Государственные ведомства и частные компании стали чаще обнаруживать фишинговые сайты и принимать меры для блокировки доступа россиян к таким ресурсам. Мошеннические схемы часто связываются с сезонностью и новостной повесткой, а также отличаются всё более хитроумными схемами, пишут «Ведомости».

Источник изображения: Tumisu / pixabay.com

За первую половину 2024 года Роскомнадзор ограничил доступ к 33 800 фишинговым сайтам — основанием служили решения суда и требования Генпрокуратуры. В 2021 году ведомство блокировало 3100 таких ресурсов, в 2022 году их стало 13 800, а в 2023 году — уже 43 100. В рамках программы Минцифры «Антифишинг» с 1 января по 20 июня 2024 года заблокированы 64 000 фишинговых сайтов, а с начала работы системы в июне 2022 года — около 215 000 мошеннических ресурсов.

Впрочем, действительное количество работающих фишинговых ресурсов может оказаться в 3–4 раза больше, чем говорится в статистике Роскомнадзора, а доменов, которые могут использоваться для реализации мошеннических схем, регистрируется в десятки раз больше, указывают в компании T.Hunter. «Яндекс Браузер» за первую половину 2024 года обнаружил 214 000 фишинговых сайтов, а за весь предыдущий год их было выявлено 344 000. «МегаФон» за первое полугодие зафиксировал более 100 000 таких страниц, и ежедневно список пополняют 600 фишинговых ресурсов. Компания BI.ZONE за первую половину 2024 года выявила 190 000 мошеннических сайтов — за аналогичный период прошлого года таковых было 60 000, а за весь 2023 год — 210 000 ресурсов.

Рост этих показателей объясняется несколькими факторами: с одной стороны, совершенствуются средства поиска фишинговых сайтов, с другой, активизируются и сами киберпреступники. При этом усложняются и механизмы используемых ими атак — мошенники всё чаще пользуются технологиями искусственного интеллекта и прибегают к схемам, связанным с дипфейками.

Источник изображения: DIDIER PETIT / pixabay.com

Эксперты рекомендуют обратить внимание на схему клон-фишинга: вслед за легитимным письмом потенциальная жертва получает похожую на него копию, которая помечается как повторная отправка или исправленная версия, и в таком письме используются уже вредоносные ссылки или вложения. Применяются схемы Adversary-in-the-Middle (AiTM) и Browser-in-the-Browser (BiTB), при которых между пользователем и легитимным сервисом делается вставка для перехвата данных; создаются поддельные окна браузера с формами, напоминающими настоящие страницы входа в систему.

Фишинговые сценарии злоумышленники часто связывают с сезонными событиями и новостной повесткой. Так, в начале лета был всплеск схем, связанных с продажей ответов на ЕГЭ/ОГЭ. Чаще всего жертвы попадаются на сомнительные предложения, связанные с обходом законов, скидками, бесплатными услугами и быстрым решением сложных ситуаций. Предметами подделок выступают ресурсы инвестиционных площадок, интернет-магазинов, банков, соцсетей, мессенджеров, служб онлайн-бронирования и органов государственной власти.

Популярны схемы с кражей учётных записей Telegram: в «Избранном» часто хранятся пароли, данные банковских карт и фото документов. Фишинговые ссылки чаще всего распространяются через почту и мессенджеры, а 65 % переходов производится с мобильных устройств, что закономерно: мобильный трафик уже несколько лет как превысил десктопный. Наконец, объектами фишинговых кампаний оказываются и корпоративные ресурсы — иногда злоумышленники пытаются получить доступ к учётным записям работников организаций.

Власти США увеличили до $5 млн вознаграждение за любую информацию, которая приведёт к аресту Ружи Игнатовой (Ruja Ignatova), известной как «Пропавшая криптокоролева» (Missing Cryptoqueen) и организовавшей мошенническую схему, основанную на токене OneCoin, сообщил ресурс BBC.

Источник изображения: Kanchanara/unsplash.com

Мошенническая криптовалюта OneCoin появилась в 2014 году. Это была классическая пирамида, предусматривающая выплаты ранним инвесторам за счет денег, полученных от новых клиентов. Также новые инвесторы привлекались без предоставления какого-либо реального продукта. Стоящая за OneCoin компания тайно проводила махинации с базой данных, имитируя транзакции в блокчейне, но в реальности ни блокчейна, ни майнинга, ни даже самой криптовалюты OneCoin не было.

После того, как вскрылся обман, в результате которого участники финансовой пирамиды потеряли порядка $4,5 млрд, в США подписали ордер на арест Игнатовой как организатора мошеннической схемы, но она скрылась. Сообщается, что 25 октября 2017 года Ружа Игнатова села в самолёт, следовавший из Софии в Афины, после чего больше о ней ничего не было слышно.

