Задержание во Франции основателя и гендиректора мессенджера Telegram Павла Дурова вызвало всплеск активности мошенников, спешащих воспользоваться новостным фоном вокруг инцидента для выманивания денег пользователей, пишет Forbes.ru с ссылкой на данные «Лаборатории Касперского».

Источник изображения: TheDigitalArtist/Pixabay

Эксперты «Лаборатории Касперского» сообщили о почтовой спам-рассылке на английском языке, в которой злоумышленники, выдавая себя за правозащитные организации, призывают внести посильный вклад в освобождение Павла Дурова и перевести деньги в криптовалюте (BTC, ETH и TRX) на один из указанных кошельков, якобы для юридической защиты бизнесмена.

В «Лаборатории Касперского» не исключают, что такую схему могут использовать и злоумышленники в России. Как сообщают эксперты, в своих действиях мошенники проявляют изобретательность — чтобы обойти спам-фильтры, меняют формулировки, избегают повторов и используют синонимы вроде «помочь» и «поддержать» (help и support) вместо «пожертвовать» и «собрать» (donate и raise), а также меняют название организации, от имени которой якобы идёт сбор средств на помощь Дурову.

Руководитель группы защиты от почтовых угроз в «Лаборатории Касперского» Андрей Ковтун отметил, что мошенники реагируют на ситуацию в мире очень быстро — эта скам-рассылка была обнаружена уже на следующий день после появления первых новостей о случившемся с основателем Telegram. «Мы напоминаем, что доверять следует только официальным сообщениям из проверенных источников», — предупреждает Ковтун.

В F.A.С.С.T, разрабатывающей технологии для борьбы с киберпреступлениями, сообщили, что имя Павла Дурова уже давно используется как для привлечения трафика на ресурсы, так и для продвижения мошенниками схем, в том числе фейковых инвестиционных проектов. Уже 25 августа рекламные сообщения мошеннических инвестпроектов были адаптированы под инфоповод. Например, стали появляться сайты с таким же дизайном, как официальный ресурс блокчейн-проекта TON, и с предложением привязать криптокошелек, чтобы «поддержать Павла Дурова».

«Обладателям криптовалюты следует внимательно относиться к интернет-ресурсам в поддержку Павла Дурова или как-то использующих эту новость. Привязывая свои криптокошельки к сомнительным сайтам, можно стать жертвой мошенничества. В том числе киберпреступники могут использовать криптодрейнеры — вредоносное ПО — для быстрого и автоматизированного опустошения криптосчетов», — сообщил ведущий аналитик департамента Digital Risk Protection компании F.A.С.С.T. Евгений Егоров.

Создатели фишинговых мошеннических схем нашли способ обходить механизмы, направленные против приложений, которые предназначены для кражи личной информации. Эти меры не работают против прогрессивных веб-приложений (Progressive Web App — PWA), чьи привилегии ниже, и возможности — скромнее.

Источник изображения: Gerd Altmann / pixabay.com

На iOS разрешена установка приложений только из App Store, а на Android по умолчанию можно устанавливать приложения только из Google Play — при попытке использовать другой источник система выводит предупреждение. Обнаруженные за последние девять месяцев фишинговые кампании имеют своей целью обманом заставить жертву установить вредоносное приложение, которое маскируется под официальный банковский клиент. После установки оно крадёт данные учётной записи и в реальном времени отправляет их злоумышленнику через Telegram, предупреждают эксперты компании ESET.

При атаке на пользователей iOS используется традиционное PWA — разработанный злоумышленниками веб-сайт открывается не через браузер, а с имитацией полноценного приложения; пользователей Android в некоторых случаях обманом заставляют устанавливать его особый подвид — WebAPK. Атака начинается, когда потенциальная жертва получает текстовое сообщение, звонок робота или переходит по ссылке вредоносной рекламы на Facebook✴ или Instagram✴. Открыв ссылку, они попадают на страницу, имитирующую магазин приложений App Store или Google Play.

В случае с iOS установка PWA немного отличается от процедуры установки стандартного приложения — пользователю показывается всплывающее окно с инструкциями по установке, имитирующее системное сообщение платформы. Если же пользователь Android установил WebAPK через Google Play, то его бдительность усыпляется тем, что в описании говорится об отсутствии у приложения системных привилегий. В любом случае после установки пользователю предлагается ввести свои учётные данные для доступа к онлайн-банку, и вся введённая информация отправляется на подконтрольный мошенникам сервер.

Новая схема пока применяется преимущественно в Чехии, но уже отмечены инциденты в Венгрии и Грузии. Эксперты по кибербезопасности предполагают, что число подобных инцидентов будет расти, а их география — расширяться.

В период с 2019 года до настоящего времени с подозрительных цифровых кошельков ушло на криптовалютный рынок около $100 млрд нелегальных средств. Их потоки часто проходили через централизованные биржи и нередко были связаны с популярными стейблкоинами, сообщил Bloomberg со ссылкой на данные американской фирмы по анализу блокчейнов Chainalysis.

Источник изображения: Kanchanara/unsplash.com

Согласно исследованию Chainalysis, злоумышленники активно используют стейблкоины, на которые сейчас приходится значительная часть объёма незаконных операций в криптовалюте. При этом более половины всех сомнительных потоков приходится на централизованные биржи. На просьбу Bloomberg прокомментировать данную публикацию эмитенты стейблкоинов Tether и Circle пока не откликнулись.

Хотя во всём мире ужесточаются нормы, регулирующие обращение стейблкоинов и деятельность платформ цифровых активов с целью предотвращения использования криптовалюты для отмывания денег и финансирования терроризма, злоумышленники продолжают искать способы для обхода правил.

«Экосистема постоянно меняется, — сообщила Ким Грауэр (Kim Grauer), директор по исследованиям Chainalysis. — Появляются новые криптовалюты и варианты их использования преступниками, и они становятся все более изощренными в отмывании».

Нелегальные средства, поступающие с даркнет-рынков, от мошеннических операций, применения программ-вымогателей и вредоносных программ, сосредоточены на пяти централизованных биржах, рассказали в Chainalysis без указания их названий. Помимо торговых платформ, преступники также используют для отмывания денег децентрализованные финансовые сервисы, сайты азартных игр, криптомиксеры и блокчейн-мосты.

«Незаконные субъекты могут обратиться к централизованным биржам для отмывания денег из-за их высокой ликвидности, простоты конвертации криптовалюты в фиатные деньги и интеграции с традиционными финансовыми сервисами, которые помогают сочетать незаконные средства с законной деятельностью», — сообщили эксперты Chainalysis.

Вместе с тем объём подозрительных средств, поступающих на биржи, сокращается. По всей видимости это связано с усилением проверок платформ на фоне ужесточения регулирования со стороны властей. Согласно исследованию Chainalysis, поступления сомнительных средств сократились примерно до $780 млн в месяц с пика в почти $2 млрд.

Стремясь скрыть незаконное происхождение средств, злоумышленники увеличивают число промежуточных цифровых кошельков. Причём их количество растёт быстрее на биржах, которые соблюдают правило «знай своего клиента» (Know Your Customer, KYC), отмечает Chainalysis. В связи с тем, что незаконные схемы становятся всё более изощренными, следователи начали использовать такие методы обнаружения, как поведенческий анализ.

По данным DeFiLlama, общая рыночная стоимость стейблкоинов выросла до более чем $160 млрд с примерно $29 млрд в начале 2021 года. Доминирует на рынке токен USDT компании Tether Holdings с долей 69 %, за ним следует USDC компании Circle Internet Financial с долей 21 %.

Государственные ведомства и частные компании стали чаще обнаруживать фишинговые сайты и принимать меры для блокировки доступа россиян к таким ресурсам. Мошеннические схемы часто связываются с сезонностью и новостной повесткой, а также отличаются всё более хитроумными схемами, пишут «Ведомости».

Источник изображения: Tumisu / pixabay.com

За первую половину 2024 года Роскомнадзор ограничил доступ к 33 800 фишинговым сайтам — основанием служили решения суда и требования Генпрокуратуры. В 2021 году ведомство блокировало 3100 таких ресурсов, в 2022 году их стало 13 800, а в 2023 году — уже 43 100. В рамках программы Минцифры «Антифишинг» с 1 января по 20 июня 2024 года заблокированы 64 000 фишинговых сайтов, а с начала работы системы в июне 2022 года — около 215 000 мошеннических ресурсов.

Впрочем, действительное количество работающих фишинговых ресурсов может оказаться в 3–4 раза больше, чем говорится в статистике Роскомнадзора, а доменов, которые могут использоваться для реализации мошеннических схем, регистрируется в десятки раз больше, указывают в компании T.Hunter. «Яндекс Браузер» за первую половину 2024 года обнаружил 214 000 фишинговых сайтов, а за весь предыдущий год их было выявлено 344 000. «МегаФон» за первое полугодие зафиксировал более 100 000 таких страниц, и ежедневно список пополняют 600 фишинговых ресурсов. Компания BI.ZONE за первую половину 2024 года выявила 190 000 мошеннических сайтов — за аналогичный период прошлого года таковых было 60 000, а за весь 2023 год — 210 000 ресурсов.

