Подписаться
Читать в телеграм
Злоумышленники создали распределенную сеть из 134 мошеннических сайтов, имитирующих Всемирную организацию здравоохранения (ВОЗ), и обещали пользователям вознаграждение за прохождение фейкового опроса, посвященного Дню осведомленности о здоровье. Однако вместо обещанных 200 евро пользователей перенаправляли на сайты знакомств, платных подписок или мошеннические ресурсы.
В начале апреля Международный вычислительный центр ООН (UNICC) оповестил Group-IB о поддельном сайте, использующем бренд Всемирной организации здравоохранения. Пользователям предлагали ответить на несколько простых вопросов и заработать 200 евро по случаю Всемирного дня здоровья, который ежегодно проводится 7 апреля под эгидой ВОЗ.
После ответа на несложные вопросы пользователю предлагали поделиться ссылкой на опрос со своими друзьями и коллегами по базе контактов в WhatsApp — таким образом мошенники старались масштабировать свою схему. Исследователи Group-IB выяснили, что, когда жертва нажимала на кнопку «Поделиться» и неосознанно вовлекала в аферу своих знакомых, вместо обещанного вознаграждения ее перенаправляли на сторонние мошеннические ресурсы, где предлагали принять участие в другом розыгрыше, установить расширение для браузера или подписаться на платные услуги. В худшем случае пользователи могли оказаться на вредоносном или фишинговом сайтах.
Особенностью этой схемы является индивидуальный подход к жертве — контент, который она видит, зависит от местоположения, user agent и настроек языка. Например, валюта денежного вознаграждения менялась в зависимости от локации пользователя.
В ходе расследования команда Group-IB Digital Risk Protection наткнулась на сложную распределенную мошенническую инфраструктуру, включавшую в себя сеть из 134 практически идентичных связанных доменов, на которых были размещены страницы с тематикой Всемирного дня здоровья. Group-IB заблокировала все мошеннические домены в течение 48 часов с момента обнаружения и после этого мошенники полностью перестали использовать бренд ВОЗ в своей сети.
Однако дальнейшее исследование показало, что все эти выявленные и заблокированные Group-IB домены являлись частью более крупной сетки, которая контролировалась группой мошенников под кодовым названием DarkPath Scammers. Фейковые ресурсы, созданные под ВОЗ, были связаны как минимум с 500 другими мошенническими и фишинговыми ресурсами, имитирующими более 50 известных международных брендов пищевой промышленности, спортивной экипировки, электронной коммерции, программного обеспечения (ПО), энергетики и автоиндустрии.
Анализ сайтов показал, что преступники используют мошеннические наборы инструментов (подобно фишинговым наборам) для создания и разработки мошеннических страниц. Один набор позволяет имитировать одновременно несколько брендов с использованием одного шаблона. На большинстве доменов с фишинговым и мошенническим контентом используются сети доставки содержимого (CDN, Content Delivery Network) для сокрытия IP-адресов настоящих серверов.
У Group-IB есть необходимый опыт и инструменты, чтобы выполнить работу по поиску и блокировке мошеннических ресурсов в кратчайшие сроки, и справится с этой аферой, посвященной Всемирному дню здоровья.
Боян Симетич,
специалист по информационной безопасности UNICC.
Благодаря собственной системе графового анализа специалисты Group-IB изучили десятки SSL-сертификатов, SSH-ключей и DNS и смогли выявить вредоносную инфраструктуру, раскрыть IP-адреса реальных серверов, где хранился фишинговый контент, а также связать домены в одну распределенную мошенническую сеть. На всех своих серверах мошенники используют одну и ту же конфигурацию инфраструктуры с характерными ей особенностями и ошибками. Group-IB продолжает мониторинг активности мошеннической группы.
Большинство мошеннических сайтов, контролируемых DarkPath Scammers, на данный момент остаются активны и по-прежнему нацелены на миллионы пользователей по всему миру. Мошенники рекламируют свои ресурсы с помощью почтовых рассылок, платной рекламы и социальных сетей. По оценке Group-IB, вся сеть мошенников привлекает около двухсот тысяч пользователей из США, Индии, России и других регионов в день.
К сожалению, многие бренды по-прежнему недооценивают влияние подобного рода мошенничества на их клиентов и собственный бизнес. Мошенники все чаще прибегают к продвинутым технологиям, выстраивают многоэтапные схемы, используют распределенную инфраструктуру и достигают успеха из-за отсутствия комплексного мониторинга цифровых активов со стороны владельцев брендов.
Андрей Бусаргин,
заместитель генерального директора Group-IB по направлению Digital Risk Protection.
Компаниям необходимо проводить непрерывный онлайн-мониторинг для своевременного обнаружения любых случаев нелегального использования бренда. Многие организации отслеживают только отдельные нарушения, такие как фишинговые страницы и домены, и обходят вниманием другие элементы мошеннической инфраструктуры. Решения Group-IB Digital Risk Protection позволяют компаниям получать полную картину нарушений в отношении их брендов и оперативно устранять все случаи неправомерного использования бренда в Интернете в досудебном порядке без дополнительных инвестиций и затяжных судебных разбирательств.