Источник изображения: BBC

Правоохранительные органы США объявили Игнатову в розыск, назначив вознаграждение за информацию о ней в размере $100 тыс., которое позже было увеличено до $250 тыс. В 2022 году ФБР включило её в список 10 самых разыскиваемых преступников.

Последнее увеличение до $5 млн было сделано в рамках «Программы вознаграждения по борьбе с транснациональной организованной преступностью» Госдепартамента США (Transnational Organised Crime Reward Program). «Мы предлагаем вознаграждение в размере $ 5 млн за информацию, которая приведет к аресту и/или осуждению гражданки Германии Ружи Игнатовой, известной как “Криптокоролева», в связи с её ролью в одной из крупнейших глобальных схем мошенничества в истории», — заявил представитель Госдепартамента США Мэтью Миллер (Matthew Miller).

В настоящее время Игнатова единственная женщина, на которую распространяется эта программа. Аналогичная награда предлагается за информацию о Дэниеле Кинахане (Daniel Kinahan), считающемся главой одного из крупнейших наркокартелей Европы, и Семёне Могилевиче, который разыскивается ФБР «по подозрению в участии в схеме, с помощью которой были обмануты тысячи инвесторов на общую сумму более $150 млн».

На проходящей в Шанхае выставке Mobile World Congress Shanghai (MWC Shanghai) компания Honor представила две основанные на искусственном интеллекте технологии для устройств: AI Defocus Eye Protection (защита глаз от расфокусировки) и AI Deepfake Detection (обнаружение дипфейков).

Источник изображения: Brian Penny / pixabay.com

Технология Honor AI Defocus Eye Protection имитирует очки расфокусировки на экране устройства. Такие очки создают контролируемую расфокусировку в периферийном зрении пользователя, помогая удерживать взгляд на экране устройства — формируется искажённое зрительное восприятие, из-за которого снижается риск развития близорукости. Эта технология помогает уменьшить эффект временного возникновения близорукости в среднем на 13° в течение 25 минут после чтения, утверждает Honor, а в некоторых случаях снижение достигает 75°.

Источник изображения: Honor

Honor AI Deepfake Detection помогает предотвращать случаи мошенничества, обнаруживая контент, который подвергался цифровым манипуляциям. Это делается посредством покадрового анализа изображения во время видеосвязи по таким критериям как зрительный контакт, чёткость изображения, эффекты освещения и воспроизведения видео — так выявляются недостатки, невидимые человеческому глазу.

Источник изображения: Honor

Лежащая в основе технологии нейросеть обучена на большом объёме данных и видео, связанных с мошенничеством онлайн, благодаря чему система осуществляет идентификацию, проверку и сравнение всего за три секунды. Если обнаруживается подделка, пользователю выводится предупреждение о риске мошеннических действий, чтобы удержать его от дальнейшего контакта с возможным злоумышленником.

Рэпер Кёртис Джеймс Джексон (Curtis James Jackson), более известный под псевдонимом 50 Cent, сообщил, что стал объектом мошенничества вместе со своими поклонниками. По словам рэпера, неизвестные лица взломали его аккаунт в соцсети X (ранее Twitter), а также сайт Thisis50 с целью продвижения среди его поклонников мем-коина $GUNIT, вышедшего ранее в этом году.

Источник изображения: Kanchanara/unsplash.com

Название криптовалюты ассоциируется с названием хип-хоп группы G-Unit, в которую ранее входил 50 Cent. «Мой Twitter и Thisis50.com были взломаны, я не имею никакого отношения к этой криптовалюте», — написал 50 Cent в посте в соцсети Instagram✴ своим подписчиками, число которых превышает 32,8 млн.

Рэпер сообщил, что хотя администрация соцсети X быстро отреагировала и вскоре заблокировала его аккаунт, мошенники успели «заработать» значительную сумму, используя тактику pump-and-dump, когда для создания ажиотажа и резкого увеличения цены токена распространяются ложные сообщения о росте спроса на криптовалюту, а затем похищают поступившие средства.

Точная сумма похищенного неизвестна. Сначала рэпер написал в Instagram✴, что «тот, кто это сделал, заработал $300 млн за 30 минут», но после этого цифры откорректировали, сократив до $3 млн. Как сообщается, учётная запись рэпера в X и сайт Thisis50.com по-прежнему недоступны.

Центр мониторинга внешних цифровых угроз Solar AURA ГК «Солар» сообщил о сайтах, созданных злоумышленниками с целью кражи аккаунтов в Telegram. Как пишут «Ведомости», речь идёт об однотипных веб-ресурсах с изображениями, при нажатии на которые пользователь попадает на фишинговый сайт, имитирующий переход на страницу сообщества в Telegram.

