Киберугрозы сектора "приз"
Компания Group-IB, специализирующаяся на кибербезопасности, оценила ежемесячные потери пользователей от таргетированного мошенничества в виде опросов и розыгрышей в $80 млн (5,9 млрд руб.) в мире. Об этом говорится в новом отчете "Hi-Tech Crime Trends 2021/2022 и фишинг: эпидемия онлайн-мошенничества".
"Даже по самым приблизительным оценкам, пострадавших пользователей в нашей стране может быть до десятка тысяч человек. На первый взгляд - это немного, однако, в отличие от массовых рассылок, таргетированное мошенничество более опасно, поскольку "заточено" под конкретного пользователя - страну, часовой пояс, язык, IP, тип браузера и др., а значит, у преступников больше шансов обмануть жертву. Мы приводим пример: в фейковых опросах от лица крупного российского ретейлера (посещаемость сайта - 6500 посетителей в сутки) мошенники могли получить деньги, данные банковской карты или логины-пароли от "учеток" личного кабинета. В случае с кражей денег среднее списание составляло около 50 тыс. руб.", - отвечает ведущий аналитик департамента Digital Risk Protection Group-IB Евгений Егоров на вопрос ComNews об убытках от таргетированного мошенничества в России.
Аналитики Group-IB отмечают, что сообщения о розыгрышах и опросах - одна из популярных мошеннических схем, но за последние годы изменилась сама технология доставки фейкового контента жертве: массовая спам-рассылка СМС, сообщений в мессенджерах или электронной почте сменилась персонализированным подходом. Теперь "под цель" генерируется отдельная, так называемая таргетированная ссылка, использующая параметры потенциальной жертвы - страна, часовой пояс, язык, IP, тип браузера и др. - для отображения релевантного контента на мошеннической странице. Сама ссылка работает только один раз и только у одного конкретного пользователя, благодаря чему мошеннический ресурс сложно обнаружить и заблокировать.
Аналитики Group-IB Digital Risk Protection фиксируют использование таргетированного мошенничества в 91 стране мира, в качестве приманки злоумышленники нелегально эксплуатируют более 120 мировых брендов. Чаще всего за прохождение опроса мошенники обещают "подарить" MacBook, Sony Playstation 5, iPad Pro или топовые модели смартфонов Apple и Samsung.
Евгений Егоров из Group-IB говорит, что мошеннические сайты содержат в себе десятки шаблонов под популярные бренды. По его словам, в России чаще всего эксплуатировались популярные бренды, связанные с ретейлом и телекоммуникациям.
"Специфика в темах, выбираемых под аудиторию, а не в методах. Например, если QR-коды вводят в каком-то регионе, то такой фишинг будет направлен на жителей этого, а не другого региона", - считает директор департамента аналитики информационной безопасности Positive Technologies Евгений Гнедин.
Специалисты Digital Risk Protection обнаружили как минимум 60 различных сетей доменных имен, где создаются таргетированные ссылки. В среднем в каждой из них содержится более 70 доменных имен. Самая крупная сеть по количеству доменных имен, используемых в мошеннических схемах, включает 232 домена. Такое количество создается для того, чтобы в случае блокировки активного ресурса можно было в кратчайшие сроки перенаправить трафик на его "зеркало". Таким образом мошенники обеспечивают "доступность" своей схемы, то есть ее бесперебойную работу. В среднем посещаемость сайтов с опросами составляет более 5000 человек в сутки. Потери пользователей, по оценкам экспертов Group-IB, могут составлять до $80 млн в месяц.
"Таргетированное мошенничество несет риски не только для пользователей, но и брендов, которые нелегально эксплуатируют мошенники. В итоге компании несут как репутационные, так и финансовые потери, если однажды пользователь потерял деньги из-за "бренда", то вряд ли к нему вернется. Также существует множество непредсказуемых рисков - например, на площадке массово воруют аккаунты, а потом через эти аккаунты отмывают деньги. Если дойдет до разбирательства, компания может получить сильнейший удар и по репутации вместе со штрафом от контролирующих органов", - комментирует заместитель директора Group-IB по направлению Digital Risk Protection Андрей Бусаргин.
Для каждого конечного ресурса с мошенническим контентом собрана информация об источнике трафика с разбивкой по странам. Исходя из этого распределения основными источниками трафика для подобных ресурсов выступают такие страны, как Индия (42,2%), Таиланд (7%) и Индонезия (4,4%).На основании выявленных шаблонов целевыми регионами для распространения мошеннической схемы являются Европа (36,3%), Африка (24,2%) и Азия (23,1%).
"Аналитики Group-IB Digital Risk Protection фиксируют увеличение масштабов таргетированного мошенничества и экспансии в другие - еще "неосвоенные" - страны. Большое количество выявленных случаев свидетельствует, что механизм работает и продолжит сохранять актуальность в ближайшее время", - оценивает перспективы угрозы Евгений Егоров из Group-IB, добавляя, что пока данному виду мошенничества перестройка механизма распространения не грозит, но новые бренды в портфеле у злоумышленников в ближайшем будущем прибавятся.
"Онлайн-мошенничество сегодня является одним из основных методов атак на физлиц. Преступники обычно используют громкие инфоповоды - например, введение QR-кодов в регионе, проведение крупного спортивного мероприятия, период онлайн-распродаж и т.д. Активно используются логотипы известных компаний, банков. По нашей статистике, за III квартала 2021 г. количество атак на частных лиц с использованием методов социальной инженерии заметно увеличилось: если в III квартале 2020 г. доля таких атак составляла 67%, то в III квартале 2021 г. она выросла до 83%", - отмечает Евгений Гнедин из Positive Technologies.
Он советует людям более внимательно относиться к ссылкам, по которым они переходят, а также к источнику, от которого они подобные ссылки получают, чтобы не попадаться на удочку мошенников. Кроме того, по словам эксперта, не стоит переходить по ссылкам и скачивать файлы из писем или сообщений от незнакомого отправителя, даже если тот обещает большую выгоду, вознаграждение или бесплатные услуги, и отнестись к любым подобным "подаркам" с подозрением. Евгений Гнедин считает, что лучше взять за правило вообще не открывать такие сообщения, если адресат их не ждет, не знает, от кого оно пришло, или подозревает, что это может быть обман. Он добавляет, что не стоит кликать по рекламным баннерам на сайтах, ведь не специалист в области ИТ или ИБ может не распознать опасный фишинговый ресурс. По его словам, об акциях какой-либо компании безопаснее будет узнать, вбив самостоятельно адрес ее официального сайта в браузере.