Рост этих показателей объясняется несколькими факторами: с одной стороны, совершенствуются средства поиска фишинговых сайтов, с другой, активизируются и сами киберпреступники. При этом усложняются и механизмы используемых ими атак — мошенники всё чаще пользуются технологиями искусственного интеллекта и прибегают к схемам, связанным с дипфейками.

Источник изображения: DIDIER PETIT / pixabay.com

Эксперты рекомендуют обратить внимание на схему клон-фишинга: вслед за легитимным письмом потенциальная жертва получает похожую на него копию, которая помечается как повторная отправка или исправленная версия, и в таком письме используются уже вредоносные ссылки или вложения. Применяются схемы Adversary-in-the-Middle (AiTM) и Browser-in-the-Browser (BiTB), при которых между пользователем и легитимным сервисом делается вставка для перехвата данных; создаются поддельные окна браузера с формами, напоминающими настоящие страницы входа в систему.

Фишинговые сценарии злоумышленники часто связывают с сезонными событиями и новостной повесткой. Так, в начале лета был всплеск схем, связанных с продажей ответов на ЕГЭ/ОГЭ. Чаще всего жертвы попадаются на сомнительные предложения, связанные с обходом законов, скидками, бесплатными услугами и быстрым решением сложных ситуаций. Предметами подделок выступают ресурсы инвестиционных площадок, интернет-магазинов, банков, соцсетей, мессенджеров, служб онлайн-бронирования и органов государственной власти.

Популярны схемы с кражей учётных записей Telegram: в «Избранном» часто хранятся пароли, данные банковских карт и фото документов. Фишинговые ссылки чаще всего распространяются через почту и мессенджеры, а 65 % переходов производится с мобильных устройств, что закономерно: мобильный трафик уже несколько лет как превысил десктопный. Наконец, объектами фишинговых кампаний оказываются и корпоративные ресурсы — иногда злоумышленники пытаются получить доступ к учётным записям работников организаций.

Власти США увеличили до $5 млн вознаграждение за любую информацию, которая приведёт к аресту Ружи Игнатовой (Ruja Ignatova), известной как «Пропавшая криптокоролева» (Missing Cryptoqueen) и организовавшей мошенническую схему, основанную на токене OneCoin, сообщил ресурс BBC.

Источник изображения: Kanchanara/unsplash.com

Мошенническая криптовалюта OneCoin появилась в 2014 году. Это была классическая пирамида, предусматривающая выплаты ранним инвесторам за счет денег, полученных от новых клиентов. Также новые инвесторы привлекались без предоставления какого-либо реального продукта. Стоящая за OneCoin компания тайно проводила махинации с базой данных, имитируя транзакции в блокчейне, но в реальности ни блокчейна, ни майнинга, ни даже самой криптовалюты OneCoin не было.

После того, как вскрылся обман, в результате которого участники финансовой пирамиды потеряли порядка $4,5 млрд, в США подписали ордер на арест Игнатовой как организатора мошеннической схемы, но она скрылась. Сообщается, что 25 октября 2017 года Ружа Игнатова села в самолёт, следовавший из Софии в Афины, после чего больше о ней ничего не было слышно.

Источник изображения: BBC

Правоохранительные органы США объявили Игнатову в розыск, назначив вознаграждение за информацию о ней в размере $100 тыс., которое позже было увеличено до $250 тыс. В 2022 году ФБР включило её в список 10 самых разыскиваемых преступников.

Последнее увеличение до $5 млн было сделано в рамках «Программы вознаграждения по борьбе с транснациональной организованной преступностью» Госдепартамента США (Transnational Organised Crime Reward Program). «Мы предлагаем вознаграждение в размере $ 5 млн за информацию, которая приведет к аресту и/или осуждению гражданки Германии Ружи Игнатовой, известной как “Криптокоролева», в связи с её ролью в одной из крупнейших глобальных схем мошенничества в истории», — заявил представитель Госдепартамента США Мэтью Миллер (Matthew Miller).

В настоящее время Игнатова единственная женщина, на которую распространяется эта программа. Аналогичная награда предлагается за информацию о Дэниеле Кинахане (Daniel Kinahan), считающемся главой одного из крупнейших наркокартелей Европы, и Семёне Могилевиче, который разыскивается ФБР «по подозрению в участии в схеме, с помощью которой были обмануты тысячи инвесторов на общую сумму более $150 млн».

На проходящей в Шанхае выставке Mobile World Congress Shanghai (MWC Shanghai) компания Honor представила две основанные на искусственном интеллекте технологии для устройств: AI Defocus Eye Protection (защита глаз от расфокусировки) и AI Deepfake Detection (обнаружение дипфейков).

