До праздников в конце года остается не так много времени и пользователи заранее планируют бронирование билетов на самолет для посещения близких, друзей или же просто для отдыха. Как и следовало ожидать, киберпреступники активизируют свою деятельность в такое время, рассчитывая обмануть как можно больше пользователей. Они используют методы социальной инженерии и обещают пользователям бесплатные авиабилеты.
![](https://habrastorage.org/files/389/965/9aa/3899659aabe44ba8addf0e4b241978e2.jpeg)
В нашем прошлом посте мы предупреждали пользователей о фишинговой рассылке в WhatsApp, которая использует тему скидочных купонов. На сей раз злоумышленники также выбрали WhatsApp и рассылку сообщений от имени авиакомпании Emirates. Они предлагают пользователям получить несколько бесплатных билетов.
Стоит отметить, что указываемая злоумышленниками в сообщении ссылка на самом деле фишинговая и не имеет никакого отношения к авиакомпании. В то же время у пользователя создается ощущение, что она указывает на легитимный веб-сайт компании. Внизу указан пример фишингового сообщения, которое распространяется злоумышленниками.
![](https://habrastorage.org/files/06f/067/af4/06f067af48b744d9aa3d18cb54a5f935.png)
Хотя указанный домен веб-страницы отличен от тех, что мы обнаруживали ранее, дизайн сообщения практически такой же как мы наблюдали ранее в мошенничестве с несколькими брендами. Как и в случае предшественников этого кейса мошенничества, данное фишинговое сообщение доставляет пользователю поддельный и краткий обзор с уведомлением о выигрыше двух бесплатных билетов.
Для получения билетов жертве предлагается отправить ссылку десяти своим контактам WhatsApp.
![](https://habrastorage.org/files/459/e09/94d/459e0994dbb9462a97c95ef85ea5b657.png)
![](https://habrastorage.org/files/f87/1be/5cc/f871be5ccc2e4a0e94775356f7a6c613.png)
При этом код приложения подсчитывает количество количество нажатий пользователем кнопки «share». После того как пользователь поделился фишинговой ссылкой с десятью своими контактами, ему сообщается, что остался один шаг до получения билетов и перенаправляют на другой домен.
![](https://habrastorage.org/files/89a/77f/bde/89a77fbdeab64089a77aa3b4f2e7712a.png)
Эта новая веб-страница запрашивает у пользователя номер телефона для его подписки на платную SMS-рассылку. При этом указывается, что расходы за услугу будут указаны в телефонном счете в конце месяца.
![](https://habrastorage.org/files/404/971/54e/40497154eca74e76a1b8cee4f84d4350.png)
Обратите внимание, что на этапе опроса жертвы, злоумышленники указывают оговорку (дисклеймер), в котором заявлено, что пользователю могут быть предложены «предложения третьей стороны», при чем эти предложения подразумевают периодические расходы. Нет необходимости говорить, что следует всегда обращать на это внимание и читать внимательно условия перед участием в онлайн-конкурсе.
После выполнения пользователем всех шагов, его возвращают на первоначальный домен, на веб-странице которого сообщается об отсутствии выигрыша.
![](https://habrastorage.org/files/3c0/ab7/77c/3c0ab777c38844d0b1af2c16484bca2e.png)
На текущий момент мошенническая схема доступна на таких языках как испанский, английский, немецкий, португальский. Злоумышленники могут подставлять текст на соответствующем для региона пользователя языке. На сегодняшний день, вредоносная веб-страница уже обслуживается из другого домена, а страна и язык обнаруживаются через геолокацию IP.
![](https://habrastorage.org/files/63a/b28/917/63ab28917cbc495594808b9aaf559c1c.png)
Заключение
Во время праздников, злоумышленники увеличивают свою вредоносную активность в надежде получить материальную выгоду с начинающих или рассеянных пользователей, которые начинают думать уже после того как прошли по ссылке.
Одной из главных форм защиты от данного рода мошенничества является здравый смысл. Следует настороженно относится к предложениям или акциям, которые слишком хороши, чтобы быть правдой.
Не обращайте внимание на предложения о скидках, которые были получены через электронную почту, сообщения в социальных сетях или SMS и выглядят неправдоподобно. Если вы хотите участвовать в той или иной акции, свяжитесь с этой компанией по телефону и уточните действительность этого предложения. При этом номер телефона следует взять с официальной веб-страницы компании.
Не забывайте, что подобные сообщения могут придти и от одного из ваших контактов, поэтому будьте бдительны даже в этом случае. Такая ситуация может возникнуть в том случае, когда ваш контакт попался на удочку злоумышленников.
В том случае, если вы уже стали жертвой такого мошенничества, удалите любое установленное при этом приложение и свяжитесь со своим оператором мобильной связи для проверки присутствия каких-либо платных рассылок на вашем номере.
В качестве превентивной меры следует использовать на своем устройстве антивирусное ПО.
