"РТК-Солар": мошенники использовали бренды "Красное и белое" и "Додо пицца" для хищения денег у граждан

За прошедшие два месяца команда "РТК-Солар" обнаружила более 2000 вредоносных доменов, которые использовались злоумышленниками для массированного фишинга от имени брендов "Красное и белое" и "Додо пицца". Под предлогом получения пиццы или бутылки вина всего за 1 рубль карта жертвы привязывалась к несуществующему платному сервису с регулярным списанием средств. В настоящее время атака заблокирована, однако, как предупреждают эксперты "РТК-Солар", в ближайшие месяцы возможна реинкарнация данной схемы в новой форме.

Выявленные фишинговые атаки стали продолжением вредоносной кампании, всплески которой наблюдаются каждые в 4-6 месяцев, отмечают специалисты команды специальных сервисов Solar JSOC компании "РТК-Солар". Благодаря взаимодействию с регистраторами доменов и регуляторами удалось вовремя пресечь фишинговую активность, а оперативная коммуникация с банком, подключившим интернет-эквайринг, помогла в несколько раз сократить ущерб для пользователей.

Текущая атака продемонстрировала способность мошеннических схем к развитию. Как и прежде, злоумышленники использовали человеческий фактор: для получения "приза" жертве предлагалось самостоятельно переслать ссылку на вредоносный сайт 10-20 своим друзьям в мессенджере. Такой подход значительно повысил эффективность работы мошенников: ссылка от друга вызывает куда большее доверие, чем обезличенная почтовая рассылка.

Остальные же элементы атаки были тщательно переработаны. Так, для распространения информации об "акции" использовались не только мессенджеры, но и специально созданные группы в социальных сетях. Именно они запустили самораспространяемую цепочку рассылок с несуществующими призами.

С учетом опыта предыдущих атак злоумышленники приняли все необходимые меры, чтобы фейковые ресурсы работали как можно дольше, а их обнаружение и блокировка были затруднены. Если раньше рассылаемые сообщения, как правило, содержали ссылку на статический сайт, то теперь она вела на один из тысяч доменов, который переадресовывал жертву на вредоносный ресурс через постоянно меняющуюся цепочку промежуточных сайтов.

"Вредоносные домены не имели привязки к бренду - это набор из сгенерированной последовательности символов в экзотических доменных зонах .ml, .tk, .cf, .ga и .gq. Регистрация там бесплатна и может быть осуществлена через API, то есть автоматически. В свободном доступе легко найти скрипты, позволяющие пачками регистрировать такие доменные имена, - отметил Александр Вураско, эксперт направления специальных сервисов Solar JSOC компании "РТК-Солар". - Но самое интересное в новом витке схемы - это непосредственно процесс хищения денег. Вводя данные карты, жертва оформляла подписку, в рамках которой каждые пять дней с нее списывали 889 рублей. Деньги поступали на счет реально существующего юрлица в банке из ТОП-20. Такие платежи антифрод-системы банка в большинстве случаев не замечают, а малая сумма с лихвой компенсировалась большим количеством "подписчиков".

Для вывода денег злоумышленники в один день зарегистрировали более двух десятков доменов, где разместили однотипные сайты, посвященные онлайн-тренировкам для "сжигания жира". Именно на этот курс незаметно для себя подписывались жертвы атаки, оставлявшие данные своих банковских карт. При этом фейковые фитнес-сайты были максимально нефункциональными: большинство опций не работало, подробные сведения об оформляемой подписке отсутствовали, а публичная оферта, хотя и имела сведения о юрлице, по факту являлась юридически ничтожной. Все это лишний раз доказывает, что данные сайты использовались исключительно как часть мошеннической схемы с напитками и пиццей.

На сегодня пик атаки прошел. Вредоносные сайты заблокированы, массовые рассылки в мессенджерах и социальных сетях не фиксируются.

Последние комментарии

Алексей Ляпин 31 июля 2022 13:03 В Самарской области отремонтируют пять мостов на дороге Самара-Бугуруслан

давно уже надо было. в районе кротовки мосты ни какие

Сергей Колленников 29 апреля 2022 22:40 На Национальном киберполигоне прошла олимпиада по кибербезопасности среди вузов Приволжского, Южного и Северо-Кавказского федеральных округов

В целом все понравилось, кроме плохо работающих виртуальных машин и слабеньких компьютеров. Во время проведения олимпиады, было много проблем и лагов(как я понимаю это езе может быть связано с тем, что продукт еще сырой и не доработанный), у меня более менее нормально стало работать под конец соревнования... Атак в принципе не жалею, опыт есть опыт. Понравилось отношение людей, все отзывчивые и дружелюбные. А насчетсамого соревнования сложилось такое мнение, что задумка очень интересное, но реализация, конечно, хромает. Надеюсь в будущем, когда данную площадку доведут до ума, получится снова попытать удачу с новыми силами и показать уже, на что мы способны по-настоящему;) А так желаю успехов всем участникам и победителям главное желаю, чтобы у них все прошло в Питере хорошо и надеюсь, что в будущем, у нас будет еще возможностьь посоревноваться в данной сфере, но уже на равных, так сказать:)

Александр Кочкин 13 ноября 2021 15:25 На перекрестке улиц Ново-Садовой и Ново-Вокзальной начали работать автоматические трамвайные стрелки

Почему-то никто не вспомнит, что в 70-х и 80-х годах практически все трамвайные стрелки в Куйбышеве были автоматические.

Валерий Мартынов 02 октября 2021 10:58 Ремонт Заводского шоссе планируется закончить до конца ноября

Не закончат точно. Каждый день здесь ездию. Советую администрации бывать чаще, уже есть провалы, открытые дождеприёмники, нет тротуаров, асфальт местами взрыт, появились ямки, переезды опять разбиты. Это я констатирую факты по участку от 22 Партсъезда до Данона и даже до СККМ.

Lion Heart 15 июня 2021 07:21 МегаФон и Booking.com подарят месяц связи за отдых в России

We can recommend luxury homes for you

Фото на сайте

Все фотогалереи

Новости раздела

Все новости
Архив
Пн Вт Ср Чт Пт Сб Вс
29 30 31 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 1 2