Во имя "Единой России". Кибермошенники сначала притворились рекрутерами, а затем - членами партии
Это выяснили аналитики департамента защиты от цифровых рисков АО "Будущее" (F6) в ходе исследования механизмов "угона" аккаунтов пользователей Telegram. Они обнаружили новую комбосхему: похищенный под предлогом фейкового трудоустройства аккаунт автоматически начинает распространять мошеннические ссылки на опрос от имени "Единой России". "Такая схема зафиксирована впервые", - заявили аналитики.
На первом этапе злоумышленники, открывая охоту на пользователей Telegram-чатов, стремились создать образ рекрутера, вызывающий максимальное доверие: premium-аккаунт, на аватарке изображение в деловом стиле, в описании - рабочие часы и настроенный автоответчик.
В сообщении F6 сказано, что особенность второй части новой мошеннической схемы в том, что для обмана пользователей злоумышленники применяют бренд партии "Единая Россия": "Преступники повторили сценарий, который впервые использовали год назад, незадолго до президентских выборов. В сообщении, которое автоматически рассылает взломанный Telegram-аккаунт, они предлагают принять участие в опросе от имени партии и получить за это 5000 руб. В 2024 г. в аналогичном мошенническом сценарии сумма обещанного вознаграждения была вдвое меньше - 2500 руб.".
Под предлогом прохождения опроса потенциальным жертвам злоумышленники предлагали перейти по ссылке. При переходе по ссылке пользователь Android-устройства видит страницу поддельного магазина приложений Google Play, с которой скачивает фейковое приложение. В приложении скрыт троян, поэтому сразу после установки оно запрашивает разрешение на доступ к контактам и SMS.
Директор по информационной безопасности ООО "Инностейдж" (Innostage) Дмитрий Кокорин рассказал, что рост количества мошеннических схем, связанных с темой трудоустройства, действительно наблюдается, что подтверждает не только данное исследование коллег, но и общие сведения из сферы кибербеза. "На это влияет несколько факторов: экономический - люди чаще ищут работу, соответственно они потенциально уязвимы к мошенничеству в данной сфере; удаленка прочно вошла в нашу жизнь, а значит, больше людей ищут работу онлайн, зачастую без должной проверки потенциального работодателя; социальная инженерия - мошенникам легко ввести в заблуждение людей, желающих быстро найти выгодные варианты заработка", - рассказал он.
Директор по персоналу ООО "Айдеко" (Ideco) Юлия Речкалова заметила, что на ИТ-рынке наблюдается тенденция, когда специалисты ищут работу через Telegram-каналы, а не через популярные рекрутерские сайты: это особенно актуально для разработчиков, ищущих подработку или проектные задачи. "Наша компания использует Telegram для оперативной коммуникации с потенциальным кандидатом. В первом сообщении рекрутер отправляет ссылку на наш сайт и официальную вакансию, чтобы кандидат мог ознакомиться с информацией о компании и требованиями", - сказала она.
Руководитель направления "Киберразведка" ООО "Айти Бастион" Константин Ларин сообщил, что нередко мошенники назывались представителями иных партий и действовали в других соцсетях: "Популярной схемой является рассылка сообщений с текстом: "Каждому россиянину положена выплата 100 тыс. руб. от партии N, перейди по ссылке и получи выплату на карту….".
Эксперт по кибербезопасности АО "Лаборатория Касперского" Дмитрий Калинин рассказал, что злоумышленники могут использовать многоступенчатые схемы, например, в рамках телефонного мошенничества или для того, чтобы заразить устройства пользователей вредоносными программами. В качестве примера он привел кампанию по распространению Mamont: некоторое время назад "Лаборатория Касперского" обнаружила сайты несуществующих оптовых магазинов с товарами по привлекательным ценам.
"Если человек делал там заказ, то через некоторое время с ним в мессенджере связывались менеджеры такого магазина и сообщали, что оформленный заказ отправлен, для его отслеживания просили скачать специальное мобильное приложение-трекер. По легенде злоумышленников, сделать это нужно было по присланной ссылке. Но на самом деле ссылка вела на фишинговый ресурс, а под видом трекера человек скачивал мобильный банковский троянец", - добавил Дмитрий Калинин.
Руководитель службы информационной безопасности АО "Инфовотч" (ГК InfoWatch) Роман Алабин отметил, что чаще всего жертвами становятся владельцы смартфонов на платформе Android: "Это связано с тем, что на них легче установить сторонние приложения - из APK-файлов или по прямой ссылке. Приложение может использоваться для кражи денег, аккаунтов или как шпионская программа, которая следит за пользователем - в том числе отслеживает звонки, сообщения, геолокацию, получает иные данные со смартфона. Они могут использоваться для шантажа или дальнейших мошеннических действий".
Руководитель направления информационной безопасности АО "Инфозащита" (Itprotect) Кай Михайлов напомнил, что хакеры часто маскируются под государственные органы, ведь люди привыкли к автоматическим уведомлениям от МЧС, налоговой или банков. "Сообщение от представителя государственной организации вызывает меньше подозрений, чем от частной. Мошенники всегда идут в ногу со временем, они используют популярные темы, праздники, политические события. Поэтому важно всегда быть начеку, даже если сообщение кажется официальным", - подчеркнул Кай Михайлов.
