Актуальні фішингові кампанії: як шахраї намагаються дурити українців

Станом на 15 травня 2023 року моніторингова команда ГО «Соціальні інноватори» виявила низку активних фішингових кампаній, що через свою масовість та небезпеку заслуговують на окрему увагу, тож ми хочемо поінформувати читачів SPEKA про них. 

Отримання доступу до персональних даних з використанням фейкових онлайн-магазинів

Останнім часом фіксується суттєве збільшення фішингових кампаній, що використовують тему онлайн-торгівлі у якості «майданчика» для отримання доступу до персональних даних громадян України шляхом створення фейкових онлайн-магазинів або ж клонів реально існуючих, проте, невеликих онлайн-магазинів.

Схема фішингу виглядає наступним чином. Шахраї створюють фейкові онлайн-магазини з обмеженою товарною номенклатурою: як правило, представлено лише один товар, але який «продається» зі знижкою від 40% і більше. У якості додаткового стимулу шахраї використовують повідомлення про обмежену кількість товару або обмежений строк дії знижок. Для оформлення замовлення необхідно надати персональні дані (прізвище, ім'я, по батькові, номер телефону, місто та область перебування тощо).

Далі шахраї використовують таргетовану рекламу у пошукових системах та соціальних мережах за допомогою якої і шукають потенційних жертв.

Типовими рисами таких сайтів є:

Отримання доступу до облікових записів у Telegram

З початку травня онлайн-шахраї почали активно використовувати тематику грошових виплат та ігрових конкурсів з метою отримання доступу до облікових записів у месенджері Telegram.

Так, наприклад, сайт viplata-bot[.]eu, що імітував бот месенджера Telegram, при натисканні на кнопку «Отримати виплату» здійснював переадресацію на клон сторінки веб-авторизації Telegram. У такий спосіб шахраї мали можливість перехопити сесію авторизації та отримати доступ до облікового запису жертви. За аналогічною схемою працюють і сайти, що видають себе за офіційні сайти різноманітних ігрових конкурсів і обіцяють видачу грошової винагороди.

Також у травні за адресою: prytulafoundation[.]in був виявлений сайт, що, використовуючи назву доменного ім'я благодійного фонду Сергія Притули, здійснював клонування сторінки веб-авторизації месенджера Telegram.

Отримання доступу до облікових записів у Facebook

14 травня була виявлена активна фішингова кампанія, що направлена на адміністраторів українських сторінок у соціальній мережі Facebook.

За задумом шахраїв, щойно адміністратор сторінки відкриє такий пост, отримавши повідомлення про те, що хтось тегнув сторінку (або алгоритми мережі видадуть це повідомлення у загальній стрічці, або це повідомлення може з'явитися, якщо самостійно здійснити пошук за назвою сторінки), він перейде за посиланням на клон стартової сторінки Facebook й здійснить там вхід у мережу, надавши шахраям свої логін та пароль.

Наразі шахраї використовують наступні скорочені посилання за допомогою яких маскують основні доменні імена клонів стартової сторінки Facebook:

Самі ж клони доступні за цими адресами:

Про ГО «Соціальні інноватори»

Громадська організація (ГО) «Соціальні інноватори» створена у 2017 році і є неприбутковою організацією, що зосереджена на соціальних інноваціях, захисті персональних даних, свободі інформації та громадянських свободах.

Веб-сайт: https://www.awwwwesome.org

Про фільтр Ukrainian Malicious URL Blocklist

Ukrainian Malicious URL Blocklist — фільтр (список блокувань) фішингових сайтів, які обманом виманюють в українців доступ до облікових записів банківських онлайн систем, реквізити платіжних карток, конфіденційну інформацію та гроші. У фільтр додаються виключно шахрайські вебресурси, які орієнтовані саме на громадян України і які відсутні в інших наявних фільтрах.

Мотивація створення фільтру: зібрати якомога більше достовірних джерел інформації про шахрайські веб-ресурси та зробити список блокувань, сумісний практично з усіма браузерами, розширеннями та іншим програмним забезпеченням фільтрації контенту.

Веб-сайт: https://github.com/braveinnovators/url-blocklist