Хотя техники и тактики злоумышленников постоянно совершенствуются, наиболее действенным методом по-прежнему остается социальная инженерия. Одна из самых популярных уловок злоумышленников — обещание приза или гарантированного выигрыша.
Только за последнюю неделю сентября эксперты BI.ZONE выявили 770 мошеннических доменов, имитирующих площадки для розыгрыша призов. Через эти сайты мошенники не только собирали платежные данные жертв, но и убеждали пользователей самостоятельно переводить деньги якобы на оплату конвертации выигрыша.
Как работает мошенническая схема: на сайте пользователю предлагают с трех попыток угадать, в какой из нарисованных коробок спрятан приз. Одна из попыток всегда оказывается удачной, после чего «победитель» должен дать согласие на получение приза и ввести данные карты, на которую будет переведен выигрыш. После ввода данных пользователя просят оплатить некую комиссию, связанную с конвертацией выигрыша в рубли. Деньги и платежные данные уходят к мошенникам, а никакого приза жертва не получает.
Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству BI.ZONE:
«Сама по себе схема с фальшивыми лотереями или розыгрышами не нова и обычно нацелена на что-то одно: либо на сбор персональных данных, либо на получение денег. Однако в данном случае мошенники не только убеждали доверчивых пользователей перевести им средства, но и собирали данные карт, которыми в перспективе могут воспользоваться, например, продать эту информацию на черном рынке».
Дмитрий Овчинников, главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»:
«Не стоит спешить, когда видишь письмо с поздравлением с выигрышем – почти все такие письма, это фишинг. Теперь, когда сезон отпусков закончился, мошенники меняют схемы, ориентируются на новые аудитории, поэтому в ближайшее время ожидаем фишинговые атаки с применением социальной инженерии с «призами», «победами в лотерее», которой вы даже не участвовали, «социальные выплаты» и прочие подходы снова станут актуальными».