Мошенники скомпрометировали 19 крупнейших международных брендов

Мошенники скомпрометировали 19 крупнейших международных брендов

Мошенники скомпрометировали 19 крупнейших международных брендов

Group-IB зафиксировала масштабную мошенническую атаку с использованием брендов крупнейших международных компаний: Emirates, Lufthansa, El Al Israel Airlines, SPAR, Virgin America, Delta Air Lines, Air-France, Aeroflot.

По данным Threat Intelligence, входящей в систему раннего предупреждения киберугроз Group-IB, злоумышленники зарегистрировали 95 фейковых сайтов, использующих названия 19 известных брендов. Первыми удару подверглись авиакомпаний. Это не случайно, ведь май и июнь — начало сезона массовых отпусков. В списке также есть производители luxury-брендов, например, Rolex.

По данным Group-IB, первые сайты злоумышленники начали регистрировать в конце марта 2017 года. Авторы атаки в первую очередь нацелены не на российских пользователей: для продвижения использован Facebook, большинство использованных брендов принадлежат международным компаниям, сайты зарегистрированы на иностранных граждан, регистратор — в США. Group-IB предупредила клиентов об угрозах и оперативно начала закрывать фейковые сайты.

Как работает мошенническая схема:

  1. «#Emirates (как вариант - Virgin America, Lufthansa, Aeroflot) дарит 2 билета»  — такой пост за несколько последних дней стал популярным в Facebook. Мошенники, так же как и маркетологи, любят использовать для привлечения внимания подарки, розыгрыши и «специальные акции». Успех атаки обеспечен, если в распространении ссылки поучаствуют «друзья» пользователя в соцсетях.
  2. Когда вы кликаете по ссылке в фейсбуке от ваших друзей - попадаете на сайт с доменным именем типа «эмираты-бесплатно-2-билета-ком-абракадабра-точка-ком», что уже должно настораживать. Чтобы усыпить бдительность, злоумышленники сознательно создают адреса, использующее название известных брендов. Эта технология называется «cпуфинг» (англ. spoofing – обман, мистификация).  
  3. На фейковом сайте посетителю предлагается ответить на несколько несложных вопросов. Например, «Вы действительно хотите получить 2 бесплатных билета от Emirates?» и «Подтвердите, что вы совершеннолетний(ая)». Этот прием, известный как «цыганский гипноз» — положительный ответ на заданный вопрос психологически вызывает доверие.
  4. Затем вас попросят оставить свои данные: имя, электронную почту, телефон, дату рождения, адрес.
  5. После этого вы увидите сообщение «Поздравляем, вы выиграли два билета!». Чтобы их «получить», необходимо «лайкнуть» страницу,  «расшарить» пост среди своих друзей на странице. Таким образом вы невольно вовлечете в мошенническую схему ваших друзей.

Специалисты отдела расследований Group-IB выяснили, что эта схема использовалась для нагона трафика на сайты клиентов американской компании, которая предоставляет пользователям услуги по продвижению и монетизации интернет и мобильных приложений. Использовал эту схему 28-летний житель Исламабада. В 2013 году он планировал запустить свою рекламную сеть, но потерпел неудачу. После этого он решил провести кампанию c фальшивым розыгрышем бесплатных билетов для генерации трафика на рекламные площадки. Первые сайты были зарегистрированы в конце марта. Акция ориентирована на иностранных пользователей: для продвижения использован Facebook, большинство жертв — международные бренды.

«Если вам есть, что терять - меняйте подход к кибербезопасности. Главное оружие против злоумышленников – знания. Проведите тренинг для сотрудников и членов семьи, задайте правильные вопросы своему знакомому айтишнику, сделайте аудит систем. Цифровая беспечность - ходовой товар на черном рынке, и объем этого рынка сегодня - миллиарды долларов» - сказал Директор по работе с частными клиентами Group-IB Руслан Юсуфов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники крадут товары, выдавая себя за ПСК и Ozon

Злоумышленники под видом известных компаний совершили серию крупных краж, оформив закупки с помощью поддельных документов и используя подмену номеров телефонов. Аферисты выдавали себя за представителей легитимных организаций, предъявляли доверенности и добивались отгрузки товара. Используемые ими документы были высокого качества и не вызывали подозрений даже у опытных сотрудников.

Как сообщила «Фонтанка», мошенники оформили несколько крупных заказов от имени Петербургской сбытовой компании (ПСК). В частности, под видом сотрудников ПСК были приобретены 130 комплектов автомобильных шин и 20 тонн сливочного масла.

В обоих случаях за товаром приезжал якобы представитель ПСК и предъявлял доверенности на получение груза. Однако позже выяснилось, что ни почта, ни телефон, ни фамилия человека, забиравшего продукцию, не имели отношения к компании.

Номер телефона, с которого связывались аферисты, в приложении Getcontact отображался как принадлежащий ПСК. Поддельные документы были выполнены на высоком уровне: в случае с «покупкой» масла мошенники даже приложили протокол разногласий к договору, где указали неустойки за нарушение условий хранения продукции.

Между тем ещё в апреле на официальном сайте ПСК появилось предупреждение: «Информируем о новой мошеннической схеме. В адрес юридических лиц поступают письма об организации закупок от имени Петербургской сбытовой компании. Письма направляются с подложного почтового адреса: zakaz.pesc-opt.ru с указанием номеров телефонов, не принадлежащих Петербургской сбытовой компании».

ПСК — не единственная пострадавшая организация. Подобные случаи неоднократно фиксировались в отношении Ozon: от его имени злоумышленники вывозили компьютеры, промышленные пылесосы и стройматериалы в разных регионах страны. При этом также использовались поддельные документы и подменённые номера телефонов.

«Мы знаем о ситуации, при которой некие сторонние лица, представляясь компанией Ozon, обращаются к поставщикам с просьбой предоставить самые разные товары, в том числе с постоплатой, — сообщили изданию в пресс-службе маркетплейса. — Часто мошенники используют схожие по написанию домены и формируют письма-запросы на бланках с логотипом Ozon».

По данным «Фонтанки», на момент публикации ни одной из пострадавших компаний не удалось вернуть ни деньги, ни украденный товар.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru