Эксперты рассказали о мошеннической схеме с рассылкой от имени брендов «Красное и белое» и «Додо Пицца». Как передает портал «Банки.ру», детали аферы раскрыла специализирующаяся на кибербезопасности компания «РТК-Солар» из группы «Ростелеком».

Аферисты рассылали информацию об акции, в рамках которой бутылка вина или пицца предлагались всего за 1 рубль, а потом карта жертвы привязывалась к несуществующим платным сервисам с регулярными списаниями. Для получения «приза» жертве надо было переслать ссылку на поддельный сайт 10–20 друзьям в мессенджере. Новым элементом схемы стало распространение информации еще и через специально созданные группы в соцсетях; именно они запустили самораспространяемую цепочку рассылок о несуществующих призах.

По данным компании, мошенники также сделали все для того, чтобы обеспечить длительную работу фейковых ресурсов и затруднить их обнаружение и блокировку. Как объясняют эксперты, если раньше рассылаемые сообщения, как правило, содержали ссылку на статический сайт, то теперь она вела на один из тысяч доменов, который переадресовывал жертву на вредоносный ресурс через постоянно меняющуюся цепочку промежуточных сайтов.

«Вредоносные домены не имели привязки к бренду, это набор из сгенерированной последовательности символов в экзотических доменных зонах .ml, .tk, .cf, .ga и .gq. Регистрация там бесплатна и может быть осуществлена через API, то есть автоматически. В свободном доступе легко найти скрипты, позволяющие пачками регистрировать такие доменные имена», — комментирует эксперт направления специальных сервисов Solar JSOC компании «РТК-Солар» Александр Вураско.

Самым интересным в новой схеме эксперт называет сам процесс хищения денег: вводом карточных данных жертва автоматически оформляла подписку со списанием 889 рублей каждые пять дней. Деньги уходили на счет реально существующего юридического лица в российском банке из первой двадцатки.

«Такие платежи антифрод-системы банка в большинстве случаев не замечают, а малая сумма с лихвой компенсировалась большим количеством «подписчиков»», — констатирует Вураско.

Для вывода денег аферисты в один день зарегистрировали более 20 доменов с однотипными сайтами по онлайн-тренировкам для «сжигания жира». Как указывают в «РТК-Солар», именно на этот курс незаметно для себя подписывались жертвы атаки, оставлявшие данные своих банковских карт. При этом фейковые фитнес-сайты были максимально нефункциональными: большинство опций не работало, подробные сведения об оформляемой подписке отсутствовали, а публичная оферта, хоть и имела сведения о юрлице, по факту являлась юридически ничтожной.

На текущий момент фишинговую активность удалось пресечь, однако эксперты не исключают повторения похожей схемы в ближайшие месяцы.

Основатель сети «Додо Пицца» Федор Овчинников еще год назад рассказывал о росте мошенничества с использованием фишинговых ресурсов, которые имитировали дизайн оригинального сайта и использовали похожий адрес. Тогда же о всплеске такого рода фишинговых атак писал и «Коммерсант»: речь шла о якобы проводимых розыгрышах от имени 15 популярных брендов, включая «Дочки-сыночки», «Красное & белое», «Связной», «Ситилинк», «Бристоль», «Дикси», «Ашан», «О’Кей», Wildberries и др.

Как отмечал руководитель аналитического центра Zecurion Владимир Ульянов, активизация мошенничеств в сфере ритейла — сезонная тенденция, маскирующаяся под аналогичные легитимные кампании самих ритейлеров. По его словам, подобные мошеннические сайты живут около трех недель: «За это время появляется страница, на нее пускается трафик, люди начинают взаимодействовать, но через какое-то время понимают, что их обманули и начинают жаловаться». Как пояснил Ульянов, эффективных инструментов «превентивной» борьбы с фишингом нет; можно лишь сократить время жизни сайтов, сообщая о новых мошенничествах и отслеживая их появление в интернете.