Угощение за рубль. Жертв нестандартной финсхемы завлекали пиццей и вином
Мошенники придумали нестандартную приманку для хищения денег у россиян по нестандартной же схеме: от имени брендов «Красное и белое» и «Додо Пицца» они рассылали информацию об акции, в рамках которой бутылка вина или пицца предлагались всего за 1 рубль, а потом карта жертвы привязывалась к несуществующим платным сервисам с регулярными списаниями. Детали аферы раскрыла специализирующаяся на кибербезопасности компания «РТК-Солар» из группы «Ростелеком».
По данным компании, мошенники также сделали все для того, чтобы обеспечить длительную работу фейковых ресурсов и затруднить их обнаружение и блокировку. «Если раньше рассылаемые сообщения, как правило, содержали ссылку на статический сайт, то теперь она вела на один из тысяч доменов, который переадресовывал жертву на вредоносный ресурс через постоянно меняющуюся цепочку промежуточных сайтов», — объясняют эксперты.
«Вредоносные домены не имели привязки к бренду, это набор из сгенерированной последовательности символов в экзотических доменных зонах .ml, .tk, .cf, .ga и .gq. Регистрация там бесплатна и может быть осуществлена через API, то есть автоматически. В свободном доступе легко найти скрипты, позволяющие пачками регистрировать такие доменные имена», — комментирует эксперт направления специальных сервисов Solar JSOC компании «РТК-Солар» Александр Вураско.
«Такие платежи антифрод-системы банка в большинстве случаев не замечают, а малая сумма с лихвой компенсировалась большим количеством "подписчиков"», — констатирует Вураско.
Для вывода денег аферисты в один день зарегистрировали более 20 доменов с однотипными сайтами по онлайн-тренировкам для «сжигания жира». «Именно на этот курс незаметно для себя подписывались жертвы атаки, оставлявшие данные своих банковских карт. При этом фейковые фитнес-сайты были максимально нефункциональными: большинство опций не работало, подробные сведения об оформляемой подписке отсутствовали, а публичная оферта, хоть и имела сведения о юрлице, по факту являлась юридически ничтожной», — указывают в «РТК-Солар».
Атака уже заблокирована. «Благодаря взаимодействию с регистраторами доменов и регуляторами удалось вовремя пресечь фишинговую активность, а оперативная коммуникация с банком, подключившим интернет-эквайринг, помогла в несколько раз сократить ущерб для пользователей», — подчеркивается в сообщении.
Впрочем, эксперты не исключают реинкарнации схемы в новой форме в ближайшие месяцы.
Саморасширяющаяся система
Для получения «приза» жертве надо было переслать ссылку на поддельный сайт 10–20 друзьям в мессенджере. Новым элементом схемы стало распространение информации еще и через специально созданные группы в соцсетях. «Именно они запустили самораспространяемую цепочку рассылок о несуществующих призах», — указывает «РТК-Солар».По данным компании, мошенники также сделали все для того, чтобы обеспечить длительную работу фейковых ресурсов и затруднить их обнаружение и блокировку. «Если раньше рассылаемые сообщения, как правило, содержали ссылку на статический сайт, то теперь она вела на один из тысяч доменов, который переадресовывал жертву на вредоносный ресурс через постоянно меняющуюся цепочку промежуточных сайтов», — объясняют эксперты.
«Вредоносные домены не имели привязки к бренду, это набор из сгенерированной последовательности символов в экзотических доменных зонах .ml, .tk, .cf, .ga и .gq. Регистрация там бесплатна и может быть осуществлена через API, то есть автоматически. В свободном доступе легко найти скрипты, позволяющие пачками регистрировать такие доменные имена», — комментирует эксперт направления специальных сервисов Solar JSOC компании «РТК-Солар» Александр Вураско.
Минус 889 рублей каждые пять дней
Самым интересным в новой схеме эксперт называет сам процесс хищения денег: вводом карточных данных жертва автоматически оформляла подписку со списанием 889 рублей каждые пять дней. Деньги уходили на счет реально существующего юридического лица в российском банке из первой двадцатки.«Такие платежи антифрод-системы банка в большинстве случаев не замечают, а малая сумма с лихвой компенсировалась большим количеством "подписчиков"», — констатирует Вураско.
Для вывода денег аферисты в один день зарегистрировали более 20 доменов с однотипными сайтами по онлайн-тренировкам для «сжигания жира». «Именно на этот курс незаметно для себя подписывались жертвы атаки, оставлявшие данные своих банковских карт. При этом фейковые фитнес-сайты были максимально нефункциональными: большинство опций не работало, подробные сведения об оформляемой подписке отсутствовали, а публичная оферта, хоть и имела сведения о юрлице, по факту являлась юридически ничтожной», — указывают в «РТК-Солар».
Атака уже заблокирована. «Благодаря взаимодействию с регистраторами доменов и регуляторами удалось вовремя пресечь фишинговую активность, а оперативная коммуникация с банком, подключившим интернет-эквайринг, помогла в несколько раз сократить ущерб для пользователей», — подчеркивается в сообщении.
Впрочем, эксперты не исключают реинкарнации схемы в новой форме в ближайшие месяцы.
Читайте также
«Ренессанс Банк» обсудил с экспертами перспективы развития карточного бизнеса
На этой неделе Ренессанс Банк собрал журналистов на пресс-завтрак, чтобы в компании экспертов обсудить актуальные тенденциям на рынке пластиковых карт в России
ЦБ в шестой раз оставил ключевую ставку без изменения
Сегодня, 9 июня 2023 года, Банк России в шестой раз принял решение оставить ключевую ставку на уровне 7,5% годовых
Ишбанк прекращает выпуск и обслуживание карт Visa
С 1 июня 2023 года Ишбанк прекратил выпуск новых и перевыпуск действующих банковских карт платежной системы Visa
Все школы и колледжи Татарстана приняли участие в весенней сессии онлайн-уроков по финансовой грамотности
Весенняя сессия онлайн-уроков Банка России охватила 100% школ и учреждений среднего профессионального образования Татарстана
Минфин сообщил о возможности приобрести ценные бумаги ЕАЭС через ИИС-3
Минфин: с помощью ИИС-3 можно будет приобретать только ценные бумаги ЕАЭС
«Цифра брокер» остановит торги иностранными бумагами с «недружественных» бирж
Клиентам останется доступна опция торговли ИЦБ на СПБ бирже
Угнанные автомобили планируют освободить от налогообложения
Владельцев угнанных и находящихся в розыске транспортных средств планируют освободить от уплаты транспортного налога
Прибыль страховщиков за первый квартал 2023 года выросла почти втрое
Так, за первые три месяца текущего года страховщики получили прибыль в размере 136,9 млрд рублей
Forbes сообщил о списании средств россиян в турецком банке
Forbes: турецкий Denizbank списал деньги со счетов некоторых клиентов-россиян
Верховный суд разъяснил, как быть с ипотекой при разводе
Если имущество находится в ипотеке, его все равно можно поделить после развода