До праздников в конце года остается не так много времени и пользователи заранее планируют бронирование билетов на самолет для посещения близких, друзей или же просто для отдыха. Как и следовало ожидать, киберпреступники активизируют свою деятельность в такое время, рассчитывая обмануть как можно больше пользователей. Они используют методы социальной инженерии и обещают пользователям бесплатные авиабилеты.
В нашем прошлом посте мы предупреждали пользователей о фишинговой рассылке в WhatsApp, которая использует тему скидочных купонов. На сей раз злоумышленники также выбрали WhatsApp и рассылку сообщений от имени авиакомпании Emirates. Они предлагают пользователям получить несколько бесплатных билетов.
Стоит отметить, что указываемая злоумышленниками в сообщении ссылка на самом деле фишинговая и не имеет никакого отношения к авиакомпании. В то же время у пользователя создается ощущение, что она указывает на легитимный веб-сайт компании. Внизу указан пример фишингового сообщения, которое распространяется злоумышленниками.
Хотя указанный домен веб-страницы отличен от тех, что мы обнаруживали ранее, дизайн сообщения практически такой же как мы наблюдали ранее в мошенничестве с несколькими брендами. Как и в случае предшественников этого кейса мошенничества, данное фишинговое сообщение доставляет пользователю поддельный и краткий обзор с уведомлением о выигрыше двух бесплатных билетов.
Для получения билетов жертве предлагается отправить ссылку десяти своим контактам WhatsApp.
При этом код приложения подсчитывает количество количество нажатий пользователем кнопки «share». После того как пользователь поделился фишинговой ссылкой с десятью своими контактами, ему сообщается, что остался один шаг до получения билетов и перенаправляют на другой домен.
Эта новая веб-страница запрашивает у пользователя номер телефона для его подписки на платную SMS-рассылку. При этом указывается, что расходы за услугу будут указаны в телефонном счете в конце месяца.
Обратите внимание, что на этапе опроса жертвы, злоумышленники указывают оговорку (дисклеймер), в котором заявлено, что пользователю могут быть предложены «предложения третьей стороны», при чем эти предложения подразумевают периодические расходы. Нет необходимости говорить, что следует всегда обращать на это внимание и читать внимательно условия перед участием в онлайн-конкурсе.
После выполнения пользователем всех шагов, его возвращают на первоначальный домен, на веб-странице которого сообщается об отсутствии выигрыша.
На текущий момент мошенническая схема доступна на таких языках как испанский, английский, немецкий, португальский. Злоумышленники могут подставлять текст на соответствующем для региона пользователя языке. На сегодняшний день, вредоносная веб-страница уже обслуживается из другого домена, а страна и язык обнаруживаются через геолокацию IP.
Заключение
Во время праздников, злоумышленники увеличивают свою вредоносную активность в надежде получить материальную выгоду с начинающих или рассеянных пользователей, которые начинают думать уже после того как прошли по ссылке.
Одной из главных форм защиты от данного рода мошенничества является здравый смысл. Следует настороженно относится к предложениям или акциям, которые слишком хороши, чтобы быть правдой.
Не обращайте внимание на предложения о скидках, которые были получены через электронную почту, сообщения в социальных сетях или SMS и выглядят неправдоподобно. Если вы хотите участвовать в той или иной акции, свяжитесь с этой компанией по телефону и уточните действительность этого предложения. При этом номер телефона следует взять с официальной веб-страницы компании.
Не забывайте, что подобные сообщения могут придти и от одного из ваших контактов, поэтому будьте бдительны даже в этом случае. Такая ситуация может возникнуть в том случае, когда ваш контакт попался на удочку злоумышленников.
В том случае, если вы уже стали жертвой такого мошенничества, удалите любое установленное при этом приложение и свяжитесь со своим оператором мобильной связи для проверки присутствия каких-либо платных рассылок на вашем номере.
В качестве превентивной меры следует использовать на своем устройстве антивирусное ПО.
