Сыр в соцсетях: как мошенники атакуют клиентов региональных банков

12.01.2022 |

Клиенты региональных банков начали сталкиваться с массированными фишинговыми атаками. В декабре эксперты по информационной безопасности выявили около 20 мошеннических ресурсов, имитирующих сайт Уральского банка реконструкции и развития. Ссылки на них распространялись в соцсетях под видом официальной рекламы. Ранее схема активно использовалась в отношении более крупных финансовых организаций, таких как Альфа-банк и Почта Банк. Эксперты объяснили «Известиям», почему мошенники переключаются на клиентов региональных банков.

Бесплатный ролл

Вкладчики Уральского банка реконструкции и развития (УБРиР) столкнулись с мошенническими атаками в соцсетях, сообщили известиям в пресс-службе компании. Злоумышленники регистрируют фальшивые сайты и запускают рекламу от имени банка с обещанием подарков и призов.

Например, в декабре мошенники заманивали клиентов УБРиР, обещая бесплатные роллы и пиццу. Для этого на вредоносном сайте требовалось ввести номер карты и имя, а потом и SMS-код от банка якобы для подтверждения получения бонуса. Проходя несложную процедуру, жертва передавала злоумышленникам контроль над своим счетом и теряла деньги.

— Важно понимать, что мошенники научились обходить модерацию рекламных сообщений в социальных сетях и транслируют ссылки на фальшивые сайты прямо в ленту, — заявили в пресс-службе банка.

В УБРиР не назвали число пострадавших и не обозначили общую сумму ущерба. Однако отметили, что предостерегают своих клиентов, рассказывая об этой схеме в своих официальных сообществах, в уведомлениях и при входе в мобильное приложение.

— Банк отслеживает появление фальшивых сообществ и оперативно удаляет их в сотрудничестве с администрациями социальных сетей, аналогичная работа ведется с надзорными органами по блокировке поддельных сайтов, — сообщили в банке.

«Известиям» удалось найти как минимум двух клиентов УБРиР, которые попались на уловку мошенников. Один из них утверждает, что злоумышленникам не удалось похитить его деньги, поскольку счет был пуст. А другой отказался называть сумму украденных средств. Оба человека обратились в банк с жалобой на случившееся. В комментариях под постами официальных сообществ УБРиР люди также жалуются на инциденты.

Не за горами

Информацию об атаках подтверждают эксперты по информационной безопасности. Ведущий аналитик отдела выявления цифровых угроз Infosecurity Александр Вураско говорит, что УБРиР — не единственная финансовая организация, которая в последние месяцы столкнулась с подобного рода аферами. В частности, во второй половине 2021 года компания обнаружила массу ресурсов, предлагавших пиццу и суши от имени Альфа-банка и Почта Банка.

— В течение осени мы зафиксировали более 70 подобных ресурсов. Но в декабре сайты, нацеленные на клиентов УБРиР, действительно били все рекорды, — говорит Вураско.

В Альфа-банке не стали отрицать наличия фишинговых сайтов, ссылки на которые распространяются в соцсетях, но отметили, что к ним по проблеме вредоносных ссылок в рекламных постах клиенты не обращались. В компании связывают это с тем, что она регулярно рекомендует клиентам внимательно смотреть на адрес страницы, на которые они приходят из соцсетей.

Во «ВКонтакте» — одной из соцсетей, где распространялись рекламные посты со ссылками на мошеннические сайты, — тоже не стали отрицать проблему.

— Команда модерации «ВКонтакте» оперативно выявляет и блокирует такие рекламные посты, — сообщили в пресс-службе компании. — К сожалению, мошенники продолжают создавать новые схемы для обмана. Поэтому пользователям важно быть осторожными и внимательными и соблюдать базовые правила безопасности в сети.

Представители соцсети «Одноклассники» высказались аналогичным образом.

— В случае с Уральским банком реконструкции и развития благодаря взаимодействию с официальным представительством банка мы оперативно заблокировали все подозрительные группы, и мошеннический контент не получил большого распространения в соцсети, — добавили там.

В Почта Банке на момент публикации на запрос «Известий» не ответили. Редакция также направила запрос в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России.

Опасное турне

Эксперты по информационной безопасности не исключают, что атаки на региональные банки могут стать трендом. Александр Вураско отметил, что обсуждаемая мошенническая схема легко адаптируется под любой банк. А в региональных финансовых организациях злоумышленников подкупает то, что они, как правило, менее внимательно отслеживают фишинг.

Руководитель направления Solar webProxy компании «Ростелеком-Солар» Петр Куценко тоже считает, что мошенники могут легко настроить свою схему под любую другую организацию. А в регионах проводить фишинговые атаки проще.

— Уровень киберграмотности населения там, как правило, ниже. Кроме того, жители регионов менее склонны жаловаться на рекламные объявления, обращаться в правоохранительные органы или в клиентскую поддержку банка, от лица которого совершается фишинговая атака. Это позволяет схеме дольше существовать и приносить плоды злоумышленникам, — добавил эксперт.

В УБРиР отметили, что борьбу с фишингом затрудняет отсутствие в России единого государственного органа, ответственного за удаление мошеннических интернет-сайтов, и единой правоприменительной практики.

В свою очередь, руководитель проектов Координационного центра доменов РФ Евгений Панков отмечает, что с 2012 года эта общественно-государственная организация внедрила практику взаимодействия со структурами, компетентными в определении нарушений в сети интернет. В их число входит ряд компаний, специализирующихся на кибербезопасности, а также государственных структур вроде Роскомнадзора, Банка России, Национального координационного центра по компьютерным инцидентам. Они уполномочены затребовать от регистраторов доменов прекращения работы того или иного сайта в случае выявления в его работе ряда нарушений. Одним из них является фишинг.

— Для проверки домена на наличие фишинга нужно обращаться в одну из компетентных организаций, указанных на сайте «Доменного патруля». Если нарушение подтверждается, запрос регистратору на прекращение делегирования направляется незамедлительно, — говорит Панков.

Также он отметил, что работа адресов фишинговых сайтов УБРиР, обнаруженных специалистами Infosecurity в декабре, на данный момент остановлена.

Роман Кильдюшкин