Сборщик невзаимозаменяемых токенов и инженер по кибербезопасности «NFT_Dreww», известный в Сети как Дрю, рассказал о краже мошенниками криптовалюты посредством вредоносных ссылок, имитирующих подключение к видеоконференции в сервисе Zoom.
Мошенничество ориентировано на держателей NFT и криптокитов — физических или юридических лиц, владеющих значительными объёмами криптовалют. Киберпреступники выходят в интернете на потенциальных жертв и начинают «прогревать» их вопросами, будут ли они заинтересованы в лицензировании интеллектуальной собственности — своих невзаимозаменяемых токенов. Если пользователь заинтересуется, его приглашают в Twitter Spaces, где можно напрямую общаться с другими пользователями соцсети, либо мошенники предлагают присоединиться к команде «нового проекта».
Для общения настоятельно предлагается именно Zoom, причём злоумышленники постоянно подгоняют, создают видимость важности дела и необходимой организационной суеты, чтобы пользователь как можно быстрее присоединился к встрече. Для подключения нужны ссылки, которые жертве скидывают в мессенджере или другим способом.
Ситуация в том, что ссылки для подключения к Zoom-встрече состоят из запутанной последовательности знаков, и проверять их соответствие легитимному домену вряд ли кто-будет, тем более на фоне нервозности и спешки. Таким образом пользователь, сам того не ведая, переходит на хакерский форум, замаскированный под «зависшую» страницу с бесконечным экраном загрузки. После этого «фокуса» пользователю предлагается загрузить и установить приложение ZoomInstallerFull.exe, которое на самом деле является вредоносом.
Затем пользователя сразу перебрасывает обратно на официальный сервис Zoom, чтобы жертва ничего не заподозрила, но зловредное ПО уже на компьютере и ворует криптовалюту. По словам Дрю, таким замысловатым способом мошенники украли криптовалюту уже на $300 тысяч.
«На это очень легко попасться… Я сомневаюсь, что 80% людей проверяют каждый символ в отправленной ссылке, особенно в ссылке Zoom», — рассказал Дрю.