Эпидемия таргетированного мошенничества

22
Дек
2021
Новости

80 млн долларов в месяц составляет ущерб пользователей от таргетированного мошенничества.

Компания Group-IB подготовила отчет Hi-Tech Crime Trends 2021/2022 «Скам и фишинг: эпидемия онлайн-мошенничества» об ущербе от таргетированного мошенничества в виде опросов и розыгрышей. По самым скромным оценкам он достигает 80 млн долларов в мире.

Аналитики Group-IB Digital Risk Protection фиксируют использование таргетированного мошенничества в 91 стране мира, в качестве приманки злоумышленники нелегально эксплуатируют более 120 мировых брендов. Чаще всего за прохождение опроса мошенники обещают «подарить» MacBook, Sony Playstation 5, iPad Pro или топовые модели смартфонов Apple и Samsung.

Сообщения о розыгрышах и опросах — одна из популярных мошеннических схем, но за последние годы изменилась сама технология доставки фейкового контента жертве: «под цель» формируется отдельная, так называемая, таргетированная ссылка, использующая параметры потенциальной жертвы (страна, часовой пояс, язык, IP, тип браузера и др.). Сама ссылка работает только один раз и только у одного конкретного пользователя, благодаря чему мошеннический ресурс сложно обнаружить и заблокировать.

Обычно пользователь получает сообщение следующего содержания: «Уважаемый клиент! Поздравляю! Вы один из 100 отобранных пользователей, которые получили шанс выиграть Samsung Galaxy S10, Samsung Galaxy S9 или Apple iPhone 12. У вас есть 4 минуты и 27 секунд, чтобы ответить на следующие вопросы, прежде чем мы отдадим ваш подарок другому счастливому пользователю. Удачи!»

Часть из тех «счастливчиков», которые поверили в эту историю о выигрыше и принялись лихорадочно отвечать на вопросы, в итоге потеряли свои деньги. Сообщения о розыгрышах и опросах — одна из популярных мошеннических схем, вот только в последние годы она стала еще более масштабной и технологичной, а главное — еще более персонализированной и опасной.

Например, в России на фейковых опросах от лица крупного российского ритейлера (посещаемость — 6500 посетителей в сутки) пользователей обманом заставляли вводить на поддельном сайте персональные данные, электронную почту, данные банковской карты или логины-пароли от «личного кабинета».

Анализ показал, что для распространения таких ссылок мошенники использовали все известные инструменты: контекстную рекламу, рекламу на легальных и совсем не легальных площадках, СМС- и email-рассылки, покупку созвучных доменов (это делается на случай того, если пользователь введет доменное имя официального сайта компании с ошибкой). Реже использовались добавление ссылок в календарь и посты в соц. сетях. СМС и email рассылки практически всегда содержали короткую ссылку, в описании было написано о программе мотивации клиентов, где вы можете выиграть что-то из дорогостоящей техники.

После нажатия на мошенническую ссылку пользователь попадает в, так называемую, «клоаку трафика» – это популярный способ распределения трафика, где один пользователь видит «белый контент», а другой «серый» или «черный» в зависимости от условий перехода (IP, язык, устройство). «Белый контент» совершенно не примечателен и не несет в себе никакой угрозы. Он не вызывает никаких вопросов у рекламодателей или провайдера. А вот серый и черный нарушают правила распространения рекламы и несет в себе большую угрозу для пользователей сети, особенно невнимательных.

Клоакинг запрещен всеми рекламными сетями, но даже специальные программы распознают обман далеко не сразу. Реклама может жить на сайте очень долго. К тому же данный вид мошенничества распространяет не один человек и даже не одна группа лиц — это масштабная сеть. Когда блокируется одна часть мошеннических аккаунтов, распространяющих незаконный трафик, — мгновенно появляются новые. И это одна из причин, по которым данную схему очень сложно устранить.

Основная проблема при устранении такого мошенничества заключается в принципе действия самой ссылки, по которой переходит пользователь.

Когда пользователь кликает на баннер, контекстную рекламу, вредоносную ссылку из письма или даже СМС, он не сразу попадает на статичный сайт. Сначала его выносит на множество перенаправлений, где с него собирают данные: геолокацию, язык, браузер, название провайдера.

На основе этой информации автоматически создается итоговая мошенническая ссылка, которая включает timestamp — данные о конкретной дате и времени. Эта ссылка индивидуальна и сработает только один раз и только у данного пользователя.

Таргетированное мошенничество несет риски не только для пользователей, но и брендов, которые нелегально эксплуатируют мошенники. Компании несут как репутационные, так и финансовые потери, если однажды пользователь потерял деньги из-за «бренда», то вряд ли к нему вернется.

Также существует множество непредсказуемых рисков, например, на площадке массово воруют аккаунты, а потом через эти аккаунты отмывают деньги. Если дойдет до разбирательства, компания может получить сильнейший удар и по репутации вместе со штрафом от контролирующих органов.

Рекламные сети, покупая или продавая плохой трафик, рискуют своей репутацией, а следовательно, клиентами и деньгами. А это в свою очередь прямой удар по финансам.

Российский разработчик решений для обеспечения кибербезопасности рекомендует пользователям:

Не пересылать никому деньги за «победу в конкурсе». Компании-организаторы не используют подобную практику. Всегда обращать внимание на доменное имя используемого сайта. Не доверять акциям, которые используют короткий таймер обратного отсчета: в большинстве случаев это мошеннические акции. Оставлять данные карты только на доверенных сайтах. Не открывать присылаемые вам ссылки, даже если их отправил хороший знакомый или родственник: его могли использовать или взломать. Использовать отдельную виртуальную карту для покупок в интернете и настроить по ней лимиты.

Источник: ru-bezh.ru