![](https://habrastorage.org/files/389/965/9aa/3899659aabe44ba8addf0e4b241978e2.jpeg)
В нашем прошлом посте мы предупреждали пользователей о фишинговой рассылке в WhatsApp, которая использует тему скидочных купонов. На сей раз злоумышленники также выбрали WhatsApp и рассылку сообщений от имени авиакомпании Emirates. Они предлагают пользователям получить несколько бесплатных билетов.
Стоит отметить, что указываемая злоумышленниками в сообщении ссылка на самом деле фишинговая и не имеет никакого отношения к авиакомпании. В то же время у пользователя создается ощущение, что она указывает на легитимный веб-сайт компании. Внизу указан пример фишингового сообщения, которое распространяется злоумышленниками.
![](https://habrastorage.org/files/06f/067/af4/06f067af48b744d9aa3d18cb54a5f935.png)
Хотя указанный домен веб-страницы отличен от тех, что мы обнаруживали ранее, дизайн сообщения практически такой же как мы наблюдали ранее в мошенничестве с несколькими брендами. Как и в случае предшественников этого кейса мошенничества, данное фишинговое сообщение доставляет пользователю поддельный и краткий обзор с уведомлением о выигрыше двух бесплатных билетов.
Для получения билетов жертве предлагается отправить ссылку десяти своим контактам WhatsApp.
![](https://habrastorage.org/files/459/e09/94d/459e0994dbb9462a97c95ef85ea5b657.png)
![](https://habrastorage.org/files/f87/1be/5cc/f871be5ccc2e4a0e94775356f7a6c613.png)
При этом код приложения подсчитывает количество количество нажатий пользователем кнопки «share». После того как пользователь поделился фишинговой ссылкой с десятью своими контактами, ему сообщается, что остался один шаг до получения билетов и перенаправляют на другой домен.
![](https://habrastorage.org/files/89a/77f/bde/89a77fbdeab64089a77aa3b4f2e7712a.png)
Эта новая веб-страница запрашивает у пользователя номер телефона для его подписки на платную SMS-рассылку. При этом указывается, что расходы за услугу будут указаны в телефонном счете в конце месяца.
![](https://habrastorage.org/files/404/971/54e/40497154eca74e76a1b8cee4f84d4350.png)
Обратите внимание, что на этапе опроса жертвы, злоумышленники указывают оговорку (дисклеймер), в котором заявлено, что пользователю могут быть предложены «предложения третьей стороны», при чем эти предложения подразумевают периодические расходы. Нет необходимости говорить, что следует всегда обращать на это внимание и читать внимательно условия перед участием в онлайн-конкурсе.
После выполнения пользователем всех шагов, его возвращают на первоначальный домен, на веб-странице которого сообщается об отсутствии выигрыша.
![](https://habrastorage.org/files/3c0/ab7/77c/3c0ab777c38844d0b1af2c16484bca2e.png)
На текущий момент мошенническая схема доступна на таких языках как испанский, английский, немецкий, португальский. Злоумышленники могут подставлять текст на соответствующем для региона пользователя языке. На сегодняшний день, вредоносная веб-страница уже обслуживается из другого домена, а страна и язык обнаруживаются через геолокацию IP.
![](https://habrastorage.org/files/63a/b28/917/63ab28917cbc495594808b9aaf559c1c.png)
Заключение
Во время праздников, злоумышленники увеличивают свою вредоносную активность в надежде получить материальную выгоду с начинающих или рассеянных пользователей, которые начинают думать уже после того как прошли по ссылке.
Одной из главных форм защиты от данного рода мошенничества является здравый смысл. Следует настороженно относится к предложениям или акциям, которые слишком хороши, чтобы быть правдой.
Не обращайте внимание на предложения о скидках, которые были получены через электронную почту, сообщения в социальных сетях или SMS и выглядят неправдоподобно. Если вы хотите участвовать в той или иной акции, свяжитесь с этой компанией по телефону и уточните действительность этого предложения. При этом номер телефона следует взять с официальной веб-страницы компании.
Не забывайте, что подобные сообщения могут придти и от одного из ваших контактов, поэтому будьте бдительны даже в этом случае. Такая ситуация может возникнуть в том случае, когда ваш контакт попался на удочку злоумышленников.
В том случае, если вы уже стали жертвой такого мошенничества, удалите любое установленное при этом приложение и свяжитесь со своим оператором мобильной связи для проверки присутствия каких-либо платных рассылок на вашем номере.
В качестве превентивной меры следует использовать на своем устройстве антивирусное ПО.
Поделиться с друзьями
sp1ne
Рассказывать на Хабре о переходе по по фишинговым ссылкам типа emirates.com-gratis.co вместо emirates.com как минимум глупо.
Ааа, простите, снова реклама… Эххх, Хабр, Хабр…
Следующая статья будет: «Злоумышленники рассылают пользователям сообщения о смерти родственников, если те не разошлют это сообщение 10 другим пользователям. Устанавливайте ESET NOD32».