Источник изображения: Eyestetix Studio/unsplash.com

Сайты содержат картинки с описаниями, объединёнными по тематикам, включая аниме, фанфики (сайты с любительскими сочинениями, основанными на популярных произведениях), интернет-мемы, сайты с порнографическими изображениями, корейскими сериалами и др.

После нажатия на картинку пользователь попадает на фишинговый сайт с имитацией одного из сообществ Telegram, большая часть которых носит название «Тебе понравится». При попытке присоединиться к сообществу пользователь перенаправляется на страницу с QR-кодом или формой для входа в Telegram с предложением указать логин и пароль. «Если ввести на фейковом ресурсе данные для входа в Telegram-аккаунт, информация автоматически попадёт к злоумышленникам», — предупредили эксперты Solar AURA.

Чтобы избежать «угона» аккаунта в Telegram, эксперты рекомендуют пользоваться официальными ресурсами, проверяя их точный адрес через поисковик, а также не предоставлять личные данные на неофициальных веб-сайтах, вызывающих подозрение, и использовать для проверки антивирусные программы.

Ранее «Ведомости» сообщали, что в предпраздничные и праздничные дни 6–10 марта заметно выросло число случаев взлома и угона аккаунтов в Telegram.

Популярный оверклокер и видеоблогер Роман «der8auer» Хартунг (Roman Hartung) выяснил, что компания Lamptron продаёт вместе со своими кулерами поддельные ключи к программе мониторинга ПК AIDA64. Разработчик AIDA64, компания FinalWire, в разговоре с Хартунгом подтвердила, что Lamptron включает в комплект поставки своих продуктов нелицензионные ключи к её программному обеспечению и делает это уже некоторое время.

Источник изображения: Lamptron

FinalWire обратилась к Lamptron с требованием прекратить незаконную практику, однако производитель компьютерных комплектующих никак на это не отреагировал. Der8auer и FinalWire подозревают, что Lamptron использует что-то вроде генератора ключей для AIDA64. Ключи действительно активируют программу, но только определённых версий.

О незаконной практике Lamptron Хартунг узнал ещё несколько лет назад от одного из своих сотрудников. Решив наконец проверить так ли это, Der8auer использовал один из «бесплатных» ключей для AIDA64, который он получил при покупке процессорного кулера Lamptron ST060. Последний оснащён большим ЖК-экраном, на который выводится различная информация о системе.

Энтузиаст обнаружил, что ключ действительно работает, как и было обещано производителем кулера. На коробке продукта указано, что «ключ предназначен для бесплатной версии AIDA64 и не поддерживает онлайн-обновления». Правда в том, что у AIDA64 нет никакой бесплатной версии. Приложение имеет пробный период в 30 дней, но затем требует приобретения лицензии.

Источник изображения: FinalWire

Хотя ключ, предоставленный Lamptron, действительно активировал программу, попытка её обновить привела к тому, что ПО сообщило об использовании нелицензионного ключа.

Источник изображения: YouTube / der8auer EN

Хартунг обратился к FinalWire и там подтвердили, что «бесплатные» ключи Lamptron к AIDA64 фиктивные и незаконные. Разработчик приложения также сообщил, что Lamptron зарегистрировалась в качестве реселлера их продукта два года назад, но сделала только один заказ на версию приложения AIDA64 Extreme.

«Мы понимаем ваши опасения по поводу “бесплатной версии” лицензии, поставляющейся с кулером. К сожалению, мы тоже обнаружили, что Lamptron поставляет свои продукты с фиктивными ключами к AIDA64. Когда нам стало об этом известно, мы немедленно к ним обратились и потребовали прекратить эту практику. Хотя они и зарегистрировались в качестве реселлера два года назад и разместили заказ на AIDA64 Extreme, мы не уверены, что они вообще когда-либо поставляли свои продукты с лицензионными ключами для нашего ПО», — прокомментировали в FinalWire.

Der8auer проверил ещё несколько продуктов Lamptron, поставляющихся с ключами для AIDA64. Как выяснилось, эти продукты поставляются не только с ключами для AIDA64 Extreme, но также и для AIDA64 Business. Lamptron сейчас в основном занимается реализацией ЖК-экранов, которые не оснащены собственным ПО. Иными словами, для работы они требуют использования стороннего программного обеспечения. AIDA64 имеет функцию, которая позволяет пользователям создавать собственное экранное меню специально для таких внешних дисплеев.

Хартунг предоставил FinalWire все ключи, которые он получил с несколькими продуктами Lamptron для проверки. В FinalWire подтвердили, что все они являются фиктивными, и предположили, что для их создания может использоваться некий генератор ключей.

«К сожалению, ни один из предоставленных ключей не прошёл проверку в нашей системе. Мы предполагаем, что эти ключи были нелегально сгенерированы с помощью специального инструмента вроде keygen», — объяснил разработчик приложения.

