Данные банковских карт — наверное, самый ценный вид улова для злоумышленника в Интернете. Но и заполучить эту информацию куда сложнее, чем, к примеру, телефон и электронный адрес. Чтобы заставить жертву выдать важные цифры, киберпреступники придумывают и разыгрывают сложные многоступенчатые сценарии, вовлекая пользователей во все более изощренные сюжеты. Правда, всегда с одинаковым финалом. В последнее время в моде схемы с возвратом НДС, несуществующими компенсациями за утечку данных и выплатами за локдаун. Сегодня мы представим вам еще один сюжет. В центре повествования — конвертация валюты.
Этап первый: письмо из Google
Потенциальная жертва получает письмо с темой «Последнее уведомление о закрытии счета». В тексте письма говорится, что на балансе получателя накопилось несколько сотен тысяч рублей — причем дополнительно уточняется, что это «реальные рубли», а не бонусные! Их нужно срочно вывести на карту, ведь совсем скоро аккаунт удалят, а накопленное сгорит «без восстановления баланса». Что это за аккаунт и за какие заслуги его владельцу начисляли деньги — в письме не уточняется.
В адресе отправителя нет типичной для мошеннического спама абракадабры: сообщение пришло от одного из сервисов Google. Это же помогает ему обходить спам-фильтры. Как же злоумышленникам удался такой ход?
Для этого они использовали лазейку в одном из легитимных сервисов Google — в данном случае Google Формы. Этот онлайн-инструмент помогает создавать анкеты для сбора данных, онлайн-тестирования и голосований. Составить такую анкету может каждый — достаточно иметь почтовый ящик на Gmail. Среди прочего, создатель опроса может настроить его так, чтобы каждый респондент получал «на память» копию вопросов и своих ответов электронным письмом.
Вот этой функцией и пользуются преступники. Сначала они создают опрос, а потом проходят его, подставляя в качестве контактных данных адреса потенциальных жертв (например, перебирая поочередно адреса из свежих утечек). Текст итогового письма они делят между вопросом и ответом, чтобы в конечном итоге те оказались рядом и пользователь принял их за текст уведомления.
А что в письме?
В тексте письма пользователю предлагают перейти по ссылке в личный кабинет, чтобы забрать те самые накопленные «реальные рубли». Ссылка, в отличие от адреса отправителя, выглядит подозрительно даже на первый взгляд — это случайный набор букв и цифр. Любая организация, уважающая себя и посетителей своего сайта, обычно делает его адрес осмысленным и читаемым.
В нижней части сообщения — таинственные цифры: ЕСПП (номер транзакции в Единой системе приема платежей), номер операции, код авторизации, ИНН. Такие данные обычно подтверждают совершение платежа — их часто можно увидеть на чеке или в справке из онлайн-банка, — но никак не в уведомлении о закрытии счета. Этот блок злоумышленники добавили с единственной целью — создать у жертвы впечатление легитимности происходящего.
Этап второй: ценный приз
Ссылка из письма через цепочку переадресаций ведет на страницу, где пользователю внезапно предлагают поучаствовать в розыгрыше призов. А как же личный кабинет и деньги, которые надо срочно вывести на карту? Забудьте. Больше злоумышленники к этой легенде не возвращаются.
По адресу сайта невозможно определить, что за организация устраивает конкурс, — это снова бессмысленный набор символов. На самой странице жертву просят ввести свое имя, а затем выбрать коробочку. Если коробочка окажется «правильной», пользователь получит приз. На все про все дается три попытки.
Первые две коробки оказываются пустыми, зато в третьей — какой сюрприз! — лежат деньги. Осталось нажать на яркую зеленую кнопку и забрать свои честно выигранные 3060 долларов.
Специально для тех, кто сомневается, не развод ли это, на той же странице размещен «живой» чат счастливчиков, которые якобы уже получили призы. Правда, на сообщения никто из них не отвечает.
Этап третий: неверная валюта зачисления
Нажав на кнопку «Забрать выигрыш», жертва попадает в чат с неким «оператором». Судя по всему, это бот, но его реплики довольно достоверно имитируют человека. Перед тем как вывести средства на кошелек или карту, «оператор» просит нажать на кнопку «Я даю свое согласие на получение выигрыша!».
Теперь кажется, что дело за малым: заполнить реквизиты карты или счета и идти тратить неожиданно свалившиеся на голову деньги. Тем более, что страница всеми силами пытается выглядеть надежно — значки международных платежных систем есть, CVV не требуют, да и данные якобы защищены технологией Protect.
Однако получить деньги внезапно не удается: банк получателя отклонил операцию, потому что «не смог произвести зачисление в долларах США».
Мошенники тут же любезно предлагают решить эту проблему. Конвертировать приз в рубли можно прямо здесь, не отходя от кассы. Стоимость процедуры смешная по сравнению с выигранными тысячами долларов — всего лишь 346 рублей. К тому же и эту сумму обещают вернуть в течение суток.
Операция также якобы поможет провести некую «верификацию личности» и «определение реквизитов» для вывода средств. Для первой — неудавшейся — транзакции никакая верификация, кстати, не требовалась.
Этап четвертый: время заплатить
Допустим, жертва нажимает на кнопку. Тогда и происходит то, ради чего все затевалось: открывается форма для ввода платежной информации — теперь уже всей, вплоть до секретного кода на обратной стороне карты.
Страница ввода данных карты представляется платежной системой FastPayment и настаивает на своей защищенности: для этого тут и два значка с обещанием безопасной оплаты, и солидное упоминание сертификата PCI DSS 2.0. К сожалению, красивые значки и надписи типа «у нас 100% без обмана» на форму ввода платежных данных может поместить кто угодно — они вовсе не означают, что страница безопасна.
Так или иначе, если жертва все же заполнит форму, то никаких призовых денег на счету, разумеется, не появится. И хорошо, если дело закончится всего лишь списанием 346 рублей — поскольку все данные карты уже попали в руки злоумышленником, потери могут быть существенно больше.
Как не попасться на обман
К сожалению, внезапные выплаты и розыгрыши призов в Интернете — это почти всегда обман. Чтобы не стать его жертвой, с мечтой о бесплатном сыре лучше попрощаться. А базовые правила безопасности в Сети помогут определить мошенническое письмо, вне зависимости от того, какой сюжет выдумают преступники в следующий раз.
- Не доверяйте письмам, в которых вам обещают дорогие призы, баснословные суммы и крупные переводы.
- Не переходите по ссылкам в электронных письмах, особенно от неизвестных или подозрительных отправителей. Лучше самостоятельно найдите в Интернете официальный сайт компании, от которой пришло сообщение. А еще лучше ввести адрес вручную — конечно, если вы его уже знаете.
- Обращайте внимание на ошибки и несоответствия в адресах электронной почты и сайтов, их дизайне, в названиях организаций и так далее. Необычный домен, многочисленные опечатки в текстах, странные формулировки или внезапная смена темы с «накопленной на счету суммы» на «розыгрыш призов» — верные признаки мошенничества.
- Не вводите личные данные, и в особенности реквизиты банковских карт, на сайтах, которые вызвали даже малейшее подозрение.
- Используйте надежный антивирус, с защитой от онлайн-мошенничества и фишинга, который вовремя предупредит об опасности и не даст перейти на опасный сайт.
- А чтобы защититься от телефонных мошенников и голосового спама, используйте специальное приложение — например, Kaspersky Who Calls, которое доступно как для Android, так и для iOS.