Group-IB ликвидировала мошенническую кампанию, имитирующую опрос ВОЗ
30 апреля 2021 года
Group-IB, международная компания, специализирующаяся на предотвращении кибератак и расследовании высокотехнологичных преступлений, обнаружила новую масштабную мошенническую кампанию в Интернете, за которой стоит группа, получившая название DarkPath Scammers. Злоумышленники создали распределенную сеть из 134 мошеннических сайтов, имитирующих Всемирную организацию здравоохранения (ВОЗ), и обещали пользователям вознаграждение за прохождение фейкового опроса, посвященного Дню осведомленности о здоровье. Однако вместо обещанных €200 пользователей перенаправляли на сайты знакомств, платных подписок или мошеннические ресурсы.
Фейковый опрос под эгидой ВОЗ
В начале апреля Международный вычислительный центр ООН (UNICC) оповестил Group-IB о поддельном сайте, использующем бренд Всемирной организации здравоохранения. Пользователям предлагали ответить на несколько простых вопросов и заработать €200 по случаю Всемирного дня здоровья, который ежегодно проводится 7 апреля под эгидой ВОЗ.
После ответа на несложные вопросы пользователю предлагали поделиться ссылкой на опрос со своими друзьями и коллегами по базе контактов в WhatsApp — таким образом мошенники старались масштабировать свою схему. Исследователи Group-IB выяснили, что, когда жертва нажимала на кнопку «Поделиться» и неосознанно вовлекала в аферу своих знакомых, вместо обещанного вознаграждения ее перенаправляли на сторонние мошеннические ресурсы, где предлагали принять участие в другом розыгрыше, установить расширение для браузера или подписаться на платные услуги. В худшем случае пользователи могли оказаться на вредоносном или фишинговом сайтах.
Особенностью этой схемы является индивидуальный подход к жертве — контент, который она видит, зависит от местоположения, user agent и настроек языка. Например, валюта денежного вознаграждения менялась в зависимости от локации пользователя.
Знакомьтесь — DarkPath Scammers
В ходе расследования команда Group-IB Digital Risk Protection наткнулась на сложную распределенную мошенническую инфраструктуру, включавшую в себя сеть из 134 практически идентичных связанных доменов, на которых были размещены страницы с тематикой Всемирного дня здоровья. Group-IB заблокировала все мошеннические домены в течение 48 часов с момента обнаружения и после этого мошенники полностью перестали использовать бренд ВОЗ в своей сети.
Однако дальнейшее исследование показало, что все эти выявленные и заблокированные Group-IB домены являлись частью более крупной сетки, которая контролировалась группой мошенников под кодовым названием DarkPath Scammers. Фейковые ресурсы, созданные под ВОЗ, были связаны как минимум с 500 другими мошенническими и фишинговыми ресурсами, имитирующими более 50 известных международных брендов пищевой промышленности, спортивной экипировки, электронной коммерции, программного обеспечения (ПО), энергетики и автоиндустрии.
Анализ сайтов показал, что преступники используют мошеннические наборы инструментов (подобно фишинговым наборам) для создания и разработки мошеннических страниц. Один набор позволяет имитировать одновременно несколько брендов с использованием одного шаблона. На большинстве доменов с фишинговым и мошенническим контентом используются сети доставки содержимого (CDN, Content Delivery Network) для сокрытия IP-адресов настоящих серверов.
«У Group-IB есть необходимый опыт и инструменты, чтобы выполнить работу по поиску и блокировке мошеннических ресурсов в кратчайшие сроки, и справится с этой аферой, посвященной Всемирному дню здоровья», — убежден Боян Симетич, специалист по информационной безопасности UNICC.
Благодаря собственной системе графового анализа специалисты Group-IB проанализировали десятки SSL-сертификатов, SSH-ключей и DNS и смогли выявить вредоносную инфраструктуру, раскрыть IP-адреса реальных серверов, где хранился фишинговый контент, и связать домены в одну распределенную мошенническую сеть. На всех своих серверах мошенники используют одну и ту же конфигурацию инфраструктуры с характерными ей особенностями и ошибками. Group-IB продолжает мониторинг активности мошеннической группы.
Большинство мошеннических сайтов, контролируемых DarkPath Scammers, на данный момент остаются активны и по-прежнему нацелены на миллионы пользователей по всему миру. Мошенники рекламируют свои ресурсы с помощью почтовых рассылок, платной рекламы и социальных сетей. По оценке Group-IB, вся сеть мошенников привлекает около двухсот тысяч пользователей из США, Индии, России и других регионов в день.
«К сожалению, многие бренды по-прежнему недооценивают влияние подобного рода мошенничества на их клиентов и собственный бизнес, — полагает Андрей Бусаргин, заместитель генерального директора Group-IB по направлению Digital Risk Protection. — Мошенники все чаще прибегают к продвинутым технологиям, выстраивают многоэтапные схемы, используют распределенную инфраструктуру и достигают успеха из-за отсутствия комплексного мониторинга цифровых активов со стороны владельцев брендов».
Компаниям необходимо проводить непрерывный онлайн-мониторинг для своевременного обнаружения любых случаев нелегального использования бренда. Многие организации отслеживают только отдельные нарушения, такие как фишинговые страницы и домены, и обходят вниманием другие элементы мошеннической инфраструктуры. Решения Group-IB Digital Risk Protection позволяют компаниям получать полную картину нарушений в отношении их брендов и оперативно устранять все случаи неправомерного использования бренда в Интернете в досудебном порядке без дополнительных инвестиций и затяжных судебных разбирательств.
Чтобы не стать жертвой описанной схемы, пользователям необходимо внимательно проверять с какими сайтами он взаимодействует. Не будет лишним проверить, соответствует ли полученная ссылка домену официального сайта организации: мошенники часто регистрируют доменные имена, созвучные официальным. Необходимо тщательно проверять любой сайт, на котором пользователя просят ввести данные — это обязательная привычка для каждого, кто хочет обеспечить сохранность как своих деньги, так и персональных данных.
Источники[править]
Эта статья содержит материалы из статьи «Group-IB ликвидировала мошенническую кампанию, имитирующую опрос ВОЗ», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.