На данный момент никто не подал в суд на Lamptron за продажу нелицензионных ключей к AIDA64. Однако если она продолжит предоставлять эти ключи вопреки желанию FinalWire, то рискует подвергнуться серьёзным последствиям. Проблемы, по крайней мере в Германии, также могут возникнуть у тех, кто приобретёт такие ключи.

Google подала в суд на двух разработчиков из Китая и Гонконга, которые использовали Play Store для размещения приложений с целью реализации мошеннических схем. Злоумышленники предположительно разместили в Play Store 87 различных мошеннических приложений, с помощью которых выманили деньги у более чем 100 тысяч человек, которые их скачали. Потери обманутых пользователей составили от $100 до десятков тысяч долларов у каждого.

Источник изображения: Kanchanara/unsplash.com

По данным Google, приложения, загруженные в Play Store разработчиками и их сообщниками, использовались для мошенничества как минимум с 2019 года. Программы были сразу же удалены из Play Store после того, как стало ясно, что речь идёт о мошенничестве.

«Данный судебный процесс является важным шагом в привлечении злоумышленников к ответственности и посылает чёткий сигнал о том, что мы будем агрессивно преследовать тех, кто пытается воспользоваться доверием наших пользователей», — заявила главный юрисконсульт Google Халима ДеЛейн Прадо (Halimah DeLaine Prado). Google отметила, что эта схема нанесла ущерб и ей, поскольку представляет угрозу «целостности» её магазина приложений и отвлекает ресурсы на обнаружение мошенников и срыв их планов. По словам компании, ей был нанесён экономический ущерб в размере более $75 000.

В иске указано, что мошенники создавали фейковые приложения для обмена криптовалюты и инвестирования, представляя их в Play Store как легальные инвестиционные продукты, но давая ложную информацию о таких деталях, как локация, чтобы их можно было загрузить. Затем мошенники или их сообщники заманивали пользователей на вредоносные платформы с помощью различных сообщений, вроде «Я София, ты меня помнишь?» или «Я всё время скучаю по тебе, как твои родители, Майк?» в сочетании с видеороликами на YouTube.

После того, как пользователи загружали приложения и начинали вкладывать деньги, мошенники демонстрировали положительный баланс и прибыль от инвестиций, позволяя даже время от времени снимать небольшие суммы или указывали минимальный баланс для вывода средств, чтобы в конечном итоге выманить ещё больше денег.

Google обвинила разработчиков в нарушении условий обслуживания и закона по борьбе с организованной преступностью RICO (Racketeer Influenced and Corrupt Organizations Act). Компания выдвинула в иске требование судебного запрета на подобную деятельность мошенников, а также компенсации причинённого ими ущерба.

Каждый день интернет-пользователи из России совершают около 1,5 млн попыток перехода на фишинговые сайты, причём в 90 % случаев такие переходы происходят со смартфонов, в том числе из мессенджеров, писем и приложений. Об этом пишут «Ведомости» со ссылкой на статистику компании «Яндекс», которая задействовала для обнаружения фишинговых сайтов технологии на базе искусственного интеллекта.

Источник изображения: Nahel Abdul Hadi / unsplash.com

В сообщении сказано, что специалисты «Яндекса» тестировали обнаружение фишинговых сайтов с помощью нейросети с ноября 2023 года. Алгоритм осуществляет проверку того или иного ресурса, прежде чем пустить на него пользователя. Анализируются разные параметры, включая дату создания ресурса, частоту посещений, количество времени, проводимого пользователями на ресурсе, как именно они попадали на ресурс и др.

«Например, у компании появился новый одностраничный сайт, он создан несколько часов назад, зарегистрирован на частное лицо, а не на эту компанию, тогда алгоритмы могут принять его за фишинговый», — рассказал представитель «Яндекса». При выявлении подозрительного сайта запускается дополнительная проверка. Отмечается, что за пять месяцев алгоритм обнаружения фишинговых сайтов выявил свыше 400 тыс. мошеннических ресурсов.

Ещё представитель «Яндекса» рассказал, что нейросети учатся выявлять новые виды фишинга. Он отметил, что в последнее время мошенники часто создают сайты, имитирующие пропавшие из магазинов приложения банков, платформы для взаимодействия с криптовалютными биржами и дейтинговые сервисы. «Киберпреступники очень изобретательны. Мы находили мошеннические страницы, которые предлагали помощь пострадавшим от мошенничества в интернете», — добавил представитель компании.

