Московские компании пусть не полностью, но возвращаются к удаленному формату работы. К 5 сентября треть офисных сотрудников должна была вернуться к дистанционному формату. Но в таком режиме работников подстерегают не только стресс от постоянного взаимодействия с домашними и риск набрать лишние килограммы: в интернете их поджидают мошенники.
Для них пандемия и внедрение новых форматов работы стали благодатной почвой, ведь число одних пользователей Zoom в марте выросло в 20 раз до 200 миллионов пользователей видеоконференций в день. Капитализация компании за последний год подскочила на 127%. И мошенники не преминули воспользоваться ситуацией. Правда, отнюдь не купив акции Zoom, а, скорее, дискредитируя ее.
По данным Group-IB с начала 2020 года было зарегистрировано около 15300 доменов, содержащих название Zoom. Причем всплеск пришелся на период дистанционной работы. По большей части это были фишинговые страницы, которые злоумышленники использовали для кражи персональной информации — логинов, паролей и т.д. Потом в даркнете на продажу выставлялись целые базы данных, полученные за счет поддельных страниц Zoom. Но на этом мошенники не остановились.
Новая схема
Подразделение Group-IB, CERT-GIB, обнаружило новую схему, использующую не поддельный, а оригинальный Zoom. Специалисты стали изучать ситуацию после того, как пользователи стали обращаться к ним с жалобой на мошеннические письма, приходящие от самого сервиса. Жертвам предлагали компенсацию в связи с COVID-19». Для получения денег нужно было пройти по ссылке, откуда пользователей перенаправляли на различные сайты, где у ничего не подозревающих пользователей похищали деньги и данные банковских карт. При этом письма отправлялись с настоящего домена Zoom.
«Все дело в том, что при регистрации Zoom предлагает пользователю заполнить профиль — указать «Имя» и «Фамилию», предоставляя возможность вставить до 64-х символов в каждое поле. Мошенники используют эту возможность, вставляя фразу: «Вам положена компенсация в связи с COVID-19» и указывают ссылку на мошеннический сайт», — объяснили схему в Group-IB.
Рассылались мошеннические сообщения тоже с использованием «официального» сервиса. Ведь после регистрации система предлагает новому клиенту пригласить до десяти новых пользователей, указав их почтовый адрес. Мошенники вводят адреса потенциальных жертв и, вуаля: им приходит официальное уведомление от имени команды сервиса видеоконференций (no-reply@zoom[.]us). Только вот его содержание сгенерировали интернет-аферисты.
«В этой схеме мошенники эксплуатируют популярность бренда сервиса Zoom. Так как письмо отправлено с официального сервиса, злоумышленники не только получают гарантию доставки писем до адресатов, но и то, что часть обманутых пользователей кликнут на ссылку, указанную в профиле и перейдут на мошеннический сайт», — описывает ситуацию заместитель руководителя CERT-GIB Ярослав Каргалев.
Бесплатный сыр
Одна из рассылок, которую изучили эксперты CERT-GIB, предлагала получить «компенсацию» на сайте uglava.com (сейчас он заблокирован). При переходе на него, пользователей начинали «перекидывать» дальше: на страницы «Официальный компенсационный центр», «Экспресс-лотерея», «Банк-онлайн (Вам поступил денежный перевод)», «Гранд опрос» и «Фонд финансовой поддержки потребителей». Естественно, все эти ресурсы также были мошенническими.
После того, как жертва переходила на сайт, ей предлагали ввести 4 или 6 последних цифр номера ее банковской карты. Потом мошенники «рассчитывали компенсацию»: от 30 000 до 250 000 рублей. И предлагали за такой солидный бонус поступиться лишь малостью — оплатить «юридическую помощь в заполнении анкеты», оцененную примерно в 1000 рублей. Если пользователь соглашался на это — ловушка захлопывалась ведь нужно было ввести все данные «пластика», включая CVV-код. И все это утекало в руки мошенников — не только данные карт, но и деньги с них.
Естественно, причиной того, что мошенники умудрялись обогащаться таким образом, не только в наивности граждан и любви к халяве. Аферистам было бы гораздо сложнее «разводить» пользователей, не будь у Zoom таких откровенных огрехов, развязывающих руки злоумышленникам. Об этом компанию уже уведомили, порекомендовав ей внедрить более тщательную проверку данных и запретить использование ссылок в профиле. Есть вероятность, что в сервисе к этим рекомендациям прислушаются, ведь как показывают многочисленные примеры, потеря доверия пользователей вполне может стоить компании приличной части капитализации.