В нашем прошлом посте мы предупреждали пользователей о фишинговой рассылке в WhatsApp, которая использует тему скидочных купонов. На сей раз злоумышленники также выбрали WhatsApp и рассылку сообщений от имени авиакомпании Emirates. Они предлагают пользователям получить несколько бесплатных билетов.
Стоит отметить, что указываемая злоумышленниками в сообщении ссылка на самом деле фишинговая и не имеет никакого отношения к авиакомпании. В то же время у пользователя создается ощущение, что она указывает на легитимный веб-сайт компании. Внизу указан пример фишингового сообщения, которое распространяется злоумышленниками.
Хотя указанный домен веб-страницы отличен от тех, что мы обнаруживали ранее, дизайн сообщения практически такой же как мы наблюдали ранее в мошенничестве с несколькими брендами. Как и в случае предшественников этого кейса мошенничества, данное фишинговое сообщение доставляет пользователю поддельный и краткий обзор с уведомлением о выигрыше двух бесплатных билетов.
Для получения билетов жертве предлагается отправить ссылку десяти своим контактам WhatsApp.
При этом код приложения подсчитывает количество количество нажатий пользователем кнопки «share». После того как пользователь поделился фишинговой ссылкой с десятью своими контактами, ему сообщается, что остался один шаг до получения билетов и перенаправляют на другой домен.
Эта новая веб-страница запрашивает у пользователя номер телефона для его подписки на платную SMS-рассылку. При этом указывается, что расходы за услугу будут указаны в телефонном счете в конце месяца.
Обратите внимание, что на этапе опроса жертвы, злоумышленники указывают оговорку (дисклеймер), в котором заявлено, что пользователю могут быть предложены «предложения третьей стороны», при чем эти предложения подразумевают периодические расходы. Нет необходимости говорить, что следует всегда обращать на это внимание и читать внимательно условия перед участием в онлайн-конкурсе.
После выполнения пользователем всех шагов, его возвращают на первоначальный домен, на веб-странице которого сообщается об отсутствии выигрыша.
На текущий момент мошенническая схема доступна на таких языках как испанский, английский, немецкий, португальский. Злоумышленники могут подставлять текст на соответствующем для региона пользователя языке. На сегодняшний день, вредоносная веб-страница уже обслуживается из другого домена, а страна и язык обнаруживаются через геолокацию IP.
Заключение
Во время праздников, злоумышленники увеличивают свою вредоносную активность в надежде получить материальную выгоду с начинающих или рассеянных пользователей, которые начинают думать уже после того как прошли по ссылке.
Одной из главных форм защиты от данного рода мошенничества является здравый смысл. Следует настороженно относится к предложениям или акциям, которые слишком хороши, чтобы быть правдой.
Не обращайте внимание на предложения о скидках, которые были получены через электронную почту, сообщения в социальных сетях или SMS и выглядят неправдоподобно. Если вы хотите участвовать в той или иной акции, свяжитесь с этой компанией по телефону и уточните действительность этого предложения. При этом номер телефона следует взять с официальной веб-страницы компании.
Не забывайте, что подобные сообщения могут придти и от одного из ваших контактов, поэтому будьте бдительны даже в этом случае. Такая ситуация может возникнуть в том случае, когда ваш контакт попался на удочку злоумышленников.
В том случае, если вы уже стали жертвой такого мошенничества, удалите любое установленное при этом приложение и свяжитесь со своим оператором мобильной связи для проверки присутствия каких-либо платных рассылок на вашем номере.
В качестве превентивной меры следует использовать на своем устройстве антивирусное ПО.
Поделиться с друзьями
sp1ne
Рассказывать на Хабре о переходе по по фишинговым ссылкам типа emirates.com-gratis.co вместо emirates.com как минимум глупо.
Ааа, простите, снова реклама… Эххх, Хабр, Хабр…
Следующая статья будет: «Злоумышленники рассылают пользователям сообщения о смерти родственников, если те не разошлют это сообщение 10 другим пользователям. Устанавливайте ESET NOD32».