Злоумышленники трансформировали работу сайтов-зеркал, которые пользователи принимают за официальные страницы банков. Теперь на таких фишинговых сайтах потенциальных жертв встречает бот, который якобы дает доступ к инвестплатформе, рассчитывает объем необходимых вложений, запрашивает личные данные и принимает взносы. О новом механизме «Известиям» сообщили в компаниях по кибербезопасности. Опрошенные эксперты напомнили, что нельзя отправлять деньги по реквизитам, переданным ботом в соцсетях или на сайтах. Все онлайн-коммуникации с клиентом банк ведет только в собственном приложении, подчеркнули они.
Как работает новая схема
Мошенники начали активно создавать фишинговые сайты с ботами, якобы совершающими брокерские услуги от имени популярных российских банков, сообщили «Известиям» в компаниях по кибербезопасности.
— Фишинговый сайт предлагает пройти тест и получить доступ к инвестиционной платформе банка, — пояснил замдиректора центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско. — После его прохождения на сайте открывается чат, где якобы созданный разработчиками банка бот ведет диалог с клиентом.
Робот, по словам эксперта, предлагает взять на себя всю грязную брокерскую работу: ежедневно анализировать финансовый рынок и самостоятельно совершать сделки по продаже и покупке акций «мировых компаний». Для старта работы бота-брокера пользователю предлагается лишь рассчитать дневной доход от инвестиций, отправить деньги на указанный счет и ждать прибыли.
— Разумеется, все вложенные средства остаются у мошенников, а «инвесторы» не получают обещанной прибыли, — подчеркнул Александр Вураско.
Руководитель направления информационной безопасности iTPROTECT Леонид Ломакин добавил, что в этой схеме маскировка под сайт банков — идентичный дизайн, похожее написание URL (адреса) — создает иллюзию доверия у невнимательных жертв.
— Бот запрашивает информацию постепенно, начиная от имени и номера телефона, заканчивая кодом из SMS или паспортными данными, — отметил эксперт. — Как только пользователь начал общение, остановиться ему с каждым шагом всё сложнее. Сама функция использования бота позволяет охватить как можно больше людей с минимальными ресурсами.
Также мошенники часто используют актуальные инфоповоды — например, спекуляцию в рамках повышения ставки ЦБ, которая влияет на финансовый рынок, добавил Леонид Ломакин.
Фальшивые предложения якобы от финансовых организаций злоумышленники могут рассылать по почте, в социальных сетях, мессенджерах, добавила старший контент-аналитик «Лаборатории Касперского» Ольга Свистунова.
Новая схема похожа на стандартные обманы мошенников, отметил директор компании «Интернет-розыск» Игорь Бедеров. Но к ней добавляется маркетинговый инструмент.
— Бот и становится этим инструментом маркетинга, призванным повысить доверие к ресурсу и вовлечь пользователя в схему, — сказал он «Известиям». — При этом он одновременно автоматизирует переписку с ним, для которой раньше приходилось привлекать дополнительных людей.
По словам эксперта, для развертывания кибермошеннической схемы сегодня не нужна большая команда, члены которой отвечали бы за разные направления: информационная безопасность, прием и вывод средств, общение с жертвами.
— Вполне достаточно одного мошенника, разбирающегося в современных технологиях, — подчеркнул Игорь Бедеров.
Чат-боты обычно предлагают пользователям нереалистичные цифры доходности, добавила младший аналитик исследовательской группы Positive Technologies Валерия Беседина.
— Обычно такие атаки построены на социальной инженерии, и, чтобы не пострадать от них, всегда нужно перепроверять информацию, — подчеркнула она. — К любым попыткам играть на эмоциях, будь то обещания гарантированной прибыли или давление на срочность, необходимо относиться с осторожностью.
Какие еще схемы используют мошенники
За восемь месяцев 2024 года в зонах .RU и .РФ в рамках проекта «Доменный патруль» было заблокировано 7375 фишинговых страниц, имитировавших ресурсы «Сбера», 2066 поддельных доменов «Альфа Банка» и 535 — ВТБ. Об этом «Известиям» рассказал руководитель проектов Координационного центра доменов .RU/.РФ Евгений Панков.
— Помимо создания фишинговых страниц, имитирующих сайты или личные кабинеты реальных банков, мошенники нередко создают страницы фальшивых, несуществующих банков, — рассказал он. — В прошлом году они также активно использовали фиктивные инвестплатформы и финансовые пирамиды, привлекая пользователей обещаниями высокой доходности.
За последние полгода компания по кибербезопасности BI.ZONE Brand Protection зафиксировала более 2,1 тыс. таких фишинговых ресурсов. Злоумышленники создают сайты для инвестиций с брендами популярных компаний или ресурсы несуществующих государственных фондов, которые также созданы якобы для инвестиций.
— Мошенники предлагают заполнить форму и ввести имя, фамилию, электронную почту и номер телефона, — отмечает представитель компании Дмитрий Кирюшкин. — Далее пользователь ожидает верификацию и подключение персонального менеджера. Похожий подход злоумышленники используют в различных схемах с обещаниями быстрых денег.
Также официальные российские приложения банков периодически удаляют из магазинов и агрегаторов приложений, поэтому кредитные организации иногда загружают новые версии с необычными названиями, добавил Леонид Ломакин. Этим фактором и пользуются злоумышленники, подгружая свои фишинговые подделки.
— Магазины приложений не всегда успевают их оперативно заблокировать, — пояснил он. — При этом стоит отметить, что банки практически сразу уведомляют о выходе своего нового приложения: внутри старого, в SMS и по другим официальным каналам связи. Все сайты, где предполагается ввод пользователем уязвимых данных, стоит тщательнее проверять на корректность.
Главный совет, который можно дать пользователям, — не переходить в коммуникации по ссылкам на внешние сайты, мессенджеры или чат-боты, добавил Евгений Панков.
Александр Вураско подчеркнул, что также следует постоянно повышать свою финансовую грамотность, проверять контрагента перед сделкой и работать с проверенными брокерами и инвестиционными организациями.
Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян добавил, что защититься от таких предложений просто: нужно помнить, что нельзя отправлять деньги по реквизитам, переданным ботом в Telegram или на сайте, а все онлайн-коммуникации с клиентом банки ведут только в собственных приложениях.