Мошенники придумали новую схему, которая позволяет обойти системы внутренней защиты популярных онлайн-досок. Для того чтобы заманить пользователей на фишинговые сайты, злоумышленники стали использовать изображения с QR-кодами. Об этом «Известиям» рассказали в компании Group-IB, специализирующейся на кибербезопасности. Подобная схема опасна тем, что людям сложнее проверить легитимность таких изображений, да и пользователи испытывают большее доверие к технологии. Риск возрастает и в связи с приближением «черной пятницы», когда активизируются охотники за скидками и за их деньгами. Инциденты уже зафиксированы на «Авито», но эти схемы применимы для любых аналогичных сервисов.
Природная вера
По мере приближения «черной пятницы» активизируются не только любители скидок, но и мошенники. В том числе это касается онлайн-досок, где всегда царит ажиотаж среди тех, кто любит купить подешевле. Обычно обман клиентов таких сервисов происходит за счет так называемого фишинга («рыбалка» — в переводе с английского языка, популярный способ интернет-мошенничества, нацеленный на получение данных пользователей). Человеку направляется ссылка на поддельный сайт для проведения оплаты или доставки. Далее — дело техники: стоит ввести данные своей карты — и с деньгами можно распрощаться.
Как рассказали «Известиям» в Group-IB, в октябре этого года количество зафиксированных случаев фишинга в сервисах онлайн-досок возросло почти в 30 раз по сравнению с аналогичным периодом 2019-го. Причем дело не только в «черной пятнице», мошенники, в принципе, активизировались с началом пандемии, поскольку люди предпочитают покупать и продавать, не выходя из дома.
Именно поэтому уже весной многие платформы, размещающие объявления о купле-продаже, начали активно бороться с мошенничеством внутри своих систем, установив проверку или просто запрет ссылок на внешние ресурсы. Перестроились и
злоумышленники. Их главной задачей стал обман внутренней системы защиты пользователей на онлайн-досках, подтвердил руководитель отдела мониторинга и реагирования на инциденты информационной безопасности CERT-GIB (проект Group-IB) Александр Калинин.
По его словам, мошенники придумали новый способ, который позволяет прорвать «оборону», распространяя фальшивые ссылки через изображения с QR-кодами. Эксперт пояснил, что такая схема может применяться на любой платформе, где разрешена отправка изображений. В этом, кстати, заложена и ее опасность, поскольку, как минимум, опция по отправке картинок нужна для обмена между пользователями фотографий товаров.
В остальном схема основана на тех же принципах, что и при обмене ссылками.
— Мошенник присылает жертве сообщение во встроенный мессенджер, что его товар купили с доставкой, а также изображение с QR-кодом — порой даже с использованием бренда используемой доски объявлений непосредственно в QR, что повышает доверие к нему неопытного пользователя. Злоумышленник просит его отсканировать. После этого пользователя перенаправят на фишинговый сайт, где нужно ввести данные банковской карты, — пояснил Александр Калинин.
Пресс-служба Центробанка подтвердила, что это типичный случай фишинга.
— Для доступа к чужому банковскому счету мошенники создают сайт, который выглядит как интернет-магазин, платежный сервис или банк. Внешний вид подделки копирует реально существующий портал, а адрес на первый взгляд похож, — прокомментировали в регуляторе.
На фишинговых ресурсах, отметили в пресс-службе ЦБ, попросят ввести данные банковской карты, в том числе PIN и трехзначный код с обратной стороны «пластика», а также код подтверждения операции из SMS. Таким образом мошенники получают возможность совершать несанкционированные операции.
Схема опасна тем, что в отличие от ссылки на сайт у человека нет возможности по одному виду QR-кода оценить его легитимность, для этого необходимо использовать камеру смартфона, уточнил представитель проекта Group-IB.
— Плюс до сих пор доверие к подобным кодам достаточно высокое, что в сумме с непониманием работы технологии и позволяет злоумышленникам обманывать своих жертв, — подчеркнул Александр Калинин.
Заведующий лабораторией искусственного интеллекта, нейротехнологий и бизнес-аналитики РЭУ им. Г.В. Плеханова Тимур Садыков подтвердил повышенные риски, связанные с этой схемой. Он подчеркнул, что опытные пользователи уже привыкли не реагировать на подозрительные ссылки, а новый метод может ввести их в заблуждение.
— Новизна этого мошеннического приема в сочетании с ошибочным представлением о безопасности автоматической генерации QR-кода действительно способна обмануть не слишком искушенных пользователей. Она эксплуатирует интуитивную веру большинства людей, как отмечал известный польский философ и писатель Станислав Лем, в «природное благородство электронных мозгов», — отметил эксперт.
Поводы для подозрений
По мнению Тимура Садыкова, эта схема будет нейтрализована, но потребуется время, которое будет стоить недостаточно грамотным пользователям значительных денег. Александр Калинин также сообщил, что технически задача распознавания
ссылок на подобные изображения — простая. Вероятно, предположил он, вскоре она будет внедрена во многие системы защиты, но до тех пор пользователи должны проявлять бдительность.
Само по себе получение изображения с QR-кодом извне — уже причина, чтобы насторожиться. Кроме того, эксперт советует общаться с покупателями и продавцами онлайн-досок исключительно во встроенных чатах, не выводя общение в сторонние мессенджеры. Так, от явных ошибок и попыток обмана клиента будет оберегать еще и служба безопасности используемой доски объявлений.
В пресс-службе «Авито» «Известиям» подтвердили, что главная цель мошенников — увести людей с платформы, поскольку на внешних ресурсах служба безопасности компании уже не может контролировать процессы.
— Злоумышленники постоянно ищут новые лазейки, в частности зашивают ссылки в QR-коды, поскольку с технической точки зрения обработка изображения и проверка такого кода — более сложная процедура и требует больше времени.
Поэтому мы рекомендуем пользователям обсуждать все условия сделки в мессенджере «Авито», где блокируем возможность отправки ссылок на внешние ресурсы, а именно на фишинговые сайты, которые часто используют мошенники, и QR-кодов, — пояснил представитель онлайн-сервиса.
Кроме того, в пресс-службе «Авито» подчеркнули, что не используют QR-кодов в рамках платформы, а для любой оплаты достаточно нажать несколько кнопок прямо в ее интерфейсе. Есть и не технические признаки того, что переговоры ведет не совсем чистоплотный контрагент. Так, в компании предупредили, что особенно в период распродаж, когда пользователи ищут самые выгодные предложения и могут потерять бдительность среди множества скидок, мошенники действуют активнее. Поэтому компания призывает пользователей не доверять предложениям, которые значительно отличаются от рыночных.
В пресс-службе Центробанка также посоветовали обращать внимание на излишне низкую стоимость товара. Даже если скромную цену объясняют таможенным конфискатом или ликвидацией товара, это должно настораживать.
Справка «Известий»В Центробанке напомнили, как отличить поддельный сайт:
- Длинное и сложное доменное имя или имя, похожее на название известного интернет-магазина, банка, социальной сети, бренда.
- Перед адресом сайта нет префикса https: буква s означает secure — безопасное соединение.
- Сайт зарегистрирован совсем недавно. Проверить дату создания домена можно здесь: whois-service.
- Встречаются опечатки, несоответствия, небрежности и ошибки: орфографические, пунктуационные, фактические.
- Ссылка пришла от неизвестного источника. Надо быть осторожнее и со ссылками от друзей в соцсетях: их могли ввести в заблуждение или взломать.
- Также должен настораживать переход на неизвестный сайт во время использования открытой сети Wi-Fi без пароля.