Group-IB: мошенники придумали схему заработка на активных гражданах

Group-IB: мошенники придумали схему заработка на активных гражданах

Group-IB выявила новую мошенническую сеть, насчитывающую два десятка сайтов, маскирующихся под государственные онлайн-сервисы и промо-сайты популярных браузеров. Создатели фейковых ресурсов обещают посетителям вознаграждение, достигающее 200 000 руб. Для того, чтобы его «заработать» необходимо выполнить ряд условий, каждое из которых требует от посетителя денежного взноса: минимальная сумма — 350 руб, максимальная — 1700 руб.

«Работа» сети по выманиванию денег поставлена на поток: начиная с апреля 2018 года с ее помощью мошенники зарабатывают на доверчивых гражданах из России, Украины, Белоруссии и Казахстана — всего за месяц фейковые ресурсы суммарно посетили порядка 300 000 человек.

Мошенническая сеть была обнаружена после того, как 20 мая в Центр реагирования на киберинциденты CERT Group-IB поступила жалоба на ресурс http://browserupd[.]space. Посетителям обещали от $50 до $3000 (от 3000 до 200 000 руб.) за использование якобы «обновленных» версий браузеров Google Chrome, Safari, Opera и тд. Создатели ресурса объясняли «невиданную щедрость» маркетинговой акцией: для поощрения первых 10 000 пользователей, обновивших браузер, якобы было выделено $ 1 500 000.  Разумеется, никто никаких денег не получил.

Как удалось установить специалистам Group-IB, мошенническая схема работала следующим образом. Злоумышленники не просто копировали бренд, логотипы и фирменные цвета браузеров, но и идентифицировали их, «подстраивая» предложение поучаствовать в промо-акции под конкретного пользователя. На сайте мошенников был установлен специальный скрипт, который проверял тип браузера пользователя и, исходя из полученной информации, автоматически подгружал нужный контент, а также генерировал персональное «свидетельство об обновлении браузера» с реальным IP-адресом пользователя, данными его операционной системы и, собственно, браузера.  

К примеру, если у пользователя был установлен Google Chrome, то весь контент был «заточен» именно под него. Так, в одном из сценариев, посетителю сайта сообщали, что после «автоматического обновления» Google Chrome до версии 66, выигрыш составил $2195 (около 135 000 руб.). Однако, для получения приза необходимо конвертировать доллары в рубли и оплатить «комиссию» — в данном случае она составила 162  рубля. Деньги предлагалось заплатить через платформу — e-pay, ранее неоднократно замеченную в сомнительных схемах.

Анализируя информацию о ресурсе, специалисты Group-IB выяснили, что он был зарегистрирован 26 апреля 2018 года и с ним связаны еще 9 идентичных сайтов (browserupd[.]space, successupdate[.]space, successbrowser[.]space и так далее). Но самое интересное оказалось в том, что параллельно «браузерной схеме» мошенники запустили ее вариацию, имитирующую работу государственных онлайн-сервисов.

Как и в истории с «браузерами», мошенническая схема была таргетирована под конкретного пользователя: программа по IP определяла местонахождение посетителя сайта, в зависимости от чего менялся контент и оформление ресурса. Например, для жителей российской столицы в шапке опроса упоминается Москва и Московская область, а для жителей Винницкой области сайт стилизован под цвета украинского флага.

Даже ответив на вопросы, пользователи не могли получить свое вознаграждение из-за якобы неактивированного аккаунта: «Активация аккаунта и его разблокировка в системе «Активный гражданин» во время проведения опроса является платной и составляет 170 рублей». Чтобы запутать пользователей, мошенники ссылались на некий «Регламент проведения дистанционного опроса граждан» №203 о 17 января 2018 года. Оплату предлагали провести через несуществующий банк Евразийского экономического союза, но фактически деньги шли через ту же платформу e-pay, которая была задействована в схеме с браузерами.

Оплатив активацию аккаунта, «активный гражданин» вновь не может получить свой выигрыш — мошенники раскручивали его на новые и новые расходы. «Прейскурант» выглядел так:  

  1. Заверение реквизитов для получения средств — 350 руб.
  2. Внесение данных опроса в единый реестр — 420 руб.
  3. Комиссия информационной системы  — 564 руб.
  4. Оплата страховки перевода — 630 руб.
  5. Регистрация выплаты в управляющем департаменте  — 710 руб.
  6. Активация цифровой подписи — 850 руб.
  7. Согласование перевода со службой безопасности — 975 руб.
  8. Регистрация цифровой подписи — 1190 руб.
  9. Оплата услуги - моментальный перевод — 1280 руб.
  10. Подключение шифрованной линии связи — 1730 руб.

Несмотря на незначительный срок работы новых сайтов — от месяца до двух — специалисты Group-IB отмечают масштаб, с которым действовали злоумышленники: у них были «заготовки» с стилистикой и контентом под различные регионы России, Украины, Белоруссии и Казахстана. Распространение ссылок на мошеннические сайты происходило через спам-рассылку и рекламу: в среднем каждый из сайтов ежемесячно посещали от 4 500 до 35 000 человек. 

Анализируя мошенническую активность, Ярослав Каргалев, заместитель руководителя CERT Group-IB, отмечает:

«Опасной тенденцией последних лет является постоянно растущий уровень подготовки мошеннических схем. Это касается как внешних характеристик – дизайна сайтов, оформления интерактивных элементов, таких как фальшивые форумы, окна опросов, так и технологической инфраструктуры: как только блокируется один ресурс, на его месте появляется новый, как только одна схема исчерпала себя и не приносит желаемого дохода – меняется «упаковка» и запускается новая «акция». Особенностью схемы с браузерами и госсайтами является качественная проработка всех звеньев цепи: от правдоподобного контента, целой сети взаимосвязанных мошеннических ресурсов до системы вывода денег. Это и позволило мошенникам за короткое время сгенерировать значительный охват, составляющий свыше 300 000 посетителей менее, чем за 2 месяца».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Штатах озаботились присутствием компании ИнфоТеКС

Присутствие компании «ИнфоТеКС» в США озаботило федеральных следователей, которые считают, что такое положение дел может угрожать кибербезопасности целой страны. Об этом говорится в расследовании Forensic News, опубликованном в четверг.

Внимание Forensic News почему-то привлекло наличие у «ИнфоТеКС» лицензий, выданных ФСБ России (перечислены на официальном сайте компании). В связи с этим следователям кажется подозрительным, что «ИнфоТеКС» уже более 20 лет поддерживает работу юридических лиц на территории США.

Как пишет Forensic News, ссылаясь на одного из сотрудников российской компании, среди американских клиентов «ИнфоТеКС» были Cigna, Ратгерский университет и Медицинский центр Университета Хакенсак.

Учитывая предположительную связь «ИнфоТеКС» с российскими спецслужбами, американские специалисты, занимающиеся национальной безопасностью, видят определённые риски в присутствии компании в Штатах.

Согласно опубликованному Forensic News расследованию, представители издания в течение полугода собирали документы из различных юрисдикций в США и за рубежом. Помимо этого, сотрудники общались с рядом источников, якобы знакомых с деятельностью «ИнфоТеКС». После этого Forensic News решило поднять шум по поводу того, почему «тесно связанная с российским правительством компания работает в США».

Также издание ссылается на возможность присутствия бэкдоров в шифровании «ИнфоТеКС», которые якобы могут использоваться киберпреступниками. В этом ключе упоминается давний отчёт Motherboard, в котором описываются уязвимости российских алгоритмов шифрования «Кузнечик» и «Стрибог».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru