В конце августа мы наблюдали вредоносную кампанию по распространению фальшивых купонов на скидку, которые маскировались под купоны различных известных магазинов. Ссылки на купоны распространялись через приложение WhatsApp. Ранее мы уже наблюдали схожие рассылки, но они имели локальный характер, однако, в этот раз, мы можем говорить о кампании глобального масштаба.
Первые случаи получения пользователями фишинговых ссылок в приложении WhatsApp были замечены уже в середине августа. Ссылки вели на вышеупомянутые скидочные купоны. Ниже приведены два примера купонов для магазинов, один для Coles Supermarket (Австралия), а второй для Mercadona (Испания).
Благодаря информации наших коллег из испанской компании Hispasec, мы узнали, что подобная рассылка не была единичным случаем и что злоумышленники уже специализировались на подобных рассылках, маскируя их под различные известные бренды супермаркетов, включая, Lidl в Италии, 7-Eleven в США, Albert Heijn в Голландии и Woolworths в Австралии.
Механизм реализации мошенничества довольно прост. Некоторые пользователи WhatsApp получают сообщение со ссылкой, которая перенаправляет их на поддельный веб-сайт, замаскированный под сайт супермаркета. На этом веб-сайте пользователь должен ответить на вопросы для «получения скидки» от магазина. Ответы на вопросы представляют из себя персональные данные пользователя: имя, адрес электронной почты, номер мобильного телефона, адрес и т. д.
Собранные данные в дальнейшем будут использованы злоумышленниками для последующих спам-кампаний. Мошенники также могут попытаться подписать жертву на платную SMS-рассылку, что приведет к регулярному списыванию денежных средств с телефонного счета пользователя.
Другие варианты
Видно, что первоначальная спам-кампания была достаточно прибыльна для злоумышленников, поскольку за ней последовали новые. Например, мы наблюдали новую мошенническую кампанию, которая использовала ту же стратегию. На этот раз в качестве цели была выбрана кофейная компания Starbucks. Скидка по ваучеру адаптируется к местной валюте.
В случае со Starbucks мошенники не стали адаптировать текст купона к языку соответствующего региона, для всех используется английский язык.
Ранее наш коллега, Pablo Ramos, глава антивирусной лаборатории ESET в Латинской Америке, опубликовал анализ другой вредоносной кампании, в которой использовался бренд фирмы Zara.
В этом случае мошенники не пытались получить от пользователя личных данных, вместо этого они пытались убедить жертву в том, что ее устройство Android заражено вредоносной программой. После этого пользователю предлагалось скачать фальшивое антивирусное приложение путем подписки на платную SMS-рассылку. Скриншот приложения приведен ниже.
Заключение
Указанные выше вредоносные кампании используют такие методы, которые мы ранее наблюдали при анализе мобильных угроз. Использование широко известных и узнаваемых брендов, а также обещание скидки, это те примеры, которые мы ранее уже неоднократно наблюдали. Рассмотренные вредоносные кампании более опасны, поскольку они используют мгновенный сервис передачи сообщений WhatsApp.
Данная ситуация напоминает нам о времени, когда злоумышленники использовали схожий сервис обмена мгновенными сообщениями под названием Windows Live Messenger для распространения своих вредоносных ссылок. Как видно, с тех пор ситуация не изменилась, изменился только сам мессенджер. Сами злоумышленники пользуются одним правилом: если это работало раньше, то будет работать и снова. Мы рекомендуем пользователям не переходить по фишинговым ссылкам и не доверять посторонним свои персональные данные.
Первые случаи получения пользователями фишинговых ссылок в приложении WhatsApp были замечены уже в середине августа. Ссылки вели на вышеупомянутые скидочные купоны. Ниже приведены два примера купонов для магазинов, один для Coles Supermarket (Австралия), а второй для Mercadona (Испания).
Благодаря информации наших коллег из испанской компании Hispasec, мы узнали, что подобная рассылка не была единичным случаем и что злоумышленники уже специализировались на подобных рассылках, маскируя их под различные известные бренды супермаркетов, включая, Lidl в Италии, 7-Eleven в США, Albert Heijn в Голландии и Woolworths в Австралии.
Механизм реализации мошенничества довольно прост. Некоторые пользователи WhatsApp получают сообщение со ссылкой, которая перенаправляет их на поддельный веб-сайт, замаскированный под сайт супермаркета. На этом веб-сайте пользователь должен ответить на вопросы для «получения скидки» от магазина. Ответы на вопросы представляют из себя персональные данные пользователя: имя, адрес электронной почты, номер мобильного телефона, адрес и т. д.
Собранные данные в дальнейшем будут использованы злоумышленниками для последующих спам-кампаний. Мошенники также могут попытаться подписать жертву на платную SMS-рассылку, что приведет к регулярному списыванию денежных средств с телефонного счета пользователя.
Другие варианты
Видно, что первоначальная спам-кампания была достаточно прибыльна для злоумышленников, поскольку за ней последовали новые. Например, мы наблюдали новую мошенническую кампанию, которая использовала ту же стратегию. На этот раз в качестве цели была выбрана кофейная компания Starbucks. Скидка по ваучеру адаптируется к местной валюте.
В случае со Starbucks мошенники не стали адаптировать текст купона к языку соответствующего региона, для всех используется английский язык.
Ранее наш коллега, Pablo Ramos, глава антивирусной лаборатории ESET в Латинской Америке, опубликовал анализ другой вредоносной кампании, в которой использовался бренд фирмы Zara.
В этом случае мошенники не пытались получить от пользователя личных данных, вместо этого они пытались убедить жертву в том, что ее устройство Android заражено вредоносной программой. После этого пользователю предлагалось скачать фальшивое антивирусное приложение путем подписки на платную SMS-рассылку. Скриншот приложения приведен ниже.
Заключение
Указанные выше вредоносные кампании используют такие методы, которые мы ранее наблюдали при анализе мобильных угроз. Использование широко известных и узнаваемых брендов, а также обещание скидки, это те примеры, которые мы ранее уже неоднократно наблюдали. Рассмотренные вредоносные кампании более опасны, поскольку они используют мгновенный сервис передачи сообщений WhatsApp.
Данная ситуация напоминает нам о времени, когда злоумышленники использовали схожий сервис обмена мгновенными сообщениями под названием Windows Live Messenger для распространения своих вредоносных ссылок. Как видно, с тех пор ситуация не изменилась, изменился только сам мессенджер. Сами злоумышленники пользуются одним правилом: если это работало раньше, то будет работать и снова. Мы рекомендуем пользователям не переходить по фишинговым ссылкам и не доверять посторонним свои персональные данные.