Эксперты компании Group-IB обнаружили новую мошенническую схему, которая эксплуатирует  бренд сервиса для проведения видеоконференций Zoom. Под видом получения денежной компенсации «в связи с COVID-2019» или за подписку на сервис, пользователей заманивают на мошеннические сайты, где похищают деньги и данные банковских карт.

С началом пандемии и переходом на удаленную работу сервисы для видеоконференций получили заслуженное признание — например, число одних только пользователей Zoom в марте увеличилось в 20 раз — до 200 000 000 участников видеоконференций в день, а капитализация компании за последний год выросла на 127% — до 41,6 млрд долларов. Разумеется, новую популярную тему решили использовать и мошенники.

С начала 2020 года CERT-GIB зафиксировал появление примерно 15 300 доменов, содержащих слово « Zoom», и всплеск этой активности пришелся именно на период всеобщего перехода на удаленку. На таких сайтах могут размещаться фишинговые страницы, использующиеся для кражи персональной информации, однако злоумышленники на этом не остановились и в новой мошеннической схеме использовался уже не фейковый сайт, а настоящий сервис Zoom.

Все началось с того, что пользователи обратились в CERT-GIB с жалобой на мошеннические письма, которые они получили от сервиса Zoom. Людям предлагали компенсацию «в связи с COVID-2019». Чтобы получить деньги, необходимо было перейти по указанной ссылке, после чего пользователя перенаправляли на различные мошеннические сайты, целью которых было хищение денег и данных банковских карт. Причем исследователи быстро установили, что письма действительно были отправлены не с фейкового домена, а от официального сервиса.

Как оказалось, дело было в том, что при регистрации Zoom предлагает пользователю заполнить профиль — указать «Имя» и «Фамилию», предоставляя возможность вставить до 64-х символов в каждое поле. Мошенники используют эту возможность, вставляя фразу: «Вам положена компенсация в связи с COVID-19» и указывают ссылку на мошеннический сайт.

Рассылка мошеннических сообщений тоже происходит с использованием возможностей настоящего сервиса. Та, после регистрации Zoom предлагает новому клиенту пригласить до десяти новых пользователей, указав их почтовые адреса. Мошенники вводят адреса потенциальных жертв, которым в итоге приходит официальное уведомление от имени команды сервиса видеоконференций (no-reply@zoom[.]us), но с содержанием, которое сгенерировали злоумышленники.

В одной из рассылок, которую изучили эксперты, говорилось, что денежную компенсацию можно забрать сайте http://uglava[.]com (в настоящее время заблокирован). В случае перехода по ссылке пользователей перекидывали на другие мошеннические ресурсы: «Официальный компенсационный центр», «Экспресс-лотерея», «Банк-онлайн (Вам поступил денежный перевод)», «Гранд опрос» и «Фонд финансовой поддержки потребителей».

Group-IB уже предупредила предупредила разработчиков Zoom о найденной угрозе.

«В этой схеме мошенники эксплуатируют популярность бренда сервиса Zoom. Так как письмо отправлено с официального сервиса, злоумышленники не только получают гарантию доставки писем до адресатов, но и то, что часть обманутых пользователей кликнут на ссылку, указанную в профиле и перейдут на мошеннический сайт. Сервису Zoom необходимо внедрить более тщательную проверку данных, которые вводит пользователь при регистрации аккаунта, а также полностью запретить использование сторонних ссылок в профиле», — комментирует Ярослав Каргалев, заместитель руководителя CERT Group-IB.

Оставить мнение