить, что Кролик юркнул в нору под изгородью. В тот же миг Алиса юркнула за ним следом, не думая о том, как же она будет выбираться обратно».

После перехода по ссылке жертву просят ответить на несложные вопросы и оставить адрес своей электронной почты, а также поделиться своей удачей с друзьями в WhatsApp или в социальных сетях.

Третий этап: Атака

«Нора сначала шла прямо, ровная, как туннель, а потом вдруг круто обрывалась вниз. Не успела Алиса и глазом моргнуть, как она начала падать, словно в глубокий колодец».

Всем, кто оставил свои контакты, присылают приглашение принять участие в грандиозном опросе или викторине с приличным денежным вознаграждением. В конце опроса пользователям нужно перечислить некоторую сумму, чтобы оплатить «пошлину» или совершить тестовый платеж. Никакого вознаграждения никто не получает, зато, конечно, теряют свои деньги и персональные данные.

На этом этапе на техническом ресурсе нет упоминаний известных брендов или имен звезд, поэтому нет формального повода для превентивной блокировки. Сам ресурс находится на другом домене, куда ведут сотни и тысячи других «ловушек», но пользователи об этом не подозревают. Можно убрать одну ловушку, но блокировка фейковых аккаунтов напоминает бой с гидрой — на месте заблокированных страниц появляются новые.

Графовый анализ Group-IB демонстрирует взаимосвязи между ресурсами, которые используют интернет-мошенники​

Подведем итоги. Каковы основные тренды мошенничества 2.0?

1. Обнаружить, обезвредить мошеннические сайты стало значительно сложнее

Было: Статичные сайты.

Ссылка (копия официального сайта компании, или сайт, где нелегально используются название, логотипы, фирменные цвета) — статична. Ее легко обнаружить поиском, на нее легко пожаловаться провайдеру-регистратору, и можно быстро добиться удаления за нарушение авторских прав. Для этого можно не обращаться к специалистам, справиться своими силами. Вот же сайт, где скопированы наши данные, наши тексты, наш дизайн, незаконно используется наше название и логотип, надо на него пожаловаться — и все.

Стало: Одноразовая индивидуальная ссылка.

Когда пользователь кликает на баннер, контекстную рекламу или вредоносную ссылку из письма или даже СМС, он не сразу попадает на статичный сайт — сначала его выносит на так называемый redirect path, где с него соберут кучу идентификационных данных, геолокацию, язык, браузер, название провайдера. На основе этой информации автоматически создается итоговая мошенническая ссылка, которая включает timestamp — данные о конкретной дате и времени. Эта конкретная ссылка — индивидуальна и сработает только один раз и только у конкретного пользователя. Почему это важно? Когда компания — владелец бренда пойдет жаловаться провайдеру, ссылка просто не откроется, либо на ее месте будет что-то совершенно невинное. Что обезвреживать? Кого обезвреживать? Никого и не было.

Было: На всех страницах мошеннического сайта используется нелегитимное упоминание бренда.

По такому упоминанию было легко найти «плохие» страницы поисковиком, а также доказать факт нелегитимного использования бренда.

Стало: Упоминание бренда находится только на первом экране, а на всех последующих связи с брендом уже нет.

Пользователь переходит на страницу злоумышленников со страницы, на которой упоминается его любимый бренд, и не замечает, что на последующих сайтах, где ему предлагается совершить платеж или оставить свои персональные данные, этот бренд уже не упоминается. Для верности эти страницы могут лежать на совершенно другом домене и у другого провайдера.

Таким образом, связь с брендом существует только в восприятии пользователя, а доказать переход или найти эти страницы с «разводом» становится намного сложнее.

Вывод:

Схемы онлайн-мошенничества становятся все более проработанными, сложно и выявить случаи атаки на бренд, и доказать их, чтобы заблокировать сайты.

2. Технологии позволяют мошенникам завоевывать доверие пользователей, персонализируя контент под каждого

Было: Мошеннические сайты неинтерактивны, показывают всем одинаковое.

Стало: Прямо как в Facebook — благодаря технологиям сбора данных можно персонально под пользователя формировать уникальный контент.

Кликая по мошеннической ссылке, пользователь становится участником цепочки редиректов, где скрипты позволяют мгновенно собрать информацию о его расположении, провайдере, интересах (через анализ его сookies и недавно посещенных сайтов).