Руководитель BI.Zone Brand Protection Дмитрий Кирюшкин рассказал, что сейчас одним из распространённых видов обмана является мошенничество под предлогом быстрого заработка. Мошенники также часто имитируют онлайн-площадки для розыгрыша призов, маскируют фишинговые страницы под сайты отечественных банков, компаний с большой выручкой, популярных работодателей. Заместитель директора Центра компетенций «Технологии доверенного взаимодействия» Руслан Пермяков добавил, что сайт признаётся фишинговым по совокупности особенностей, таких как наличие признаков подделки дизайна, попытки замаскировать ссылки, подозрительных элементов на странице и др. Браузер может признать сайт подозрительным из-за отсутствия SSL-сертификата, по причине использования уязвимых протоколов или фреймворков.

По данным Дмитрия Кирюшкина, общее количество фишинговых сайтов выросло на 86 % в 2023 году. При этом в период с ноября 2023 года по март 2024 года число таких ресурсов увеличилось на 24 % относительно показателя за предыдущие пять месяцев. В 2023 году специалисты BI.Zone выявили около 212 тыс. фишинговых сайтов, которые использовались для кражи чувствительных данных, а в феврале 2024 года было обнаружено почти 41 тыс. таких ресурсов.

Стало известно о появлении новой схемы мошенничества, связанной с атаками на абонентов операторов связи. Злоумышленники осуществляют рассылку push-уведомлений о необходимости подтверждения паспортных данных и снабжают их ссылками, ведущими на сайт якобы оператора, а далее на портал «Госуслуг». Там пользователю предлагается ввести логин и пароль от личного кабинета, что позволяет мошенникам завладеть не только учётными данными от «Госуслуг», но и подтверждённой информацией об абоненте.

Источник изображения: Pixabay

На появлении новой фишинговой схемы первыми обратили внимание авторы Telegram-канала True OSINT (Open Source Intelligence), которые и сообщили о том, что злоумышленники стали маскироваться под крупных операторов связи, предлагая абонентам якобы верифицировать номер. По данным источника, один из поддельных сайтов выдавал себя за легитимную страницу МТС, но несколько дней назад он был заблокирован.

Руководитель сервиса мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско подтвердил рост количества фишинговых атак, осуществляемых «якобы от лица операторов». В период с января по февраль этого года в Рунете обнаружили свыше 40 тыс. фишинговых ресурсов, по итогам прошлого года количество таких ресурсов выросло в полтора раза относительно 2022 года и утроилось в сравнении с 2021 годом.

Источник на рынке информационной безопасности подтвердил, что злоумышленники распространяют ссылки на фишинговые сайты через push-уведомления. «В них содержится сообщение о том, что необходимо верифицировать паспортные данные для продления работы мобильного номера, при открытии уведомление переводит пользователя на фишинговый сайт», — отметил источник. Он также добавил, что в случае перехода по фишинговой ссылке пользователю предлагается заполнить анкету с указанием ФИО, номера телефона и даты рождения, после чего жертва перенаправляется на поддельную страницу «Госуслуг» якобы для дополнительного подтверждения введённой информации.

Специалисты отмечают, что атаки такого типа позволяют злоумышленникам получить доступ к аккаунтам абонентов на портале «Госуслуг», а также личной информации, которая может в дальнейшем использоваться для таргетированных атак через звонки. В «Мегафоне» сообщили, что имитирующие сайты оператора фишинговые ресурсы «появляются регулярно». Для выявления принадлежащих мошенникам ресурсов «Мегафон» и МТС используют собственные антифишинговые платформы. В Tele2 сообщили, что значительный рост мошенничества с использованием фишинга не наблюдается.

Напомним, поправки к закону «О связи», вступившие в силу с 1 июня 2021 года, дают операторам связи право запрашивать у абонентов подтверждение сведений о них, включая номер телефона, ФИО и др. Операторы могут оказывать услуги только при наличии достоверных сведений об абонентах, поэтому компании периодически просят своих абонентов подтвердить актуальность персональных данных, в том числе через портал «Госуслуг».

В период с 6 по 10 марта в мессенджере Telegram выросло число инцидентов, связанных мошенническими действиями, благодаря чему злоумышленникам удалось присвоить несколько сотен миллионов рублей, пишут «Ведомости». По оценкам, рост взломов и угонов аккаунтов по сравнению с будними днями составил от 10 до 33 %. Эксперты объясняют рост активности мошенников в праздничные дни тем, что люди в это время расслаблены и менее бдительны.

Источник изображения: Rubaitul Azad/unsplash.com

Мошенники действовали по сходному сценарию. Сначала они создавали в мессенджере группы на несколько десятков человек от лица общего контакта. Затем в этих группах предлагали проголосовать за организатора чата в конкурсе, для чего нужно было перейти по ссылке. Если у пользователя не была подключена двухфакторная аутентификация, то при переходе по ссылке мошенники получали доступ к его аккаунту. Далее от имени бывшего владельца аккаунта по списку контактов мошенники направляли просьбу одолжить несколько десятков тысяч рублей «на пару часов».

