На прошлой неделе на РБК была статья, в которой некоторые крупные российские банки в последнее время отмечают значительный рост числа попыток хищений денежных средств клиентов по сравнению с аналогичным периодом прошлого года. Об этом рассказали сразу несколько банков, причем было отдельно отмечено, что использовались различные приемы социальной инженерии.

Наверно, я бы пропустил данную заметку, так как все мы уже давно привыкли к телефонному мошенничеству, спаму в электронной почте и СМС от сомнительных отправителей, различным фишинговым письмам и множеству других способов развода граждан на честно заработанные, если бы совершено недавно я сам чуть не попался на удочку мошенников.

Моя история примечательна тем, что я первый раз столкнулся с хорошо продуманной атакой с применением приемов социальной инженерии, которая была организована одновременно по нескольким каналам!

Ведь если это реальная тенденция, то мне становится очень неприятно от осознания того, что спамеры переходят к значительно более глубокому анализу данных о своих потенциальных жертвах, а сами атаки становятся не массовыми и шаблонными, а точечными и персонализированными.

И тот факт, что при атаках начинают применяться приемы социальной инженерии с использованием сразу несколько независимых каналов одновременно, значительно повышает их достоверность и вероятность срабатывания!

Сама история


У моего провайдера (неважно у какого, это не реклама и не жалоба), к некоторым доменам для удобства подключена услуга их автоматического продления. И некоторое время назад автопродление сработало по одному домену. А через день на телефон, который привязан к аккаунту на хостинге, приходит СМС с просьбой пополнить счет из-за возникшей задолженности. «На вашем аккаунте отрицательный баланс. Пополните счет … и т.д.» Ссылки на оплату никакой нет, только название компании в качестве отправителя.

И я ведь знаю, что вчера действительно была оплата за автопродление и мне даже приходило письмо о списании со счета хостинга. Но немного смутило то, что СМС по этому поводу мне никогда не присылали, тем более о каком-то возникшем долге.

Хотя червячок сомнения немного зародился, т.к. раньше один раз у меня возникла неразбериха со счетами. Это случилось из-за того, что обычно на оплату хостинга резервируется определенная сумма, которую нельзя потратить на оплату продления домена (хотя деньги на счете формально есть, т.к. там счет один). Поэтому в этот раз подумал, что возможно и сейчас списали на продление домена из зарезервированных денег, а потом спохватились. Хотя в этом случае они сами себе злобные буратины. Но с другой стороны, если провайдеру будет нужно, они мне сообщат еще раз.

И буквально через пару часов, оппа — получаю уже электронное письмо от хостинга с напоминанием о случайно возникшей задолженности и вежливой просьбой пополнить счет в кабинете. Сумма в письме совпадает с суммой в полученном ранее СМС сообщении. Из-за этого я уже на автомате думаю, что раз оплата за домен вчера действительно была, а косяки с резервированием средств ранее тоже случались, то я почти поверил, что нужно заплатить!

Правда у меня, как у здорового человека с выработанным параноидальным синдромом, давно есть привычка не кликать по ссылкам в полученных письмах. Поэтому для оплаты я зашел в аккаунт на сайте, чтобы заплатить из него, а заодно и историю списаний уточнить.

А в личном кабинете оказалось, что никакой задолженности нет и это все почти обычный развод!

Что это было?


«Почти», потому что развод выполнен очень грамотно, и провели его сразу по нескольким каналам одновременно, предварительно проведя анализ данных о потенциальной жертве. Ведь для выполнения такой атаки злоумышленникам потребовалось свести воедино довольно много информации:

  1. Требовалось мониторить момент изменения данных о продлении домена
  2. Знать email адрес владельца домена (хоть в whois и стоит Private Person, но в какой нибудь истории наверно можно найти имя реального владельца и его электронной почты)
  3. Пробить по имени мой номер телефона
  4. Организовать отправку СМС с подменой имени отправителя
  5. Прислать письмо с перенаправлением на фишинговый сайт поддельной компании хостера


И хотя на электронную почту фишинговые письма приходят с завидной регулярностью и уже просто не обращаешь внимание на очередное «уникальное предложение» или «для пополнения счета перейдите по ссылке», но подобная многоканальная атака для меня была полной неожиданностью. Ведь в какой-то момент я даже усомнился в злонамеренности полученных сообщений и на пару минут предположил, что мне действительно следует положить деньги на счет.

Подозреваю, что я вряд ли стал первым, кто сталкивался с подобными ухищрениями. Но так как мне раньше с подобной схемой развода сталкиваться не приходилось, а в последнее время про подобные многовекторные атаки я даже не слышал, то решил, что данная публикация будет совсем не лишней. Может быть эта статья убережет других людей от все более изощренных способов развода и хотя бы на время повысит их внимательность.

Пользователь, будь внимательным!




Лучше лишний раз написать очевидные вещи о необходимости соблюдения элементарных мер предосторожности и «цифровой гигиены» при получении различных электронных писем, чем попасться на подобную атаку из-за незнания о еще одном способе развода, что теперь перед фишинговым письмом может еще отправляться и СМС для пущей убедительности. И даже страшно подумать, что будет, если подобные методы социальной инженерии станут массовыми.