Распространенной схемой такого мошенничества являются опросы, где в качестве благодарности за участие предлагаются призы — смартфоны, автомобили, авиабилеты, денежные суммы. Опрос составлен в зависимости от интересов пользователей — играет ли конкретный посетитель в World of Tanks, был ли недавно на сайте «Эльдорадо» или покупал ли билеты «Аэрофлота» — в опросе это будет учтено. Опрос отображается на языке пользователя — страницами, которые могут отображаться на 18 различных языках, включая все основные европейские, китайский и арабский.

Предлагается ответить всего на несколько простых вопросов — это психологическая ловушка, позволяющая завоевать доверие. Ура, я знаю ответ, это как раз тема, которой я интересуюсь! Затем вас просят оставить свой электронный адрес и порекомендовать конкурс друзьям. Так от имени легального пользователя формируется «веерная рассылка» по его доверенному кругу лиц. Те, в свою очередь, не чувствуют подвоха, так как ссылку прислал их друг. Между тем его самого продолжают вести по этому лабиринту: ему на почту (он же сам ее указал) приходит приглашение подписаться на платный сервис. Или обновить официальное приложение на его смартфоне. Это письмо выглядит совершенно как настоящее. Выигранный автомобиль вот-вот уже вручат, деньги перечислят на счет. И он подписывается на предложенный сервис. Рыбка проглотила крючок.

Примеры:

  • В Сингапуре посетителей торрент-трекера thepiratebay.cc персональная ссылка вела на фейковый сайт М1, сингапурского сотового оператора (посещаемость — 13 500 человек в сутки).
  • На фейковых опросах от лица крупного российского ритейлера (посещаемость 6500 посетителей в сутки) пользователей обманом заставляли оставить на поддельном сайте персональные данные, электронную почту, данные банковской карты или логины-пароли от «учеток» личного кабинета. елью мошенников была кража денег (в России среднее списание — 50 000 рублей), баллов или персональной информации. Сама ссылка работала только один раз и только у одного конкретного пользователя, поэтому подобный ресурс было очень сложно обнаружить и нейтрализовать.

3. Для привлечения трафика стали активно использоваться социальные механизмы

Было: Использовались классические способы привлечения трафика на мошеннические сайты — спам по электронной почте, контекстная и баннерная реклама, поисковая оптимизация.

Справедливости ради отметим, что классические способы неплохо работали. Именно поэтому они не отжили свое и продолжают использоваться. Среди них можно назвать следующие:

  • Спам-рассылки. Может быть, вы думаете, что никто уже не поведется на них? Аудиторы Group-IB неоднократно ставили эксперименты и писали фальшивые, со множеством ошибок, крайне подозрительно выглядевшие имейлы. По результатам аудита Group-IB, 20% получателей открывают ссылки из электронных писем, как бы поверхностно и подозрительно они ни были составлены.

  • Баннерная реклама. Например, по баннеру с пиратского сайта в Сингапуре thepiratebay.cc на мошеннический сайт sgpget.info переходят 13 500 уникальных посетителей в сутки.

  • Контекстная реклама — 14% пользователей поисковых систем переходят по ссылкам не из органической выдачи, а из контекстной рекламы. Несмотря на то, что настоящие, не поддельные сайты брендов, как правило, находятся выше в выдаче, результаты контекстной рекламы находятся выше результатов поиска, тем самым создавая путаницу для пользователей.

Стало: К традиционным способам добавились соцсети и социальная инженерия — личное, доверительное общение.

  • Социальные сети — наиболее успешный способ привлечения аудитории для мошенников. В мире ежедневно создается 25 тысяч поддельных страниц популярных брендов.
  • Директы в социальных сетях. У злоумышленников, очевидно, свои SMM-отделы — по статистике Group-IB, средний поддельный аккаунт может переписываться со 150 пользователями в день.
  • «Гивы». Помимо аккаунтов компаний, большой популярностью пользуются неофициальные аккаунты селебрити (актеров, телеведущих, певцов). Тимати проводит розыгрыш Porsche, надо только внести взнос, чтобы поучаствовать.
  • «Письма счастья 2.0». Еще один новый тренд — вирусное распространение ссылок, когда пользователя просят разослать ссылку нескольким друзьям, а лучше — выложить ее в группы.

