1310 QR-код

Мошенники придумали новую схему, которая позволяет обойти системы внутренней защиты популярных онлайн-досок. Для того, чтобы заманить пользователей на фишинговые сайты, злоумышленники стали использовать изображения с QR-кодами.

Как рассказали «Известиям» в Group-IB, в октябре этого года количество зафиксированных случаев фишинга в сервисах онлайн-досок возросло почти в 30 раз по сравнению с аналогичным периодом 2019-го. Причем дело не только в грядущей «черной пятнице», мошенники в принципе активизировались с началом пандемии, поскольку люди предпочитают покупать и продавать, не выходя из дома.

Уже весной многие платформы, размещающие объявления о купле-продаже, начали активно бороться с мошенничеством внутри своих систем, установив проверку или просто запрет ссылок на внешние ресурсы. Перестроились и злоумышленники — они придумали новый способ, который позволяет прорвать «оборону», распространяя фальшивые ссылки через изображения с QR-кодами. Эксперты поясняют, что такая схема может применяться на любой платформе, где разрешена отправка изображений. В этом заложена и ее опасность, поскольку, как минимум, опция по отправке картинок нужна для обмена между пользователями фотографий товаров.

В остальном схема основана на тех же принципах, что и при обмене ссылками:

Мошенник присылает жертве сообщение во встроенный мессенджер, что его товар купили с доставкой, а также изображение с QR-кодом — порой даже с использованием бренда используемой доски объявлений непосредственно в QR, что повышает доверие к нему неопытного пользователя. Злоумышленник просит его отсканировать. После этого пользователя перенаправят на фишинговый сайт, где нужно ввести данные банковской карты.

Схема опасна тем, что в отличие от ссылки на сайт у человека нет возможности по одному виду QR-кода оценить его легитимность, для этого необходимо использовать камеру смартфона, уточнил представитель проекта Group-IB.

Само по себе получение изображения с QR-кодом извне — уже причина, чтобы насторожиться. Кроме того, эксперты советуют общаться с покупателями и продавцами онлайн-досок исключительно во встроенных чатах, не выводя общение в сторонние мессенджеры. Так от явных ошибок и попыток обмана клиента будет оберегать ещё и служба безопасности используемой доски объявлений.

В пресс-службе «Авито» «Известиям» подтвердили, что главная цель мошенников — увести людей с платформы, поскольку на внешних ресурсах служба безопасности компании уже не может контролировать процессы.

Кроме того, в пресс-службе «Авито» подчеркнули, что не используют QR-кодов в рамках платформы, а для любой оплаты достаточно нажать несколько кнопок прямо в ее интерфейсе. Есть и не технические признаки того, что переговоры ведет не совсем с чистоплотный контрагент. Так, в компании предупредили, что особенно в период распродаж, когда пользователи ищут самые выгодные предложения и могут потерять бдительность среди множества скидок, мошенники действуют активнее. Поэтому компания призывает пользователей не доверять предложениям, которые значительно отличаются от рыночных.

ФНС предупреждает об очередных интернет-мошенниках, рассылающих вирусы.

Зафиксирована почтовая рассылка, где под видом сотрудника ФНС злоумышленники просили получателя письма заполнить документы во вложении, распечатать их и представить в Главное Управление ФНС России, при этом такого подразделения в ФНС России не существует и не существовало. Если пользователь скачивал приложения, то отправители могли получить несанкционированный удаленный доступ к данным и ресурсам его компьютера.

Официальная рассылка ФНС направляется только тем, кто указал и подтвердил адрес своей электронной почты в Личном кабинете налогоплательщика. В таких письмах обычно указана информация об изменениях в Личном кабинете налогоплательщика, о регистрации обращения в Службу и получении ответа на него. Причем формат ответа на обращение (.pdf, .xml) пользователь выбирает самостоятельно при обращении через сайт.

Новостная рассылка сайта www.nalog.ru направляется пользователям сайта, которые оформили подписку, и дублируется на главной странице сайта.

Также ФНС не рассылает сообщения о наличии задолженности и с предложениями оплатить долг онлайн. Вся необходимая информация о неуплаченных налогах, а также способах их оплаты размещена в сервисах Личный кабинет налогоплательщика.

ФНС рекомендует не открывать подозрительные письма, а также своевременно обновлять антивирусные базы, операционную систему и другие программы (почтовый клиент, браузер). При использовании организациями собственных почтовых серверов ФНС настоятельно рекомендует настроить их для проверки легитимности отправителя письма.

Сбербанк рассказал РИА Новости о новых схем мошенничества, к которым прибегают злоумышленники во время пандемии коронавируса.

Одна из схем — мнимые кадровые интернет-агентства, которые предлагают трудоустройство на удаленке.. Доверчивому соискателю надо заполнить анкету с личными данными. Затем приходит письмо, что он принят на работу и нужно срочно перевести деньги за некое оборудование. В результате — ни денег, ни работы.

Набирает популярность и схема с возвратом НДС, о которой «Клерк» неоднократно писал. Злоумышленники публикуют в интернете видеоролики с предложением возврата налога на добавленную стоимость всем россиянам, оставшимся без дохода. В этой схеме клиенты переходят по мошеннической ссылке из описания к видеоролику и самостоятельно совершают расходные операции, что ведет к потере денег.

В качестве наживки мошенники также используют тесты на COVID-19. На сайте объявлений желающим приобрести тесты присылают ссылку якобы для оплаты товара. Однако при переходе по ней жертва попадает на поддельный сайт и платит злоумышленнику. Похожей схемой пользуются и продавцы масок, которые создают сайты с указанием ИНН и ОГРН реально существующих компаний, однако перевод денег клиент осуществляет на электронные кошельки мошенников, в результате клиент теряет деньги и не получает товар.

Кроме того, финансовые мошенники для привлечения своих жертв копируют популярные инициативы известных брендов и компаний, используя хештеги периода самоизоляции (#сидидома, #домалучше и прочее), и предлагают поучаствовать в акции, чтобы получить три тысячи рублей. Для этого якобы нужно сообщить данные карты и одноразовый СМС-пароль. По этому же принципу действуют и преступники, которые предлагают интернет-пользователям пройти опрос и получить вознаграждение, однако сперва для этого необходимо провести какой-то небольшой платеж.

Мошенники придумали новую схему фишинга, которая получила название «Белый кролик». Всплеск был зафиксирован во второй половине 2019 года.

Ее суть заключается в том, что клиент сначала привлекается на безобидные брендированные сайты с опросами, где обещается вознаграждение, рассказали «Известиям» в Group-IB. Через некоторое время на почту клиенту приходит сообщение о выигрыше.

Одноразовая ссылка, в которой не содержится домен проверенной организации, ведет на сайт без логотипов, но клиент уже доверился «белому кролику» и потерял бдительность, попав в «черную нору». На портале мошенник может, например, попросить «тестовый» платеж на сотни рублей, а также уточнить CVC-код или логин и пароль от интернет-банка.

Атаки по такой схеме адресные: с клиента собирается информация о браузере, устройстве, провайдере интернета, языке, геолокации, исходя из чего формируется одноразовая ссылка для конкретного пользователя.

Повестись на такого рода мошенничество могли поклонники Юрия Дудя. Злоумышленник перезалил видео блогера с призывом участвовать в настоящем конкурсе, разместив под ним ссылку на сторонний сайт.

Также для убеждения клиентов используются видео в новостном формате. О такой схеме «Клерк» писал ранее в материале «Про какой возврат уплаченного НДС людям рассказывают ведущие Первого канала».

Банки не могут вернуть деньги жертвам социальной инженерии, потому что де-юре клиент сделал перевод на счет мошенника или поделился данными своей карты добровольно. Основной способ защититься от таких инцидентов — использовать антивирусное ПО и вводить личные данные только на проверенных сайтах.

Лаборатория Касперского сообщила о новом виде мошенничества — людям предлагают денежную компенсацию, но, чтобы получить её, необходимо купить временную социальную страховку.

Мошенники действуют от имени выдуманной организации — Фонда защиты персональных данных, якобы основанного Федеральной торговой комиссией США. На специально созданном фейковом сайте сообщается, что этот фонд выплачивает компенсации пользователям, пострадавшим от утечек данных, и получить их могут граждане любой страны мира. Пользователю предлагается проверить, не оказались ли его личные данные в общем доступе: для этого нужно указать имя, фамилию, телефонный номер и свои страницы в социальных сетях.

После этого сообщается, что его данные, в том числе фотографии, видео, контакты, были обнаружены в одной из утечек, что даёт право получить компенсацию, исчисляемую в тысячах долларов США. Затем мошенники просят ввести номер социального страхования SSN, но вне зависимости от того, вводит ли пользователь настоящий номер или сообщает об его отсутствии, сайт выдаёт уведомление об ошибке и предложение купить временный за 9 долларов США. Жертва перенаправляется в форму оплаты — русско- или англоязычную в зависимости от IP-адреса пользователя. Цена указывается соответственно либо в рублях, либо в долларах.

Этот вид скама эксплуатируется не только в России, но и в Алжире, Египте, ОАЭ и других странах.

Эксперты из компании CSIS предупредили пользователей Android о приложении, которое копирует данные банковской карты владельца смартфона.

Это приложение скачали более 10 миллионов человек, сообщает телеканал 360о.

Программа Updates for Samsung вместо того, чтобы обновлять прошивку смартфона, перенаправляла пользователя на сторонний рекламный ресурс. Скорость скачивания при этом падала до самых низких значений. Владельцу аппарата предлагалось заплатить 35 долларов, чтобы избавиться от назойливых баннеров и вернуть скорость скачивания обновлений. В процессе оплаты данные карты улетали к злоумышленникам.

Само приложение Updates for Samsung не является вредоносным, оно больше похоже на нежелательную мошенническую программу.

Компания Samsung не имеет отношения к этому приложению. И представители фирмы призывают не пользоваться сторонниким программами для обновления Android.

Роспотребнадзор на своем сайте разместил рекомендации гражданам о том, как не стать жертвой мошенников, покупая товары в интернете.

Ведомство обращает внимание, что покупатели сами совершают ошибки, которые приводят к разочарованию в купленном товаре или просто потере денег. Чаще всего это бывает связано либо с недостаточными знаниями покупателя об особенностях заказываемого товара, либо просто из-за невнимательности и поспешности оформления заказа.

Кроме того, в материале приведены признаки потенциально опасных интернет-магазинов:

  • низкая цена;
  • требование предоплаты;
  • отсутствие возможности курьерской доставки и самовывоза товара;
  • отсутствие контактной информации и сведений о продавце;
  • отсутствие у продавца или магазина «истории»;
  • неточности или несоответствия в описании товаров;
  • излишняя настойчивость продавцов и менеджеров;
  • подтверждение личности продавца путем направления отсканированного изображения паспорта.
Если интернет-магазин или объявление соответствуют хотя бы одному из указанных признаков, это серьезный повод задуматься о целесообразности совершения сделки, делает вывод Роспотребнадзор. Если под их описание подходят два или более признака, настоятельно рекомендуется воздержаться от контактов с данным продавцом или магазином.

Мошенники, пытающиеся заработать на пенсионной теме, освоили интернет.

На сайтах, имитирующих федеральные СМИ (например, телеканал «Россия 24»), злоумышленники вымогают деньги за «возврат накоплений», которые якобы утаили от них негосударственные пенсионные фонды (НПФ). О том, как работают мошенники пишет газета «Известия».

На некоем сайте публикуется статья: «Путин поручил разобраться с НПФ-ми и выплатить все средства гражданам». При попытке зайти в любой раздел сайта читателя перекидывают на страницу несуществующей организации «Национальный Отдел Возвратов Пенсионных Накоплений». Граждан информируют, что в конце марта президент якобы «познакомился с ситуацией в сфере негосударственных пенсионных фондов и обратил особое внимание на значительные суммы, которые были переведены в эти организации».

Далее гражданам сообщают, что президент провел совещание с чиновниками и поручил «в кратчайшие сроки произвести выплату гражданам причитающихся средств. Создан интернет-портал, куда передали сведения о всех НПФ». Как уверяют авторы, через сайт можно «удобно и без очередей» вернуть до 500 тыс. рублей своих зависших накоплений.

Для «получения денег» предлагают заполнить форму — ввести ФИО и последние четыре цифры паспорта. Можно ввести выдуманные данные и вы все равно получите ответ, что у вас имеются десятки, а то и тысячи рублей накоплений.

Далее предлагается уплатить фиксированную пошлину  — с банковской карты или при помощи электронного кошелька. И так несколько раз. В итоге набирается сумма более 13 тыс. рублей. Разумеется, никаких возвратов пользователь в итоге не получает. Зато злоумышленники могут получить данные, необходимые для воровства денег с карты или кошелька.

Очевидно, что мошенники пытаются использовать одну из самых горячих для общества тем — пенсионную, и готовы к расширению своей деятельности. Впервые о единичных случаях таких спекуляций сообщила еще в прошлом году «Лаборатория Касперского» , отметив несколько почтовых рассылок от «отдела по возврату накоплений».

Парадокс в том, что потенциальными жертвами мошенников являются в первую очередь люди пенсионного возраста, которые вообще не имеют права на пенсионные накопления. Они причитаются лишь людям, которые начнут массово выходить на пенсию после 2022 года.

Интернет-пользователи жалуются на мошенничества под видом беспроигрышных лотерей и опросов за вознаграждение.