Источник изображения: Brian Penny / pixabay.com

Технология Honor AI Defocus Eye Protection имитирует очки расфокусировки на экране устройства. Такие очки создают контролируемую расфокусировку в периферийном зрении пользователя, помогая удерживать взгляд на экране устройства — формируется искажённое зрительное восприятие, из-за которого снижается риск развития близорукости. Эта технология помогает уменьшить эффект временного возникновения близорукости в среднем на 13° в течение 25 минут после чтения, утверждает Honor, а в некоторых случаях снижение достигает 75°.

Источник изображения: Honor

Honor AI Deepfake Detection помогает предотвращать случаи мошенничества, обнаруживая контент, который подвергался цифровым манипуляциям. Это делается посредством покадрового анализа изображения во время видеосвязи по таким критериям как зрительный контакт, чёткость изображения, эффекты освещения и воспроизведения видео — так выявляются недостатки, невидимые человеческому глазу.

Источник изображения: Honor

Лежащая в основе технологии нейросеть обучена на большом объёме данных и видео, связанных с мошенничеством онлайн, благодаря чему система осуществляет идентификацию, проверку и сравнение всего за три секунды. Если обнаруживается подделка, пользователю выводится предупреждение о риске мошеннических действий, чтобы удержать его от дальнейшего контакта с возможным злоумышленником.

Рэпер Кёртис Джеймс Джексон (Curtis James Jackson), более известный под псевдонимом 50 Cent, сообщил, что стал объектом мошенничества вместе со своими поклонниками. По словам рэпера, неизвестные лица взломали его аккаунт в соцсети X (ранее Twitter), а также сайт Thisis50 с целью продвижения среди его поклонников мем-коина $GUNIT, вышедшего ранее в этом году.

Источник изображения: Kanchanara/unsplash.com

Название криптовалюты ассоциируется с названием хип-хоп группы G-Unit, в которую ранее входил 50 Cent. «Мой Twitter и Thisis50.com были взломаны, я не имею никакого отношения к этой криптовалюте», — написал 50 Cent в посте в соцсети Instagram✴ своим подписчиками, число которых превышает 32,8 млн.

Рэпер сообщил, что хотя администрация соцсети X быстро отреагировала и вскоре заблокировала его аккаунт, мошенники успели «заработать» значительную сумму, используя тактику pump-and-dump, когда для создания ажиотажа и резкого увеличения цены токена распространяются ложные сообщения о росте спроса на криптовалюту, а затем похищают поступившие средства.

Точная сумма похищенного неизвестна. Сначала рэпер написал в Instagram✴, что «тот, кто это сделал, заработал $300 млн за 30 минут», но после этого цифры откорректировали, сократив до $3 млн. Как сообщается, учётная запись рэпера в X и сайт Thisis50.com по-прежнему недоступны.

Центр мониторинга внешних цифровых угроз Solar AURA ГК «Солар» сообщил о сайтах, созданных злоумышленниками с целью кражи аккаунтов в Telegram. Как пишут «Ведомости», речь идёт об однотипных веб-ресурсах с изображениями, при нажатии на которые пользователь попадает на фишинговый сайт, имитирующий переход на страницу сообщества в Telegram.

Источник изображения: Eyestetix Studio/unsplash.com

Сайты содержат картинки с описаниями, объединёнными по тематикам, включая аниме, фанфики (сайты с любительскими сочинениями, основанными на популярных произведениях), интернет-мемы, сайты с порнографическими изображениями, корейскими сериалами и др.

После нажатия на картинку пользователь попадает на фишинговый сайт с имитацией одного из сообществ Telegram, большая часть которых носит название «Тебе понравится». При попытке присоединиться к сообществу пользователь перенаправляется на страницу с QR-кодом или формой для входа в Telegram с предложением указать логин и пароль. «Если ввести на фейковом ресурсе данные для входа в Telegram-аккаунт, информация автоматически попадёт к злоумышленникам», — предупредили эксперты Solar AURA.

Чтобы избежать «угона» аккаунта в Telegram, эксперты рекомендуют пользоваться официальными ресурсами, проверяя их точный адрес через поисковик, а также не предоставлять личные данные на неофициальных веб-сайтах, вызывающих подозрение, и использовать для проверки антивирусные программы.

Ранее «Ведомости» сообщали, что в предпраздничные и праздничные дни 6–10 марта заметно выросло число случаев взлома и угона аккаунтов в Telegram.

Популярный оверклокер и видеоблогер Роман «der8auer» Хартунг (Roman Hartung) выяснил, что компания Lamptron продаёт вместе со своими кулерами поддельные ключи к программе мониторинга ПК AIDA64. Разработчик AIDA64, компания FinalWire, в разговоре с Хартунгом подтвердила, что Lamptron включает в комплект поставки своих продуктов нелицензионные ключи к её программному обеспечению и делает это уже некоторое время.