По словам руководителя отдела аналитики угроз информационной безопасности группы компаний «Гарда» Алексея Семенычева, в праздничные дни растёт число фишинговых рассылок с поздравлениями, акциями, специальными предложениями, приуроченными к этим событиям. Пользователи менее бдительны и чаще переходят по ссылкам. Если набрать в поисковой строке «Telegram бесплатно 8 марта», можно увидеть множество фишинговых ссылок с предложением бесплатно получить доступ к Premium-подписке в честь праздника, сообщил эксперт центра мониторинга внешних цифровых угроз Solar Aura ГК «Солар» Владимир Ким. Он отметил, что индексация ключевых слов, относящихся к празднику, начинает расти примерно за два-три дня до его наступления.

Руководитель направления МТС Red Soc компании МТС Red Ильназ Гатауллин рассказал, что при переходе по ссылке чаще всего пользователю предлагают ввести код авторизации в каком-либо боте или на стороннем ресурсе. Если пользователь сделает это, мошенник получает доступ к его аккаунту на стороннем устройстве, после чего блокирует все легитимные подключения, становясь владельцем аккаунта.

Для защиты аккаунта руководитель управления по противодействию мошенничеству BI.Zone ​​Алексей Лужнов рекомендует использовать двухфакторную аутентификацию и облачный пароль, что можно задать в настройках приложения. В отличие от проверочного кода в SMS-сообщении, которое мошенник может перехватить, пароль известен только пользователю. В свою очередь, Семенычев советует проверять количество активных сессий на различных устройства и выходить, если в списке появились чужие гаджеты.

Если поступают сообщения с просьбой занять денег, необходимо связаться с автором обращения, рекомендует ведущий аналитик департамента Digital Risk Protection компании F.A.С.С.T. Евгений Егоров.

Эксперты связывают переориентацию мошенников с телефонных звонков на Telegram с запуском системы Роскомнадзора «Антифрод», созданной для борьбы с подменой номера при голосовых звонках. С 1 марта к ней должны быть подключены все российские операторы.

После отзыва лицензии у «Киви Банка» началась массовая регистрация доменных имён, связанных с брендом платёжной службы Qiwi. Страницы по этим адресам могут разместить мошенники, предостерегают эксперты.

Источник изображения: qiwi.com

Накануне, 21 февраля, после отзыва лицензии у «Киви Банка» некие лица начали в массовом порядке регистрировать доменные имена, схожие с названием Qiwi, пишет Forbes со ссылкой на информацию от компании Angara Security, которая специализируется на вопросах кибербезопасности. Только за 21 февраля к 14:00 мск зарегистрированы более 200 доменов в зонах .com, .ru, .org, .net, .de, .cn, .ltd и именами вида «qewi», «qi-wi», «qi7i», «qivi» и т. п. До сегодняшнего дня выявлены 667 сайтов с неймингом Qiwi, не считая официальных. При переходе по этим адресам открываются пустые страницы, производится переадресация на другие ресурсы, включая мошеннические; имена также могут регистрироваться для дальнейшей перепродажи.
После отзыва лицензии у обслуживающего сервис банка возникли сложности с выводом средств с кошельков Qiwi. Этим могут воспользоваться мошенники, разместив по схожим с официальным адресам копии сайтов платёжной системы с предложением помощи с выводом средств — доверчивые пользователи могут передать мошенникам свои учётные данные и лишиться денег.

Банк России отозвал лицензию впервые с августа 2022 года. «Киви Банк», по версии ведомства, нарушал законы и нормативные акты регулятора, пренебрегал требованиями по противодействию отмыванию денег и финансированию терроризма, содействовал транзакциям между физлицами и теневым бизнесом — букмекерами, криптообменниками и нелегальными онлайн-казино. Отмечены также случаи открытия электронных кошельков с использованием персональных данных физических лиц без их ведома и проведения операций по ним.

Вывод средств с кошельков Qiwi заблокирован — на них страхование вкладов не распространяется. Средства с кошельков предполагают возвращать при банкротстве или принудительной ликвидации банка, у которого, по предварительной оценке, хватит на это средств. Терминалы Qiwi и система Contact прекратили работу, отделения «Киви Банка» закрыты.

В США осудили двух граждан Китая, которые обвинялись в мошенничестве на сумму более $3 млн. В течение нескольких лет они покупали поддельные iPhone в Гонконге и отправляли их на ремонт в Apple с целью замены на настоящие смартфоны. Таким образом получилось обменять тысячи устройств.