В апреле в Роскомнадзор и МВД стали поступать жалобы интернет-пользователей, ставших жертвами новой мошеннической схемы, оборот которой может составлять сотни миллионов рублей, пишет «КоммерсантЪ».

Пользователи получали предложение поучаствовать в «беспроигрышной лотерее» или опросе с гарантированным вознаграждением, после чего их просили заплатить комиссию «за перевод документов» и ввести данные банковской карты. При выводе средств использовалась платежная система Tele2, утверждает источник «Ъ».

В Tele2 заявили «Ъ», что жалоб на мошенничество с использованием сим-карт оператора в последнее время не было. Компания принимает все необходимые меры по борьбе с мошенниками в соответствии с законом и успешно борется с фродом, настаивают в пресс-службе Tele2.

Там уточнили, что недавно Tele2 перестал принимать платежи на сайте через платформу ChronoPay и сейчас работает с Газпромбанком. У Tele2 общий лимит на все сервисы мобильной коммерции составляет 1 млн руб. на сим-карту в месяц, банки-партнеры ставят свои лимиты на пополнение банковской карты — до 600 тыс. руб. в месяц, указали в операторе.

В ChronoPay утверждают, что заметили аномальный рост денежных переводов у оператора. Через несколько недель оператор перестал работать с ChronoPay, а трафик платежей пошел через собственный шлюз Tele2 в одном из банков.

В январе этого года интернет-мошенники резко активизировались. В первой декаде месяца число выявленных и заблокированных сайтов выросло в 2,5 раза, рассказали «Известиям» в центре реагирования на инциденты информационной безопасности компании Group-IB. По некоторым данным, в среднем один обманутый россиянин в это время мог потерять на web-мошенничестве до 500 тыс. рублей. Появились и новые схемы вытягивания денег. В частности, гражданам предлагали переводить средства в якобы высокодоходные финансовые инструменты. Также злоумышленники стали использовать в своих целях рекламные баннеры в сети. Эксперты связывают учащение мошеннических операций с развитием технологий и ожидают, что в 2019 году количество обманов в сети будет расти.

Ресурсы маскировались под уже существующие порталы банков, платежных систем, телеком-операторов, интернет-магазинов и известных брендов. По оценке источника «Известий», имеющего отношение к расследованию киберпреступлений, каждый обманутый мошенниками россиянин в декабре и первой декаде января мог потерять в среднем от 100 до 500 тыс. рублей.

В Group-IB ожидают, что в 2019 году количество мошеннических атак будет расти. Всплески активности наиболее вероятны накануне событий, связанных с массовым ажиотажем: киберпонедельник, 23 февраля и 8 марта, XXIX зимняя Универсиада, отметил заместитель руководителя CERT Group-IB Ярослав Каргалев.

В этом году вырастет и количество преступных групп, создающих фишинговые сайты под российские бренды. По его словам, технически основными способами привлечения пользователей на лжестраницы останутся перенаправление со взломанных сайтов, спам-рассылка, поисковая выдача. В будущем для повышения эффективности атак могут использоваться взломанные домашние роутеры, перенаправляющие пользователей на фишинговые сайты

ФНС России предупреждает о появлении мошеннического сайта-клона Налоговой службы, на котором предлагается получить налоговую компенсацию.

Страница представляет собой копию одного из разделов сайта ФНС России. Пользователю предлагается ввести паспортные данные, после чего появляется диалоговое окно, в котором сообщается, что можно получить налоговую компенсацию в размере 0,91% от подоходного налога. При этом есть ссылка, что компенсация положена в связи с поправками в закон за определенным номером, но который на самом деле не относится к налоговой тематике. Нажав на кнопку «Получить компенсацию», пользователь попадает на страницу, где ему предлагается ввести данные своей банковской карты: номер, срок действия, имя держателя, а также код на обратной стороне карты.

Мошеннический сервис в основном распространяется в социальных сетях. ФНС России обращает внимание, что электронное взаимодействие налоговых органов и граждан происходит исключительно через «Личный кабинет налогоплательщика». Чтобы получить доступ к сервису необходимо один раз обратиться в инспекцию и получить логин и пароль. В Личном кабинете можно узнать о задолженности или переплате и прояснить любые налоговые вопросы. При оплате онлайн пользователь переадресуется на страницу того банка-партнера ФНС России, который сам выберет.

МВД сообщает о задержании 32-летнего жителя Омска, подозреваемого в мошенничестве.