Источник изображения: Lamptron

FinalWire обратилась к Lamptron с требованием прекратить незаконную практику, однако производитель компьютерных комплектующих никак на это не отреагировал. Der8auer и FinalWire подозревают, что Lamptron использует что-то вроде генератора ключей для AIDA64. Ключи действительно активируют программу, но только определённых версий.

О незаконной практике Lamptron Хартунг узнал ещё несколько лет назад от одного из своих сотрудников. Решив наконец проверить так ли это, Der8auer использовал один из «бесплатных» ключей для AIDA64, который он получил при покупке процессорного кулера Lamptron ST060. Последний оснащён большим ЖК-экраном, на который выводится различная информация о системе.

Энтузиаст обнаружил, что ключ действительно работает, как и было обещано производителем кулера. На коробке продукта указано, что «ключ предназначен для бесплатной версии AIDA64 и не поддерживает онлайн-обновления». Правда в том, что у AIDA64 нет никакой бесплатной версии. Приложение имеет пробный период в 30 дней, но затем требует приобретения лицензии.

Источник изображения: FinalWire

Хотя ключ, предоставленный Lamptron, действительно активировал программу, попытка её обновить привела к тому, что ПО сообщило об использовании нелицензионного ключа.

Источник изображения: YouTube / der8auer EN

Хартунг обратился к FinalWire и там подтвердили, что «бесплатные» ключи Lamptron к AIDA64 фиктивные и незаконные. Разработчик приложения также сообщил, что Lamptron зарегистрировалась в качестве реселлера их продукта два года назад, но сделала только один заказ на версию приложения AIDA64 Extreme.

«Мы понимаем ваши опасения по поводу “бесплатной версии” лицензии, поставляющейся с кулером. К сожалению, мы тоже обнаружили, что Lamptron поставляет свои продукты с фиктивными ключами к AIDA64. Когда нам стало об этом известно, мы немедленно к ним обратились и потребовали прекратить эту практику. Хотя они и зарегистрировались в качестве реселлера два года назад и разместили заказ на AIDA64 Extreme, мы не уверены, что они вообще когда-либо поставляли свои продукты с лицензионными ключами для нашего ПО», — прокомментировали в FinalWire.

Der8auer проверил ещё несколько продуктов Lamptron, поставляющихся с ключами для AIDA64. Как выяснилось, эти продукты поставляются не только с ключами для AIDA64 Extreme, но также и для AIDA64 Business. Lamptron сейчас в основном занимается реализацией ЖК-экранов, которые не оснащены собственным ПО. Иными словами, для работы они требуют использования стороннего программного обеспечения. AIDA64 имеет функцию, которая позволяет пользователям создавать собственное экранное меню специально для таких внешних дисплеев.

Хартунг предоставил FinalWire все ключи, которые он получил с несколькими продуктами Lamptron для проверки. В FinalWire подтвердили, что все они являются фиктивными, и предположили, что для их создания может использоваться некий генератор ключей.

«К сожалению, ни один из предоставленных ключей не прошёл проверку в нашей системе. Мы предполагаем, что эти ключи были нелегально сгенерированы с помощью специального инструмента вроде keygen», — объяснил разработчик приложения.

На данный момент никто не подал в суд на Lamptron за продажу нелицензионных ключей к AIDA64. Однако если она продолжит предоставлять эти ключи вопреки желанию FinalWire, то рискует подвергнуться серьёзным последствиям. Проблемы, по крайней мере в Германии, также могут возникнуть у тех, кто приобретёт такие ключи.

Google подала в суд на двух разработчиков из Китая и Гонконга, которые использовали Play Store для размещения приложений с целью реализации мошеннических схем. Злоумышленники предположительно разместили в Play Store 87 различных мошеннических приложений, с помощью которых выманили деньги у более чем 100 тысяч человек, которые их скачали. Потери обманутых пользователей составили от $100 до десятков тысяч долларов у каждого.

Источник изображения: Kanchanara/unsplash.com

По данным Google, приложения, загруженные в Play Store разработчиками и их сообщниками, использовались для мошенничества как минимум с 2019 года. Программы были сразу же удалены из Play Store после того, как стало ясно, что речь идёт о мошенничестве.

«Данный судебный процесс является важным шагом в привлечении злоумышленников к ответственности и посылает чёткий сигнал о том, что мы будем агрессивно преследовать тех, кто пытается воспользоваться доверием наших пользователей», — заявила главный юрисконсульт Google Халима ДеЛейн Прадо (Halimah DeLaine Prado). Google отметила, что эта схема нанесла ущерб и ей, поскольку представляет угрозу «целостности» её магазина приложений и отвлекает ресурсы на обнаружение мошенников и срыв их планов. По словам компании, ей был нанесён экономический ущерб в размере более $75 000.

