Ликвидирована группа мошенников, наживавшихся на российских попутчиках

Екатерина Быстрова 05 Июня 2023 - 13:09

Домашние пользователи

...

МВД России совместно с экспертами компании F.A.С.С.T. вскрыли и задержали группу мошенников, известную под кодовым именем «Jewelry Team». В течение полутора лет группировка обманным путем похищала деньги у российских граждан, которые решили воспользоваться популярным сервисом поиска попутчиков.

Как выявило следствие, члены группы «Jewelry Team» размещали фальшивые объявления от имени водителей на онлайн-площадке для совместных поездок. Затем они предлагали связаться с потенциальными жертвами через мессенджеры. Последним отправляли фишинговые ссылки (например, blablacari[.]com) и просили перевести предоплату для бронирования места в автомобиле.

Мошенники получали не только предоплату — от 500 до 1500 рублей — но и доступ к банковской карте жертвы, что позволяло им снимать ещё больше денег со счета гражданина. Например, у одного из жителей Саратова было похищено 30 000 рублей, а у другого, жителя Кирова, мошенники попытались вывести более 3 миллионов рублей, однако банк своевременно заблокировал операцию.

В августе 2022 года специалисты компании F.A.С.С.T, по просьбе полиции, проанализировали переписку одного из членов группы с телеграм-ботом и, используя систему Threat Intelligence, отследили историю развития группы, изучили ее инфраструктуру и выявили участников.

По данным исследователей, дата создания «Jewelry Team» — январь 2021 года. Вероятно, основателями были бывшие участники другой мошеннической группы — «HAUNTED FAMILY». Существует также версия, что «Jewelry Team» была подразделением этой группы, что подтверждается рекламой на партнёрских сайтах.

Хотя «Jewelry Team» использовала всего четыре основных домена, эксперты F.A.С.С.T с помощью сетевой инфраструктуры Threat Intelligence обнаружили около тридцати фишинговых сайтов, которые злоумышленники использовали для получения предоплаты.

Всего в 2021 году в России было заблокировано 655 фишинговых доменов, связанных с онлайн-сервисами совместных поездок. Эта услуга пользовалась большой популярностью в регионах, и мошенники решили воспользоваться этим.

Интересно, что некоторые из самых ярких и привлекательных доменных имён были «возрождены» после истечения блокировки. Эксперты выяснили, что владельцем двух таких «возрожденных» доменных имен, которые использовал «Jewelry Team», был бывший администратор другой мошеннической группы под названием «Diamond Team». Эта группа основалась почти на год раньше «Jewelry Team», но на момент расследования фактически прекратила свою деятельность.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Апреля 2026 - 14:13

Windows Домашние пользователи Малый и средний бизнес Антифишинг Корпоративная защита от фишинга Microsoft

Microsoft закрыла опасную лазейку для фишинга через RDP-файлы

Microsoft добавила в Windows новые защитные механизмы против фишинговых атак через RDP-файлы, использующиеся для подключения к удалённому рабочему столу в корпоративной среде. Изменения вошли в апрельские накопительные обновления KB5082200 для Windows 10 и KB5083769 / KB5082052 для Windows 11.

Повод понятный: злоумышленники всё активнее используют такие файлы в рассылках. Жертве присылают .rdp-файл, он выглядит как обычное подключение, но после запуска может незаметно связать компьютер с удалённой системой злоумышленника и открыть доступ к локальным ресурсам.

Microsoft ещё в 2024 году отдельно описывала, как такие RDP-файлы применяла группировка APT29 / Midnight Blizzard в целевых фишинговых атаках.

Главное изменение теперь в том, что Windows стала подозрительнее относиться к таким подключениям. При первом открытии RDP-файла пользователь увидит отдельное предупреждение с объяснением, что это вообще за файл и какие у него есть риски. А при следующих попытках запуска система будет показывать уже полноценный диалог безопасности ещё до установления соединения.

В этом окне Windows теперь отображает, подписан ли файл проверенным издателем, к какому удалённому адресу он ведёт и какие локальные ресурсы он хочет пробросить на удалённую сторону — например, диски, буфер обмена или устройства.

Причём все такие перенаправления теперь по умолчанию отключены, и это, пожалуй, самое важное нововведение. Раньше именно такие «удобные» опции и превращались в лазейку для кражи файлов, учётных данных и другой информации с компьютера жертвы.

Если RDP-файл не имеет цифровой подписи, Windows отдельно покажет предупреждение в духе «Осторожно: неизвестное удалённое подключение» и укажет, что издатель не подтверждён. Если подпись есть, система всё равно предложит дополнительно проверить, можно ли доверять источнику.

Есть, правда, важное уточнение: новые меры работают именно для сценария, когда пользователь открывает .rdp-файл. На подключения, которые инициируются напрямую через клиент Windows Remote Desktop, эти ограничения не распространяются.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!