Проживающие в Мэриленде 33-летние Хаотиан Сун (Haotian Sun) и Пенгфей Сюэ (Pengfei Xue) с июня 2017 года по сентябрь 2019 года вместе с сообщниками Вэнем Цзинь Гао (Wen Jin Gao) и Дянь Луо (Dian Luo) сдавали в сервисные центры Apple поддельные iPhone под видом оригинальных устройств, которые повреждены и требуют замены по гарантии.

В общей сложности за время своей деятельности они пытались обменять около 5000 поддельных iPhone. Apple попалась на эту схему мошенничества и обменяла более 2700 устройств, поскольку в них использовались серийные номера и коды IMEI от настоящих iPhone. Однако в конечном счёте в устройствах были обнаружены поддельные компоненты, после чего Apple провела внутреннее расследование, выявила мошенничество и сообщила о нём правоохранителям. В ходе дальнейшего расследования были найдены партии контрафактного товара, который предназначался мошенникам.

«Сун и Сюэ получали партии поддельных iPhone из Гонконга в почтовые ящики UPS по всему столичному округу Колумбия. Затем они отправляли поддельные iPhone с поддельными серийными номерами и/или кодами IMEI в розничные магазины Apple и авторизованным поставщикам услуг Apple», — говорится в сообщении представителя министерства юстиции США.

Оба мошенника были арестованы ещё в 2019 году, но перед судом предстали только сейчас. Их осудили за мошенничество с использованием почты и сговор с целью мошенничества с использованием почты. Сун и Сюэ грозит наказание в виде тюремного заключения сроком до 20 лет. Окончательный приговор будет объявлен 21 июня.

По сообщениям сетевых источников, в прошлом месяце был арестован исследователь Ноа Роскин-Фрейзи (Noah Roskin-Frazee), который занимался поиском уязвимостей в продуктах Apple. Он обвиняется в том, что за время сотрудничества с IT-гигантом украл у компании товаров и услуг на сумму более $3 млн. Вместе с сообщником Фрейзи похитил подарочные карты Apple на $2,5 млн, товары компании стоимостью $100 тыс. и др.

Источник изображения: freepik.com

Apple напрямую не упоминается в судебных документах. Вместо этого там фигурирует «Компания А», располагающаяся в Купертино, штат Калифорния. Там также упоминается, что один из предполагаемых преступников использовал подарочные карты для покупки Final Cut Pro в App Store, а Apple является единственной компанией, продающей данное приложение.

Согласно имеющимся данным, в 2019 году Фрейзи с сообщником задействовали инструмент сброса паролей, чтобы получить доступ к учётной записи сотрудника неназванной «Компании B», которая занимается поддержкой клиентов Apple. За счёт этого они получили доступ к дополнительным учётным данным сотрудников и VPN-серверам «Компании B». С их помощью Фрейзи смог проникнуть в системы Apple и разместить в них мошеннические заказы на продукцию компании.

Мошенник задействовал утилиту Toolbox, которая позволяет редактировать заказы после их размещения. С её помощью Фрейзи обнулял стоимость заказов, добавлял к заказам новые позиции и продлевал действие страховки AppleCare. Мошенническая деятельность с использованием Toolbox велась в период с января по март 2019 года. Также установлено, что обвиняемые подключались к компьютерам, расположенным в Индии и Коста-Рике, а их основная цель заключалась в обнулении стоимости заказов и добавлении к ним новых товаров, включая смартфоны и ноутбуки.

Любопытно, что в январе этого года Apple поблагодарила Фрейзи за обнаружение нескольких уязвимостей в macOS Sonoma, причём этот документ был опубликован менее чем через две недели после ареста исследователя. Фрейзи предъявили несколько обвинений в мошенничестве, в случае признания виновным ему грозит тюремное заключение сроком более 20 лет.

Основной площадкой для фишинговых атак и кибермошенничества в России является Telegram, пишут «Известия» со ссылкой на данные Angara Security: в 2023 году здесь стало на 39 % больше попыток купить чужие аккаунты и на 29 % — продать похищенные базы данных. Пользователям мессенджера рекомендуется проявлять осмотрительность.

Источник изображения: Rubaitul Azad / unsplash.com

Используя похищенные в результате кибератак базы данных, принадлежащих организациям, технологическим компаниям, предприятиям ВПК и розничным сетям, мошенники активизировались с реализацией различных схем. В частности, рассылаются сообщения с просьбами срочно перевести деньги, предупреждениями о звонке чиновника или просьбами предоставить информацию. На 19 % вырос спрос на покупку через Telegram баз данных, которые содержат имена и адреса электронной почты граждан, а также их паспортные данные. В отдельных случаях запросы конкретизируются по городам, информации о заболеваниях и числу проживающих в доме или квартире. Если в 2022 году эти данные продавались преимущественно через теневые форумы, то в 2023 году выросла популярность Telegram как торговой площадки — в 2024 году перемен здесь не ожидается, уверены эксперты.