В иске указано, что мошенники создавали фейковые приложения для обмена криптовалюты и инвестирования, представляя их в Play Store как легальные инвестиционные продукты, но давая ложную информацию о таких деталях, как локация, чтобы их можно было загрузить. Затем мошенники или их сообщники заманивали пользователей на вредоносные платформы с помощью различных сообщений, вроде «Я София, ты меня помнишь?» или «Я всё время скучаю по тебе, как твои родители, Майк?» в сочетании с видеороликами на YouTube.

После того, как пользователи загружали приложения и начинали вкладывать деньги, мошенники демонстрировали положительный баланс и прибыль от инвестиций, позволяя даже время от времени снимать небольшие суммы или указывали минимальный баланс для вывода средств, чтобы в конечном итоге выманить ещё больше денег.

Google обвинила разработчиков в нарушении условий обслуживания и закона по борьбе с организованной преступностью RICO (Racketeer Influenced and Corrupt Organizations Act). Компания выдвинула в иске требование судебного запрета на подобную деятельность мошенников, а также компенсации причинённого ими ущерба.

Каждый день интернет-пользователи из России совершают около 1,5 млн попыток перехода на фишинговые сайты, причём в 90 % случаев такие переходы происходят со смартфонов, в том числе из мессенджеров, писем и приложений. Об этом пишут «Ведомости» со ссылкой на статистику компании «Яндекс», которая задействовала для обнаружения фишинговых сайтов технологии на базе искусственного интеллекта.

Источник изображения: Nahel Abdul Hadi / unsplash.com

В сообщении сказано, что специалисты «Яндекса» тестировали обнаружение фишинговых сайтов с помощью нейросети с ноября 2023 года. Алгоритм осуществляет проверку того или иного ресурса, прежде чем пустить на него пользователя. Анализируются разные параметры, включая дату создания ресурса, частоту посещений, количество времени, проводимого пользователями на ресурсе, как именно они попадали на ресурс и др.

«Например, у компании появился новый одностраничный сайт, он создан несколько часов назад, зарегистрирован на частное лицо, а не на эту компанию, тогда алгоритмы могут принять его за фишинговый», — рассказал представитель «Яндекса». При выявлении подозрительного сайта запускается дополнительная проверка. Отмечается, что за пять месяцев алгоритм обнаружения фишинговых сайтов выявил свыше 400 тыс. мошеннических ресурсов.

Ещё представитель «Яндекса» рассказал, что нейросети учатся выявлять новые виды фишинга. Он отметил, что в последнее время мошенники часто создают сайты, имитирующие пропавшие из магазинов приложения банков, платформы для взаимодействия с криптовалютными биржами и дейтинговые сервисы. «Киберпреступники очень изобретательны. Мы находили мошеннические страницы, которые предлагали помощь пострадавшим от мошенничества в интернете», — добавил представитель компании.

Руководитель BI.Zone Brand Protection Дмитрий Кирюшкин рассказал, что сейчас одним из распространённых видов обмана является мошенничество под предлогом быстрого заработка. Мошенники также часто имитируют онлайн-площадки для розыгрыша призов, маскируют фишинговые страницы под сайты отечественных банков, компаний с большой выручкой, популярных работодателей. Заместитель директора Центра компетенций «Технологии доверенного взаимодействия» Руслан Пермяков добавил, что сайт признаётся фишинговым по совокупности особенностей, таких как наличие признаков подделки дизайна, попытки замаскировать ссылки, подозрительных элементов на странице и др. Браузер может признать сайт подозрительным из-за отсутствия SSL-сертификата, по причине использования уязвимых протоколов или фреймворков.

По данным Дмитрия Кирюшкина, общее количество фишинговых сайтов выросло на 86 % в 2023 году. При этом в период с ноября 2023 года по март 2024 года число таких ресурсов увеличилось на 24 % относительно показателя за предыдущие пять месяцев. В 2023 году специалисты BI.Zone выявили около 212 тыс. фишинговых сайтов, которые использовались для кражи чувствительных данных, а в феврале 2024 года было обнаружено почти 41 тыс. таких ресурсов.

Стало известно о появлении новой схемы мошенничества, связанной с атаками на абонентов операторов связи. Злоумышленники осуществляют рассылку push-уведомлений о необходимости подтверждения паспортных данных и снабжают их ссылками, ведущими на сайт якобы оператора, а далее на портал «Госуслуг». Там пользователю предлагается ввести логин и пароль от личного кабинета, что позволяет мошенникам завладеть не только учётными данными от «Госуслуг», но и подтверждённой информацией об абоненте.

