Осторожно! Развод и фишинг одновременно по нескольким каналам

jfwpxj5ucecylk1xqpoyn88gob0.jpeg

На прошлой неделе на РБК была статья, в которой некоторые крупные российские банки в последнее время отмечают значительный рост числа попыток хищений денежных средств клиентов по сравнению аналогичным периодом прошлого года. Об этом рассказали сразу несколько банков, причем было отдельно отмечено, что использовались различные приемы социальной инженерии.

Наверно, я бы пропустил данную заметку, так как все мы уже давно привыкли к телефонному мошенничеству, спаму в электронной почте и СМС от сомнительных отправителей, различным фишинговым письмам и множеству других способов развода граждан на честно заработанные, если бы совершено недавно я сам чуть не попался на удочку мошенников.

Моя история примечательна тем, что я первый раз столкнулся с хорошо продуманной атакой с применением приемов социальной инженерии, которая была организована одновременно по нескольким каналам!

Ведь если это реальная тенденция, то мне становится очень неприятно от осознания того, что спамеры переходят к значительно более глубокому анализу данных о своих потенциальных жертва, а сами атаки становятся не массовыми и шаблонными, а точечными и персонализированными.

И тот факт, что при атаках начинают применяться приемы социальной инженерии с использованием сразу несколько независимых каналов одновременно, значительно повышает их достоверность и вероятность срабатывания!

Сама история


У моего провайдера (неважно у какого, это не реклама и не жалоба), к некоторым доменам для удобства подключена услуга их автоматического продления. И некоторое время назад автопродление сработало по одному домену. А через день на телефон, который привязан к аккаунту на хостинге, приходит СМС с просьбой пополнить счет из-за возникшей задолженности. «На вашем аккаунте отрицательный баланс. Пополните счет … и т.д.» Ссылки на оплату никакой нет, только название компании в качестве отправителя.

И я ведь знаю, что вчера действительно была оплата за автопродление и мне даже приходило письмо о списании со счета хостинга. Но немного смутило то, что СМС по этому поводу мне никогда не присылали, тем более о каком-то возникшем долге.

Хотя червячок сомнения немного зародился, т.к. раньше один раз у меня возникла неразбериха со счетами. Это случилось из-за того, что обычно на оплату хостинга резервируется определенная сумма, которую нельзя потратить на оплату продления домена (хотя деньги на счете формально есть, т.к. сам счет один). Поэтому в этот раз подумал, что возможно и сейчас списали на продление домена из зарезервированных денег, а потом спохватились. Хотя в этом случае они сами себе злобные буратины. Но с другой стороны, если провайдеру будет нужно, они мне сообщат еще раз.

И буквально через пару часов, оппа — получаю уже электронное письмо от хостинга с напоминанием о случайно возникшей задолженности и вежливой просьбой пополнить счет в кабинете. Сумма в письме совпадает с суммой в полученном ранее СМС сообщении. Из-за этого я уже на автомате думаю, что раз оплата за домен вчера действительно была, а косяки с резервированием средств ранее тоже случались, то я почти поверил, что нужно заплатить!

Правда у меня, как у здорового человека с выработанным параноидальным синдромом, давно есть привычка не кликать по ссылкам в полученных письмах. Поэтому для оплаты я зашел в аккаунт на сайте, чтобы заплатить из него, а заодно и историю списаний уточнить.

А в личном кабинете оказалось, что никакой задолженности нет и это все почти обычный развод!

Что это было?


»Почти», потому что развод выполнен очень грамотно, и провели его сразу по нескольким каналам одновременно, предварительно проведя анализ данных о потенциальной жертве. Ведь для выполнения такой атаки злоумышленникам потребовалось свести воедино довольно много информации:
  1. Требовалось мониторить момент изменения данных о продлении домена
  2. Знать email адрес владельца домена (хоть в whois и стоит Private Person, но в какой нибудь истории наверно можно найти имя реального владельца и его электронной почты)
  3. Пробить по имени мой номер телефона
  4. Организовать отправку СМС с подменой имени отправителя
  5. Прислать письмо с перенаправлением на фишинговый сайт поддельной компании хостера

И хотя на электронную почту фишинговые письма приходят с завидной регулярностью и уже просто не обращаешь внимание на очередное «уникальное предложение» или «для пополнения счета перейдите по ссылке», но подобная многоканальная атака для меня была полной неожиданностью. Ведь в какой-то момент я даже усомнился в злонамеренности полученных сообщений и на пару минут предположил, что мне действительно следует положить деньги на счет.

Подозреваю, что я вряд ли стал первым, кто сталкивался с подобными ухищрениями. Но так как мне раньше с подобной схемой развода сталкиваться не приходилось, а в последнее время про подобные многовекторные атаки я даже не слышал, то решил, что данная публикация будет совсем не лишней. Может быть эта статья убережет других людей от все более изощренных способов развода и хотя бы на время повысит их внимательность.

Пользователь, будь внимательным!


ulfsxdwncmhr0keu5x8uqhedl8w.jpeg

Лучше лишний раз написать очевидные вещи о необходимости соблюдения элементарных мер предосторожности и «цифровой гигиены» при получении различных электронных писем, чем попасться на подобную атаку из-за незнания о еще одном способе развода, что теперь перед фишинговым письмом может еще отправляться и СМС для пущей убедительности. И даже страшно подумать, что будет, если подобные методы социальной инженерии станут массовыми.

© Habrahabr.ru