3. Это больше не любительский бизнес

Возможно, когда-то атаками на бренды занимались хакеры-любители, но теперь атакой на бренды занялись преступные группы с огромными ресурсами. В 2019 году команда Brand Protection Group-IB обнаружила Lotsy — крупную группу «траферов», нелегально использующих бренды международных компаний. Lotsy действуют от имени десятков крупных европейских брендов, таких как Alitalia, Conad, Carrefour и Target, заманивая преимущественно итало- и испаноговорящих пользователей на токсичные сайты с целью монетизации рекламного трафика. Было обнаружено 114 связанных между собой поддельных ресурсов, задействованных в мошеннической схеме Lotsy. Часть из них по-прежнему активны.

Очевидно, что это только начало. Количество случаев онлайн-мошенничества растет с каждым годом, причем намного быстрее, чем количество случаев простого «фишинга». Главная опасность в том, что мошенничество начинает камуфлировать себя и лишает тех, кто борется с ним, рычагов для блокировки. И снести одну «приманку» с именем известного человека или бренда мало, так как таких приманок тысячи, а под ними всеми — огромная, глубокая кроличья нора, которую так просто не раскопаешь и не убьешь.

{ "author_name": "Group-IB", "author_type": "editor", "tags": [], "comments": 11, "likes": 7, "favorites": 33, "is_advertisement": false, "subsite_label": "group-ib", "id": 111307, "is_wide": true, "is_ugc": false, "date": "Tue, 17 Mar 2020 13:58:12 +0300", "is_special": false }
Создать объявление на vc.ru
Право
Семь настоящих причин зарегистрировать товарный знак в России
Хорошее название помогает компании защититься от подделок, покорить рынок и выйти за рубеж. Плохое может её обанкротить.
0
11 комментариев
Популярные
По порядку
Написать комментарий...
9

Всем этим методам уже лет по 10, а социальная инженерия лет 20 активно используется. С добрым утром

Ответить
0

Saucedo Puetz, на самом деле "социалочка" в компьютерных преступлениях используется еще с 70-80-х, почитайте «Искусство обмана» Кевина Митника - он знает, о чем пишет. 

Что касается "Кролика", отдельные части схемы — например, фейковые интернет-опросы, поддельные аккаунты звезд или фишинг, действительно, использовались и раньше — по-отдельности. Их было сравнительно легко отследить и блокировать.

Но вот в прошлом году злодеи собрали из этого мошеннического конструктора "Франкенштейна"  — и эта новая схема, "Кроличья нора", стала не только многоступенчатой и масштабной, но и надежно защищенной от детектирования. 

«Кроличья нора» разделена на две части и несколько ресурсов для того, чтобы генерировать как можно больше трафика «звездными» именами и брендами, и при этом усложнить поиск и блокировку ресурсов, на которых происходит сама кража денег.  

Единственный выход - отследить всю цепочку перемещений жертв от «Белого кролика» до «Кроличьей норы» и заблокировать обе части схемы. Только так. 

Ответить
3

Сегодня хакер-любитель, а завтра уже "руководитель департамента сетевой безопасности" - вот всё что нужно знать о мошенниках.

Ответить
3

Не был бы этом материал спонсорским, я бы еще добавил, а так толку нет, удалят.

Ответить
1

Постоянно добавляет корпоративный аккаунт в инсте, в странные диалоги :( Теперь понял за чем и почему, спасибо за за инфу!)

Ответить
1

По защите от фишинга пару советов можно получить из этого видео:

Ответить
1

Эту проблему решить не так сложно, тут нужно заставить таких гигантов как Гугл, Фэйсбук, Твиттер и все платформы к ним принадлежащие ввести предмодерацию аккаунтов в соц сетях, проверку новых сайтов на подлинность, привязка к номеру мобильного телефона, паспорту, электронной подписи и так далее, только нужна воля этих гигантов или сила которая может на них повлиять, и сразу 80-90% шлака отвалится, остальной мусор уже можно будет точечно перебить. Другой путь, начинать информационно образовывать население, как детей так и взрослых. Информационная грамотность к сожалению есть у малого числа людей.

Ответить
0

Первую картинку (на черном фоне) рисовали в граф редакторе или какой-то сервис специализированный?

Ответить
0

Это Figma, не совсем граф, скорее многофункциональный векторный редактор)

Ответить
0

В интернете мошенники, а на улицах дебилы с травматами. Куда мир катиться?  

Ответить
0

лучше расскажите как nginx отработали

https://m.glavk.net/articles/108317-nginx_zakazali_u_group-ib

Ответить

Прямой эфир