Источник изображения: Pixabay

На появлении новой фишинговой схемы первыми обратили внимание авторы Telegram-канала True OSINT (Open Source Intelligence), которые и сообщили о том, что злоумышленники стали маскироваться под крупных операторов связи, предлагая абонентам якобы верифицировать номер. По данным источника, один из поддельных сайтов выдавал себя за легитимную страницу МТС, но несколько дней назад он был заблокирован.

Руководитель сервиса мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско подтвердил рост количества фишинговых атак, осуществляемых «якобы от лица операторов». В период с января по февраль этого года в Рунете обнаружили свыше 40 тыс. фишинговых ресурсов, по итогам прошлого года количество таких ресурсов выросло в полтора раза относительно 2022 года и утроилось в сравнении с 2021 годом.

Источник на рынке информационной безопасности подтвердил, что злоумышленники распространяют ссылки на фишинговые сайты через push-уведомления. «В них содержится сообщение о том, что необходимо верифицировать паспортные данные для продления работы мобильного номера, при открытии уведомление переводит пользователя на фишинговый сайт», — отметил источник. Он также добавил, что в случае перехода по фишинговой ссылке пользователю предлагается заполнить анкету с указанием ФИО, номера телефона и даты рождения, после чего жертва перенаправляется на поддельную страницу «Госуслуг» якобы для дополнительного подтверждения введённой информации.

Специалисты отмечают, что атаки такого типа позволяют злоумышленникам получить доступ к аккаунтам абонентов на портале «Госуслуг», а также личной информации, которая может в дальнейшем использоваться для таргетированных атак через звонки. В «Мегафоне» сообщили, что имитирующие сайты оператора фишинговые ресурсы «появляются регулярно». Для выявления принадлежащих мошенникам ресурсов «Мегафон» и МТС используют собственные антифишинговые платформы. В Tele2 сообщили, что значительный рост мошенничества с использованием фишинга не наблюдается.

Напомним, поправки к закону «О связи», вступившие в силу с 1 июня 2021 года, дают операторам связи право запрашивать у абонентов подтверждение сведений о них, включая номер телефона, ФИО и др. Операторы могут оказывать услуги только при наличии достоверных сведений об абонентах, поэтому компании периодически просят своих абонентов подтвердить актуальность персональных данных, в том числе через портал «Госуслуг».

В период с 6 по 10 марта в мессенджере Telegram выросло число инцидентов, связанных мошенническими действиями, благодаря чему злоумышленникам удалось присвоить несколько сотен миллионов рублей, пишут «Ведомости». По оценкам, рост взломов и угонов аккаунтов по сравнению с будними днями составил от 10 до 33 %. Эксперты объясняют рост активности мошенников в праздничные дни тем, что люди в это время расслаблены и менее бдительны.

Источник изображения: Rubaitul Azad/unsplash.com

Мошенники действовали по сходному сценарию. Сначала они создавали в мессенджере группы на несколько десятков человек от лица общего контакта. Затем в этих группах предлагали проголосовать за организатора чата в конкурсе, для чего нужно было перейти по ссылке. Если у пользователя не была подключена двухфакторная аутентификация, то при переходе по ссылке мошенники получали доступ к его аккаунту. Далее от имени бывшего владельца аккаунта по списку контактов мошенники направляли просьбу одолжить несколько десятков тысяч рублей «на пару часов».

По словам руководителя отдела аналитики угроз информационной безопасности группы компаний «Гарда» Алексея Семенычева, в праздничные дни растёт число фишинговых рассылок с поздравлениями, акциями, специальными предложениями, приуроченными к этим событиям. Пользователи менее бдительны и чаще переходят по ссылкам. Если набрать в поисковой строке «Telegram бесплатно 8 марта», можно увидеть множество фишинговых ссылок с предложением бесплатно получить доступ к Premium-подписке в честь праздника, сообщил эксперт центра мониторинга внешних цифровых угроз Solar Aura ГК «Солар» Владимир Ким. Он отметил, что индексация ключевых слов, относящихся к празднику, начинает расти примерно за два-три дня до его наступления.

Руководитель направления МТС Red Soc компании МТС Red Ильназ Гатауллин рассказал, что при переходе по ссылке чаще всего пользователю предлагают ввести код авторизации в каком-либо боте или на стороннем ресурсе. Если пользователь сделает это, мошенник получает доступ к его аккаунту на стороннем устройстве, после чего блокирует все легитимные подключения, становясь владельцем аккаунта.

Для защиты аккаунта руководитель управления по противодействию мошенничеству BI.Zone ​​Алексей Лужнов рекомендует использовать двухфакторную аутентификацию и облачный пароль, что можно задать в настройках приложения. В отличие от проверочного кода в SMS-сообщении, которое мошенник может перехватить, пароль известен только пользователю. В свою очередь, Семенычев советует проверять количество активных сессий на различных устройства и выходить, если в списке появились чужие гаджеты.

