На прошлой неделе на РБК была статья, в которой некоторые крупные российские банки в последнее время отмечают значительный рост числа попыток хищений денежных средств клиентов по сравнению с аналогичным периодом прошлого года. Об этом рассказали сразу несколько банков, причем было отдельно отмечено, что использовались различные приемы социальной инженерии.
Наверно, я бы пропустил данную заметку, так как все мы уже давно привыкли к телефонному мошенничеству, спаму в электронной почте и СМС от сомнительных отправителей, различным фишинговым письмам и множеству других способов развода граждан на честно заработанные, если бы совершено недавно я сам чуть не попался на удочку мошенников.
Моя история примечательна тем, что я первый раз столкнулся с хорошо продуманной атакой с применением приемов социальной инженерии, которая была организована одновременно по нескольким каналам!
Ведь если это реальная тенденция, то мне становится очень неприятно от осознания того, что спамеры переходят к значительно более глубокому анализу данных о своих потенциальных жертвах, а сами атаки становятся не массовыми и шаблонными, а точечными и персонализированными.
И тот факт, что при атаках начинают применяться приемы социальной инженерии с использованием сразу несколько независимых каналов одновременно, значительно повышает их достоверность и вероятность срабатывания!
Сама история
У моего провайдера (неважно у какого, это не реклама и не жалоба), к некоторым доменам для удобства подключена услуга их автоматического продления. И некоторое время назад автопродление сработало по одному домену. А через день на телефон, который привязан к аккаунту на хостинге, приходит СМС с просьбой пополнить счет из-за возникшей задолженности. «На вашем аккаунте отрицательный баланс. Пополните счет … и т.д.» Ссылки на оплату никакой нет, только название компании в качестве отправителя.
И я ведь знаю, что вчера действительно была оплата за автопродление и мне даже приходило письмо о списании со счета хостинга. Но немного смутило то, что СМС по этому поводу мне никогда не присылали, тем более о каком-то возникшем долге.
Хотя червячок сомнения немного зародился, т.к. раньше один раз у меня возникла неразбериха со счетами. Это случилось из-за того, что обычно на оплату хостинга резервируется определенная сумма, которую нельзя потратить на оплату продления домена (хотя деньги на счете формально есть, т.к. там счет один). Поэтому в этот раз подумал, что возможно и сейчас списали на продление домена из зарезервированных денег, а потом спохватились. Хотя в этом случае они сами себе злобные буратины. Но с другой стороны, если провайдеру будет нужно, они мне сообщат еще раз.
И буквально через пару часов, оппа — получаю уже электронное письмо от хостинга с напоминанием о случайно возникшей задолженности и вежливой просьбой пополнить счет в кабинете. Сумма в письме совпадает с суммой в полученном ранее СМС сообщении. Из-за этого я уже на автомате думаю, что раз оплата за домен вчера действительно была, а косяки с резервированием средств ранее тоже случались, то я почти поверил, что нужно заплатить!
Правда у меня, как у здорового человека с выработанным параноидальным синдромом, давно есть привычка не кликать по ссылкам в полученных письмах. Поэтому для оплаты я зашел в аккаунт на сайте, чтобы заплатить из него, а заодно и историю списаний уточнить.
А в личном кабинете оказалось, что никакой задолженности нет и это все почти обычный развод!
Что это было?
«Почти», потому что развод выполнен очень грамотно, и провели его сразу по нескольким каналам одновременно, предварительно проведя анализ данных о потенциальной жертве. Ведь для выполнения такой атаки злоумышленникам потребовалось свести воедино довольно много информации:
- Требовалось мониторить момент изменения данных о продлении домена
- Знать email адрес владельца домена (хоть в whois и стоит Private Person, но в какой нибудь истории наверно можно найти имя реального владельца и его электронной почты)
- Пробить по имени мой номер телефона
- Организовать отправку СМС с подменой имени отправителя
- Прислать письмо с перенаправлением на фишинговый сайт поддельной компании хостера
И хотя на электронную почту фишинговые письма приходят с завидной регулярностью и уже просто не обращаешь внимание на очередное «уникальное предложение» или «для пополнения счета перейдите по ссылке», но подобная многоканальная атака для меня была полной неожиданностью. Ведь в какой-то момент я даже усомнился в злонамеренности полученных сообщений и на пару минут предположил, что мне действительно следует положить деньги на счет.
Подозреваю, что я вряд ли стал первым, кто сталкивался с подобными ухищрениями. Но так как мне раньше с подобной схемой развода сталкиваться не приходилось, а в последнее время про подобные многовекторные атаки я даже не слышал, то решил, что данная публикация будет совсем не лишней. Может быть эта статья убережет других людей от все более изощренных способов развода и хотя бы на время повысит их внимательность.
Пользователь, будь внимательным!
Лучше лишний раз написать очевидные вещи о необходимости соблюдения элементарных мер предосторожности и «цифровой гигиены» при получении различных электронных писем, чем попасться на подобную атаку из-за незнания о еще одном способе развода, что теперь перед фишинговым письмом может еще отправляться и СМС для пущей убедительности. И даже страшно подумать, что будет, если подобные методы социальной инженерии станут массовыми.
cranium256
А, если не секрет, цена вопроса какая? На какую сумму вас пытались развести?
rsashka Автор
Чуть больше тысячи рублей. Но больше, чем стоит продление домена. Возможно, еще это сыграло свою роль, т.к. прежде мне хотелось понять откуда такая непонятная сумма.
cranium256
Интересно то, что такая сложная атака имела целью такую мизерную сумму. И ведь понятно, что эту схему долго и/или для большого количества потенциальных жертв эксплуатировать не получится. Профит в чём?
stork_teadfort
Как в чем - слить креды от личного кабинета хостера и угнать какой-то интересный домен. Бонусом данные карточки, но это скорее всего не была цель
rsashka Автор
Я думаю, что скорее всего данные карты, а может и для угона домена (как уже написали выше)
kSx
Как-то это похоже на слитую базу самого хостера или сравнение результатов из whois с заботливо обогащёнными данными… Так что пусть не долго, но вполне получится. А увеличение суммы снизит количество срабатываний.
nochkin
Если это дело автоматизировать, то «одна бабулька — рубль, а миллионы бабулек — уже состояние».
SergeyMax
Inskin
Рассылка влёгкую может пройти например на тысяч сто емайлов/телефонов. Даже один процент оплативших даст нам миллион. За вычетом смс-рассылок всё равно очень выгодно, особенно с учётом автоматизации сбора данных и рассылки писем/смс.
saboteur_kiev
Как по мне, то атака совсем не сложная. Не было звонков голосом, не было активной работы. Полная автоматизация.
Берешь список клиентов, шерстишь, если получилось собрать нужные контакты, заносишь в список по которым бежит скрипт и выполняет все действия автоматом. Злоумышленник вообще может даже и забыть про этот скрипт, заниматься чем-нить еще, главное со счета вовремя вывести, пока не заблочили.