Чаще всего кибермошенники пытались уговорить жертву на перевод средств или отправляли ей фишинговую ссылку. Компаниям рассылали не соответствующие действительности сообщения об утечках данных — если в России примут закон об оборотных штрафах за утечки, эта тенденция грозит усилиться. Некоторые пользователи мессенджера оказались жертвами мошенников и пранкеров, пользующихся технологиями дипфейка. Техподдержка Telegram не всегда достаточно оперативно блокирует подозрительных пользователей, поэтому рекомендуется проявлять осмотрительность.

Источник изображения: B_A / pixabay.com

Рост угроз в Telegram связан с высокой популярностью мессенджера в России — его охват составляет 80 % мобильных пользователей, а аудитория менее функционального WhatsApp снижается, отмечают опрошенные «Известиями» эксперты. Подсчитать рост активности мошенников на платформе можно лишь приблизительно, потому что в статистику попадают не все инциденты. Telegram выступает одновременно и инструментом для мошеннических схем, и площадкой для предложения незаконных товаров и услуг: к примеру, в прошлом году набрали популярность фиш-киты — заготовки поддельных веб-страниц, имитирующих ресурсы популярных брендов.

Пользователям мессенджера рекомендуется не открывать в нём подозрительные ссылки; не скачивать файлы, даже если их якобы отправили знакомые, которых в реальности могли взломать; критически относиться к несвойственным отдельным собеседникам оборотам речи и просьбам. Следует включить двухфакторную аутентификацию и не оставлять данных учётной записи ни на каких ресурсах. Можно также отключить в настройках приём сообщений и звонков от незнакомых контактов. При взломе аккаунта рекомендуется произвести принудительный выход на всех устройствах, а иногда и удалить профиль — данные потеряются, но мошенники не смогут ими воспользоваться.

Транснациональная компания потеряла 200 млн гонконгских долларов ($26 млн) из-за мошенников, использовавших технологию дипфейка на новом уровне. Злоумышленникам удалось убедить сотрудника офиса компании в Гонконге перечислить указанную сумму с помощью фальшивого группового видеозвонка, в котором с помощью дипфейка участвовали поддельный финансовый директор и несколько сотрудников компании.

Источник изображения: Pixabay

Полиция отметила, что это было первое дело такого рода для Гонконга, причём касающееся крупной суммы. По словам исполняющего обязанности старшего суперинтенданта Криминального бюро Барона Чана Шунь-цзина (Baron Chan Shun-ching), в предыдущих случаях мошенники обманывали жертв с помощью видеозвонков один на один.

«В этот раз в ходе видеоконференции с участием нескольких человек все, кого можно было увидеть, оказались фальшивками», — сообщил он, добавив, что мошенникам удалось создать убедительные изображения целевых лиц, которые выглядели и звучали как настоящие люди.

Сотрудник финансового отдела филиала компании сообщил полиции, что в середине января получил фишинговое сообщение, по-видимому, от финансового директора компании из Великобритании, в котором говорилось, что необходимо провести секретную транзакцию. Поначалу это вызвало у него сомнения, которые развеяла проведённая мошенниками групповая видеоконференция, на которой он увидел финансового директора, а также других сотрудников компании. По словам потерпевшего, сотрудники компании, участвовавшие в телефонной конференции, выглядели и говорили как настоящие люди. Затем мошенники поддерживали связь с жертвой через платформы обмена мгновенными сообщениями, электронную почту и видеозвонки один на один.

В результате он, следуя указаниям фейкового руководителя, выполнил 15 переводов на общую сумму 200 млн гонконгских долларов на пять банковских счетов в Гонконге. Спустя неделю сотрудник начал подозревать неладное и обратился в головной офис компании.

В результате проведённого расследования полиция установила, что участники видеоконференции были воссозданы в цифровом виде мошенниками, которые использовали общедоступные видео- и аудиозаписи этих лиц. «Они использовали технологию дипфейка, чтобы имитировать голос своих жертв, читающих текст», — отметил Чан.

Он сообщил, что мошенники пытались найти подход к ещё несколькими сотрудникам компании из других филиалов, но отказался предоставить подробности обстоятельств дела. Расследование этого дела всё ещё продолжается.

Старший инспектор Тайлер Чан Чи-Винг (Tyler Chan Chi-wing) сообщил, что существует несколько способов проверить, является ли человек, появившийся на экране, фальшивым цифровым фейком. Он предложил попросить собеседника делать движения головой, а также задавать вопросы, которые позволили бы определить подлинность персонажа, и сразу проявлять бдительность если тот попросит перечислить деньги.

Полиция сообщила, что расширит свою систему оповещения, включив в неё систему быстрых платежей, чтобы предупреждать пользователей о том, что они переводят деньги на счета, связанные с мошенничеством.