Фишеры нацелились на кредитование

Александр Панасенко 17 Июля 2013 - 13:37

...

Эксперты «Лаборатории Касперского» зафиксировали нетипичную фишинговую рассылку с предложением быстрого кредитования. Как правило, спам-сообщения, затрагивающие банковскую тематику, представляют собой фальшивые извещения от банков, рассказывающие о возникших проблемах со счетом и требующие от получателя принятия срочных мер для предотвращения его закрытия. В отличие от подобных «классических» схем обнаруженная рассылка эксплуатировала нехарактерную для мошенников тему кредитования и не была нацелена на кражу логина и пароля от систем онлайн-банкинга.

Разосланное письмо одной строчкой обещало простое получение кредита. При этом злоумышленники хитрым образом использовали технику перенаправлений, о которой мы писали ранее, чтобы затруднить обнаружение мошеннического сайта провайдерами и представителями сервиса коротких ссылок. Так, ссылка в письме вела на специально созданный сайт-заглушку, который перенаправлял пользователя то на фишинговые страницы, замаскированные под анкеты крупных банков (Сбербанк, Хоумкредит, Тинькофф, Банк Москвы), то на официальные ресурсы этих самых банков.

На фишинговой странице пользователю предлагалось заполнить анкету для получения кредита. В действительности же он просто передавал злоумышленникам конфиденциальную информацию: для анкеты запрашивались не только Ф.И.О. и дата рождения, но также паспортные данные и информация о собственности, которой владеет жертва. Никакой заявки на кредит банк, разумеется, не получал.

«Многие пользователи уже знают о популярных фишинговых схемах, задача которых – получить данные кредитной карточки или реквизиты доступа в систему интернет-банкинга. Но эта рассылка нетипична по своему содержанию и методам получения персональных данных жертвы, и именно поэтому получатель письма может на неё «клюнуть». Нам хочется напомнить, что крупные банки никогда не прибегают к помощи таких сомнительных рассылок, и что личные данные следует оставлять только на официальных, проверенных сайтах, желательно использующих защищённое соединение с валидным сертификатом. Иначе можно только догадываться о том, как злоумышленники распорядятся вашими персональными данными», – советует Татьяна Куликова, ведущий спам-аналитик «Лаборатории Касперского».

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 10:33

Фишинг Социальная инженерия Мошенничество Онлайн-мошенничество Домашние пользователи

Новая атака в Telegram использует официальную аутентификацию мессенджера

Эксперты зафиксировали новую и довольно изощрённую фишинговую кампанию в Telegram, которая уже активно используется против пользователей по всему миру. Главная особенность атаки в том, что злоумышленники не взламывают мессенджер и не подделывают его интерфейс, а аккуратно используют официальные механизмы аутентификации Telegram.

Как выяснили аналитики компании CYFIRMA, атакующие регистрируют собственные API-ключи Telegram (api_id и api_hash) и с их помощью инициируют реальные попытки входа через инфраструктуру самого мессенджера. Дальше всё зависит от того, как именно жертву заманят на фишинговую страницу.

Всего специалисты наткнулись на два подобных сценария. В первом случае пользователю показывают QR-код в стиле Telegram, якобы для входа в аккаунт. После сканирования кода в мобильном приложении запускается легитимная сессия, но уже на стороне злоумышленника.

Во втором варианте жертву просят вручную ввести номер телефона, одноразовый код или пароль двухфакторной защиты. Все эти данные тут же передаются в официальные API Telegram.

Ключевой момент атаки наступает позже. Telegram, как и положено, отправляет пользователю системное уведомление в приложении с просьбой подтвердить вход с нового устройства. И вот тут в дело вступает социальная инженерия. Фишинговый сайт заранее подсказывает, что это якобы «проверка безопасности» или «обязательная верификация», и убеждает нажать кнопку подтверждения.

В итоге пользователь сам нажимает «Это я» и официально разрешает доступ к своему аккаунту. Никакого взлома, обхода шифрования или эксплуатации уязвимостей не требуется: сессия выглядит полностью легитимной, потому что её одобрил владелец аккаунта.

По данным CYFIRMA, кампания хорошо организована и построена по модульному принципу. Бэкенд централизованный, а домены можно быстро менять, не затрагивая логику атаки. Такой подход усложняет обнаружение и блокировку инфраструктуры.

После захвата аккаунта злоумышленники, как правило, используют его для рассылки фишинговых ссылок контактам жертвы, что позволяет атаке быстро распространяться дальше — уже от лица доверенного пользователя.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »