Эксперты из компании ReasonLabs обнаружили необычную вредоносную схему, работающую с 2019 года. По мнению исследователей, с ее помощью хакеры похитили миллионы долларов у десятков тысяч жертв. Оказалось, что злоумышленники управляют большой сетью, состоящей более чем из 200 фальшивых сайтов знакомств и поддержки клиентов, и используют эти ресурсы для списания средств с чужих банковских карт, купленных в даркнете.
В рамках этой кампании используются два вида доменов: сайты знакомств и порталы поддержки клиентов (списки адресов можно найти в отчете компании). Если попытаться зайти на сайты компаний, которым якобы принадлежат эти фейковые ресурсы, можно обнаружить, что их не существует вовсе, или они используют несуществующие адреса электронной почты, вроде mail@example.com.
При этом сами сайты знакомств и поддержки клиентов выглядят рабочими, но не получают практически никакого трафика, занимая низкие позиции в результатах поиска Google. Дело в том, что они существуют не для привлечения пользователей, а чтобы служить каналами для отмывания денег.
Аналитики ReasonLabs пишут, что все сайты имеют одинаковую HTML-структуру и почти одинаковый контент, поэтому похоже, что они созданы с помощью автоматических инструментов. При этом фальшивые порталы поддержки клиентов часто используют имена несуществующих организаций, либо стараются напоминать настоящие бренды, такие как McAfee, ReasonLabs и другие фирмы.
Также отмечается, что операторы этой кампании, похоже, приложили немало усилий, чтобы скрыть все 75 фальшивых порталов поддержки от индексации поисковыми системами, используя инструкции для защиты от сканеров в Robots.txt.
Но самой большой сложностью для злоумышленников является регистрация этих сайтов у операторов платежей, которые обычно классифицируют их как «высокорисковые» (даже если речь идет о легитимном ресурсе) из-за высокого процента возвратных платежей. Чтобы не попасть в черный список, каждый сайт подает заявку индивидуально, так как операторы кампании опасаются потерять все ресурсы сразу в случае выявления мошенничества.
Если ресурсам нужно доказать свою легитимность, то на всех сайтах имеется круглосуточный чат с поддержкой и работающий телефон, переданный на аутсорсинг в настоящий колл-центр. Кроме того, на всех сайтах указан бесплатный номер на тот случай, если пользователи захотят отменить платеж, чего мошенники обычно не предлагают.
Как только оператор платежей одобрил запрос, хакеры пускают в дело миллионы украденных платежных карт, купленных в даркнете, и списывают с них деньги через свои фальшивые сайты. Большинство карт принадлежат жителям США, но также сообщается, что хакеры покупали карты и из франкоязычных стран.
Снятие средств осуществляется либо с помощью API, либо вручную. При этом операторы сайтов очень осторожны и стараются не привлекать к себе внимания. Они снимают небольшие суммы, используют распространенные названия, которые могут затеряться среди других расходов жертвы, задействуют повторяющиеся платежи с одной и той же суммой и избегают тестовых транзакций.
Более того, в некоторых случаях хакеры даже возвращают жертвам деньги, благодаря чему их операции становятся более аутентичными, а charge-back коэффициент кажется низким.
Хотя пока многие из 275 фиктивных сайтов по-прежнему работают, эксперты ReasonLabs уже уведомили о своих выводах представителей платежных систем и правоохранительные органы.
«Мы сообщили об этой афере более чем дюжине сторон, которых она так или иначе касалась. В их число входят Visa и Mastercard, а также множество других сервисов, включая AWS, GoDaddy и всевозможных регистраторов. Также мы уведомили о мошенничестве Fraud.org, проект некоммерческой правозащитной организации “Национальная лига потребителей”, которая делится жалобами потребителей с сетью более чем из 200 партнеров в правоохранительных органах», — заявляют специалисты.