Xakep #305. Многошаговые SQL-инъекции
29 марта 2018 года в работе мессенджера Telegram произошел масштабный сбой, затронувший Россию, Европу, СНГ и страны Ближнего Востока. Мессенджер не работал на протяжении трех часов. Как вскоре пояснили представители компании и лично Павел Дуров, причиной неполадок стал сбой в электропитании целого кластера серверов, произошедший во время запланированных технических работ в европейском дата-центре.
Power outage at a @telegram server cluster causing issues in Europe. Working to fix it from our side, but a lot depends on when the datacenter provider puts the power equipment in order.
— Pavel Durov (@durov) March 29, 2018
Случившимся не преминули воспользоваться мошенники. Специалисты Groub-IB сообщили, что за считанные часы, пока мессенджер не работал, злоумышленники успели собрать около 60 000 долларов.
Под настоящими сообщениями Павла Дурова в Twitter появились фальшивые послания, отправленные с аккаунта PavelDurov (@durhiov), гласящие, что в качестве извинений пользователям Telegram будет предложена компенсация в Ethereum эквиваленте. С подробностями этой щедрой акции пользователей призывали ознакомиться на сайте ethg.st, который уже не работает в настоящий момент.
На сайте пользователям обещали раздать в общей сложности 5000 ETH. При этом сообщалось, что для участия в акции, нужно перечислить от 0,5 до 5 ETH по адресу, зашифрованному в опубликованном на странице QR-коде, и в ответ пользователь якобы получит приз в размере от 5 до 100 ETH. Тем, кто перечислит более 1 ETH, был обещан щедрый бонус.
Запись о фальшивой акции быстро собрала порядка 1000 лайков и 45 репостов. Этого оказалось достаточно, чтобы за один час мошенники собрали около 8,30384559 ETH или 3500 долларов. Другой кошелек злоумышленников пополнился на 28 492 доллара. Суммарно пользователи перечислили на пять кошельков, обнаруженных специалистами Group-IB, около 60 000 долларов.
Эксперты отмечают, что для большей эффективности аферисты использовали разгон поста ботами, что говорит о хорошо спланированной акции и готовности злоумышленников быстро реагировать на события, поднимать посты вверх и «накручивать ажиотаж». Фальшивый аккаунт в Twitter был создан в еще сентябре 2017 года, а сайт 26 марта 2018 года. Важен и тот факт, что под постом в фальшивом аккаунте было много комментариев от «счастливых победителей», что подталкивало других пользователей к участию в лотерее.
«Была использована классическая схема социальной инженерии: мошенники сыграли на неприятном инциденте для пользователей Telegram и пообещали им участие в некой промо-акции, где они за скромные деньги могут стать обладателями большого денежного приза, — комментирует Руслан Юсуфов, директор по специальным проектам Group-IB. – Свою роль сыграло доверие к лидеру Telegram, в ветке которого и появился фальшивый аккаунт, внешне никак не отличимый от реальных комментариев Дурова, которые он давал в своем топике. Отрадно, что внимательных подписчиков все же оказалось больше и тот факт, что они попытались предупредить остальных. Однако на удочку мошенников все же попалось немало людей. Кроме того, до сих пор остается открытым вопрос о том, один ли кошелек использовали мошенники или сумма ущерба гораздо больше».
Напомню, что это далеко не первый случай, когда мошенники используют в своих кампаниях имена известных личностей и быстро реагируют на громкие политические и мировые события. К примеру, в феврале 2018 года ИБ-специалисты наблюдали в Twitter очень похожую «акцию». Тогда пользователям пообещали раздачу криптовалюты от лица Илона Маска, Виталика Бутерина, Джона Макафи и других известных людей. За одну ночь скамеры «заработали» около 5000 долларов.