«Красное & Белое» и «Додо-пицца» использовали для мошенничества

Мошенники использовали бренды «Красное& Белое» и «Додо-пицца» для массированного фишинга – за прошедшие два месяца команда по борьбе с киберпреступностью «РТК-Солар» обнаружила более 2 тыс. соответствующих вредоносных доменов, передает корреспондент Агентства новостей «Доступ» со ссылкой на пресс-службу ПАО «Ростелеком» в Челябинской области.

Под предлогом получения пиццы или бутылки вина всего за 1 рубль карта жертвы привязывалась к несуществующему платному сервису с регулярным списанием средств. Сейчас атаку удалось заблокировать, однако, как предупреждают эксперты, в ближайшие месяцы возможна реинкарнация данной схемы в новой форме.

По словам специалистов команды специальных сервисов Solar JSOC компании «РТК-Солар», выявленные фишинговые атаки стали продолжением вредоносной кампании, всплески которой наблюдаются каждые четыре-шесть месяцев. Благодаря взаимодействию с регистраторами доменов и регуляторами им удалось вовремя пресечь фишинговую активность, а оперативная коммуникация с банком, подключившим интернет-эквайринг, помогла в несколько раз сократить ущерб для пользователей.

Текущая атака продемонстрировала способность мошеннических схем к развитию. Как и прежде, злоумышленники использовали человеческий фактор – для получения «приза» жертве предлагалось самостоятельно переслать ссылку на вредоносный сайт 10-20 своим друзьям в мессенджере. Такой подход значительно повысил эффективность работы мошенников, так как ссылка от знакомого вызывает большее доверие, чем обезличенная почтовая рассылка.

Остальные же элементы атаки были тщательно переработаны. Так, для распространения информации об «акции» использовались не только мессенджеры, но и специально созданные группы в социальных сетях. Именно они запустили самораспространяемую цепочку рассылок о несуществующих призах.

По словам эксперта направления специальных сервисов «РТК-Солар» Александра Вураско, вредоносные домены не имели привязки к бренду, а представляли собой набор из сгенерированной последовательности символов в экзотических доменных зонах.

«Но самое интересное в новом витке схемы – это непосредственно процесс хищения денег. Вводя данные карты, жертва оформляла подписку, в рамках которой каждые пять дней с нее списывали 889 рублей. Деньги поступали на счет реально существующего юрлица в банке из топ-20. Такие платежи антифрод-системы банка в большинстве случаев не замечают, а малая сумма с лихвой компенсировалась большим количеством “подписчиков”», – пояснил эксперт.

Для вывода денег злоумышленники в один день зарегистрировали более двух десятков доменов, на которых разместили однотипные сайты, посвященные онлайн-тренировкам для «сжигания жира». Именно на этот курс незаметно для себя подписывались жертвы атаки, оставлявшие данные своих банковских карт. При этом фейковые фитнес-сайты были максимально нефункциональными – большинство опций не работало, подробные сведения об оформляемой подписке отсутствовали, а публичная оферта, хоть и имела сведения о юрлице, по факту являлась юридически ничтожной. Все это лишний раз доказывает, что данные сайты использовались исключительно как часть мошеннической схемы с напитками и пиццей.

На сегодня пик атаки прошел. Вредоносные сайты заблокированы, массовые рассылки в мессенджерах и социальных сетях не фиксируются.