Он организовал работу шести интернет-магазинов по продаже запасных частей для автомобилей иностранного и отечественного производства. Граждане, в надежде приобрести запчасти по цене ниже рыночной, перечисляли на расчетный счет подозреваемого от 15 000 до 90 000 рублей. После получения денежных средств мужчина присылал на электронную почту потенциальных покупателей договор оферты, как выяснится позже - не имеющий юридической силы, в котором прописаны сроки доставки товара, а некоторое время спустя просил перечислить дополнительные средства, объясняя просьбу ошибкой менеджера. Однако потерпевшие так и не получали заказ.

Полиция задержала мошенника с поличным на месте совершения преступных деяний – в арендуемом офисе,  в тот момент, когда он в очередной раз пытался продать несуществующий двигатель. В результате обыска полицейские изъяли из помещения ноутбуки, системные блоки, сим-карты и флэш-накопители.

В настоящее время установлены 147 жителей различных регионов России, пострадавших от мошеннических действий подозреваемого. Сумма ущерба превысила 3 000 000 рублей.

2195

Вирусная лаборатория ESET опубликовала отчет о деятельности кибергруппы RTM, атакующей российские организации. Для кражи средств у компаний хакеры подменяют реквизиты исходящих платежей в транспортных файлах 1С.

  • Группировка RTM использует специально разработанные программы, написанные на языке программирования Delphi. Система телеметрии ESET LiveGrid® зафиксировала первые следы этих вредоносных инструментов в конце 2015 года. Функционал RTM включает перехват нажатия клавиш, чтение смарт-карт, загрузку в зараженную систему новых модулей, мониторинг процессов, связанных с банковской деятельностью.
В фокусе атакующих – бухгалтерские системы, взаимодействующие с решениями дистанционного банковского обслуживания (ДБО). Вредоносное ПО RTM распространяется преимущественно через взломанные сайты (drive-by download) и спам. Эти инструменты удобны для таргетированных атак, поскольку в первом случае атакующие могут выбирать площадки, посещаемые потенциальными жертвами, а во втором – отправлять письма с вредоносными вложениями напрямую нужным сотрудникам компаний.

Вредоносное ПО RTM отслеживает появление в зараженной системе транспортного файла 1c_to_kl.txt. Его формирует программа «1С: Предприятие 8» для передачи платежного поручения из бухгалтерской системы в систему ДБО. Текстовый файл содержит детали исходящих платежей. Подменив реквизиты получателя, хакеры могут перевести средства компании на свои счета.  

Схожие методы кражи средств использовала кибергруппировка Buhtrap, активная в 2014-2015 гг. Тем не менее, у этих групп различаются векторы заражения – в кампаниях Buhtrap чаще использовался фишинг. В прошлом атаки на российские системы ДБО практиковала кибергруппа Corkow.

Общее число обнаружений вредоносных программ семейства RTM невелико. С другой стороны, в кампании используются сложные кастомные инструменты, что свидетельствует о высокой таргетированности атак.

По оценке экспертов ESET, снизить риск кражи средств позволяет шифрование платежных поручений, двухфакторная аутентификация, антивирусная защита корпоративной сети, обучение персонала основам информационной безопасности. 

Более подробная информация о киберкампании RTM, включая индикаторы заражения, представлена в отчете ESET.

Сотрудниками службы безопасности Почты России совместно с представителями правоохранительных органов в Москве была выявлена и пресечена деятельность интернет-мошенников, обманувших тысячи россиян.

Мошенники регулярно открывали в сети интернет онлайн-магазины, предлагающие покупателям компьютеры, мобильные телефоны и различную оргтехнику по низким ценам, сообщает пресс-служба Почты России. Данные сайты, как правило, существовали не более одного месяца. За это время мошенники успевали набрать заказов на несколько миллионов рублей. Только в январе 2017 года они получили от граждан в качестве наложенного платежа свыше 6 миллионов рублей. А в почтовых отправлениях клиентам приходили заведомо подложные вложения – кирпичи, бутылки с водой и граненые стаканы, в зависимости от веса заказанного товара.

В связи с тем, что претензии многие получатели посылок предъявляли Почте России, служба безопасности ведомства провела проверку и установила, что почтовые отправления уходили из отделений Москвы в закрытом виде без описи товарных вложений.

Персональные данные отправителей и граждан, регулярно получавших наложенные платежи за данные посылки, в соответствии с постановлением суда были переданы в правоохранительные органы для принятия процессуального решения. Одна из подозреваемых была задержана непосредственно в отделении связи сразу после получения наложенного платежа за очередную посылку с камнями.

В настоящее время в совершении мошеннических действий подозреваются не менее 5 человек, в отношении них возбуждено уголовное дело по ч.2 ст.159 УК РФ (Мошенничество).