Украсть надежду

Ольга Мещерягина
корреспондент Expert.ru
19 августа 2020, 15:58

Кибермошенники атаковали благотворительные фонды.

Петр Ковалев/ТАСС
Киберпреступники выбрали своей целью благотворительный фонд Константина Хабенского, который помогает бороться с болезнью и выживать детям с опухолями мозга

Киберпреступники наглядно продемонстрировали, что практически все человеческое им чуждо. Злоумышленники намеревались запустить руку в кошельки благотворительных фондов и похитить средства, которые организации собирают для своих подопечных. Для них, зачастую, это последняя надежда. Но мошенников это не смутило.

3 августа трое сотрудников Фонда Хабенского получили письмо, якобы, от директора благотворительной организации. В сообщении содержалась просьба в срочном порядке перевести средства, собранные для одного из подопечных фонда, на указанные реквизиты. К счастью, получателей такое сообщение насторожило: организация никогда не переводит средства на личные банковские счета и персональные кошельки. Так что команда фонда обратилась к специалистам Group-IB для того, чтобы те проверили подозрительные письма на предмет мошенничества. И, как оказалось, не напрасно.

Эксперты зафиксировали новую мошенническую схему, с помощью которой злоумышленники пытались вывести средства со счетов благотворительных фондов. С помощью подмены адреса электронной почты (спуфинга) они пытались выманить деньги у сотрудников организаций. Центр реагирования на инциденты кибербезопасности CERT-GIB выяснил, что таким атакам подверглись как минимум три фонда. Еще на семь нападение только готовилось.

Специалисты выяснили, что кибермошенники не взламывали почту директора Хабенского. Они отправили письмо с сервера хостинг-провайдера Timeweb, подделав технический заголовок под нужный адрес, чтобы ввести в заблуждение сотрудников фонда.  При этом в поле «обратный адрес» (данная строка видна не во всех почтовых клиентах) вместо официального домена фонда Хабенского «bfkh[.]ru» использовался фальшивый домен, отличающийся последовательностью букв, «bfhk[.]ru». При этом злоумышленники могли поддерживать обратную связь, в случае, если жертва захотела бы что-то уточнить по поводу перевода, ответив на письмо.

Через три дня подобной атаке подвергся фонд «Кислород». Для этого киберпреступники специально зарегистрировали домен с похожим адресом. Еще одной мишенью, утром 19 августа, стала благотворительная организация «Старость в радость».

Эксперты выяснили, что перед атаками преступники «готовили почву»: сотрудники Фонда Хабенского и «Кислорода» получали электронные письма от одного и того же адресата с абстрактными вопросами.

Занимаясь атакой на фонд «Кислород» специалисты по кибербезопасности обнаружили, что с 5 по 6 августа злоумышленники зарегистрировали семь доменов-подделок, с помощью которых планировали вытянуть деньги их крупных благотворительных организаций, в числе которых «Подари жизнь», «Алеша» и «Старость в радость». Фейковые ресурсы теперь находятся под пристальным вниманием экспертов.

 

Ни тени сострадания

 

Человеческие слабости для киберпреступности благодатная почва. В период пандемии, когда многие неопытные пользователи стали открывать для себя, например, интернет-шопинг, злоумышленники вовсю пользовались и недостатком знаний своих жертв, и, например, стремлением сэкономить, а то и заработать. Но данная схема мошенничества даже многое повидавшим экспертам представляется верхом циничности.

«Для фондов подобные атаки имеют куда более серьезные последствия, чем для других организаций, т.к. они наносят удар по их главному активу человеческому доверию. Для нашей компании работа над этим кейсом имеет особую важность, поскольку в данном случае речь идет не о репутационных и финансовых рисках, а зачастую о шансах людей на жизнь», комментирует ситуацию заместитель руководителя CERT-GIB Ярослав Каргалев.

И ведь мошенники прекрасно осведомлены о том, на какую именно сумму они могут рассчитывать. И у кого они ее отнимают. Фонды, собирающие средства для своих подопечных, выкладывают подробную информацию о том, кому именно нужна помощь, почему, и в каком объеме. Так злоумышленники, потребовавшие от сотрудников Фонда Хабенского перевести деньги, предназначавшиеся для конкретного пациента, знали, что речь идет о шестилетнем ребенке. На лечение которого нужно 2,6 млн рублей. 3 августа (именно тогда команда фонда получила подозрительные письма) на страничке юного подопечного было опубликовано сообщение о том, что необходимая сумма была собрана.

Как писал ранее «Эксперт-онлайн», на попечении таких организаций, как Фонд Хабенского, «Подари жизнь» тысячи пациентов, страдающих различными тяжелыми заболеваниями (онкология, гематология). Всем им нужна срочная и дорогостоящая помощь. «Кислород» помогает больным муковисцидозом. «Старость в радость» старикам и инвалидам. Для неравнодушных людей истории подопечных этих и других фондов истории о борьбе за жизнь и надежде. Но, как оказалось, есть люди, готовые эту надежду украсть.