Хакер #305. Многошаговые SQL-инъекции
Аналитики обнаружили новую многоступенчатую мошенническую схему, получившую название «Кроличья нора». Как и Алису, бегущую за белым кроликом в сказке Льюиса Кэрролла, злоумышленники ведут своих жертв с ресурса на ресурс, похищая персональную информацию, данные банковских карт или деньги.
После снижения в прошлом году ущерба от финансового фишинга (падение на 65% до 87 миллионов рублей за период H2 2018 — H1 2019), мошенничество с использованием приемов социальной инженерии вышло на первое место в России по степени распространенности. Наряду с телефонными аферами, особой популярностью у мошенников весь прошлый и нынешний год пользуется схема, названная исследователями «Кроличья нора». Отдельные части схемы, например, фейковые интернет-опросы, появились около двух лет назад, однако со временем афера усложнялась и масштабировалась, и в итоге стала многоступенчатой, и защищенной от обнаружения.
Специалисты Group-IB условно делят мошенническую схему на две большие части: «Белый кролик» — этап на котором происходит привлечение траффика, и «Кроличья нора», где непосредственно и происходит атака, кража денег или данных банковских карт.
На начальном этапе мошенники в качестве приманки используют фейковые аккаунты «звезд» шоу-бизнеса, блогеров или популярных телеведущих (реже — известных брендов), от имени которых объявляют конкурсы-giveaway, акции или опросы с приличным призовым фондом и дорогими подарками — смартфонами, наушниками, билетами и так далее. Среди знаменитостей, чей бренд чаще других используют мошенники, эксперты отмечают Ольгу Бузову, Юрия Дудя, Ивана Урганта, Басту, Тимати, Анастасию Ивлееву, Михаила Галустяна, Андрея Малахова.
Примечательно, что баннеры или контекстная реклама с изображением звезд в соцсетях часто таргетирована под интересы конкретного пользователя, а для перехода используется персональная мошенническая ссылка, которая генерируется под конкретного клиента, исходя из его местоположения, IP-адреса, модели устройства, user-агента. Поскольку эта персональная ссылка — индивидуальна и работает только один раз только, это также затрудняет детектирование начального этапа схемы.
После перехода по ссылке на ресурс-опросник жертву просят ответить на несложные вопросы и «поделиться» своей удачей в WhatsApp или соцсетями с друзьями. Таким образом, злоумышленники обеспечивают вирусное распространение схемы и нагоняют трафик на свои мошеннические сайты.
Параллельно, у жертвы запрашивают адрес электронной почты, который в будущем может быть использован для рассылки фишинговых писем или заражения вредоносной программой. После подобных подготовительных действий мошенники переходят к следующему этапу атаки — «Кроличья нора».
Всем жертвам, которые клюнули на «наживку» на предыдущем этапе, на почту или в личные сообщения в мессенджерах приходят приглашения принять участие в новом грандиозном опросе или викторине с приличным денежным вознаграждением.
«Если бы такое письмо или сообщение пришло «на холодную» без предварительной подготовки клиента, оно отправилось бы в спам, но теперь пользователь сам ждет «чуда» — он прошел опрос, сделал репост, оставил свои контакты, — рассказывает Андрей Бусаргин, руководитель департамента защиты интеллектуальной собственности Group-IB. — Пользователь уже доверяет этому приглашению и фактически сам «прыгает» за кроликом в “нору”».
Хотя на этих на ресурсах уже нет упоминаний известных брендов или знаменитостей, пользователи не подозревают, что оказались в «ловушке». Суть мошенничества в том, что в конце опроса нужно перечислить некоторую сумму, чтобы оплатить «пошлину», «налог» или совершить тестовый платеж. Естественно, никакого вознаграждения жертва не получает, зато теряет свои деньги и персональные данные.
Например, в ходе фейковых опросов от лица крупного российского ритейлера (посещаемость 6500 человек в сутки) пользователей обманом заставляли оставить на поддельном сайте персональные данные, электронную почту, данные банковской карты или логины-пароли от «учеток» личного кабинета. Целью мошенников была кража денег (среднее списание — 50 000 рублей), баллов или персональной информации. Сама ссылка работала только один раз и только у одного конкретного пользователя — как следствие подобный ресурс очень сложно обнаружить и нейтрализовать.
«Если классический фишинг часто содержал упоминания брендов и мошенническую схему с кражей денег или учетных записей на одном ресурсе и это легко было отследить и блокировать, «Кроличья нора» разделена на две части и несколько ресурсов для того, чтобы генерировать как можно больше трафика «звездными» именами и брендами, и при этом усложнить поиск и блокировку ресурсов, на которых происходит сама кража денег. Не все компании готовы отслеживать, например, тизерную контекстную рекламу в социальных сетях, а регистраторы доменов технически не могут пройти всю цепочку от «Белого кролика» до «Кроличьей норы». Блокировка одних только фейковых страниц и аккаунтов напоминает бой с гидрой — на месте заблокированных появляются новые. Понимая, как работает схема, мы видим, как перемещается по сайтам пользователь и блокируем обе части схемы — только так можно эффективно бороться с этим типом мошенничества», — говорит Андрей Бусаргин, директор департамента инновационной защиты бренда и интеллектуальной собственности Group-IB.
Также исследователи отмечают, что опасность данной мошеннической схемы еще и в том, что от нее страдают не только частные лица — репутационный ущерб несут крупные бренды, а также селебрити — звезды шоу-бизнеса, блоггеры и телеведущие, чьи имена и изображения используют мошенники. Почти 64% пользователей, которые столкнулись с мошенничеством с брендом в интернете, никогда не вернутся к этому бренду — доверие подорвано.