Если поступают сообщения с просьбой занять денег, необходимо связаться с автором обращения, рекомендует ведущий аналитик департамента Digital Risk Protection компании F.A.С.С.T. Евгений Егоров.

Эксперты связывают переориентацию мошенников с телефонных звонков на Telegram с запуском системы Роскомнадзора «Антифрод», созданной для борьбы с подменой номера при голосовых звонках. С 1 марта к ней должны быть подключены все российские операторы.

После отзыва лицензии у «Киви Банка» началась массовая регистрация доменных имён, связанных с брендом платёжной службы Qiwi. Страницы по этим адресам могут разместить мошенники, предостерегают эксперты.

Источник изображения: qiwi.com

Накануне, 21 февраля, после отзыва лицензии у «Киви Банка» некие лица начали в массовом порядке регистрировать доменные имена, схожие с названием Qiwi, пишет Forbes со ссылкой на информацию от компании Angara Security, которая специализируется на вопросах кибербезопасности. Только за 21 февраля к 14:00 мск зарегистрированы более 200 доменов в зонах .com, .ru, .org, .net, .de, .cn, .ltd и именами вида «qewi», «qi-wi», «qi7i», «qivi» и т. п. До сегодняшнего дня выявлены 667 сайтов с неймингом Qiwi, не считая официальных. При переходе по этим адресам открываются пустые страницы, производится переадресация на другие ресурсы, включая мошеннические; имена также могут регистрироваться для дальнейшей перепродажи.
После отзыва лицензии у обслуживающего сервис банка возникли сложности с выводом средств с кошельков Qiwi. Этим могут воспользоваться мошенники, разместив по схожим с официальным адресам копии сайтов платёжной системы с предложением помощи с выводом средств — доверчивые пользователи могут передать мошенникам свои учётные данные и лишиться денег.

Банк России отозвал лицензию впервые с августа 2022 года. «Киви Банк», по версии ведомства, нарушал законы и нормативные акты регулятора, пренебрегал требованиями по противодействию отмыванию денег и финансированию терроризма, содействовал транзакциям между физлицами и теневым бизнесом — букмекерами, криптообменниками и нелегальными онлайн-казино. Отмечены также случаи открытия электронных кошельков с использованием персональных данных физических лиц без их ведома и проведения операций по ним.

Вывод средств с кошельков Qiwi заблокирован — на них страхование вкладов не распространяется. Средства с кошельков предполагают возвращать при банкротстве или принудительной ликвидации банка, у которого, по предварительной оценке, хватит на это средств. Терминалы Qiwi и система Contact прекратили работу, отделения «Киви Банка» закрыты.

В США осудили двух граждан Китая, которые обвинялись в мошенничестве на сумму более $3 млн. В течение нескольких лет они покупали поддельные iPhone в Гонконге и отправляли их на ремонт в Apple с целью замены на настоящие смартфоны. Таким образом получилось обменять тысячи устройств.

Проживающие в Мэриленде 33-летние Хаотиан Сун (Haotian Sun) и Пенгфей Сюэ (Pengfei Xue) с июня 2017 года по сентябрь 2019 года вместе с сообщниками Вэнем Цзинь Гао (Wen Jin Gao) и Дянь Луо (Dian Luo) сдавали в сервисные центры Apple поддельные iPhone под видом оригинальных устройств, которые повреждены и требуют замены по гарантии.

В общей сложности за время своей деятельности они пытались обменять около 5000 поддельных iPhone. Apple попалась на эту схему мошенничества и обменяла более 2700 устройств, поскольку в них использовались серийные номера и коды IMEI от настоящих iPhone. Однако в конечном счёте в устройствах были обнаружены поддельные компоненты, после чего Apple провела внутреннее расследование, выявила мошенничество и сообщила о нём правоохранителям. В ходе дальнейшего расследования были найдены партии контрафактного товара, который предназначался мошенникам.

«Сун и Сюэ получали партии поддельных iPhone из Гонконга в почтовые ящики UPS по всему столичному округу Колумбия. Затем они отправляли поддельные iPhone с поддельными серийными номерами и/или кодами IMEI в розничные магазины Apple и авторизованным поставщикам услуг Apple», — говорится в сообщении представителя министерства юстиции США.

Оба мошенника были арестованы ещё в 2019 году, но перед судом предстали только сейчас. Их осудили за мошенничество с использованием почты и сговор с целью мошенничества с использованием почты. Сун и Сюэ грозит наказание в виде тюремного заключения сроком до 20 лет. Окончательный приговор будет объявлен 21 июня.