Именем техподдержки: мошенники стали атаковать клиентов сотовых операторов
Против потенциальных жертв используют звонки и поддельные сайты
by Дмитрий Булгаков · ИзвестияМошенники начали использовать ложные ресурсы «техподдержки» для атак на клиентов операторов связи, об этом предупредили эксперты. Причем злоумышленники пускают в ход не только звонки потенциальным жертвам, но также применяют схемы с поддельными сайтами «операторов связи». Подробности, почему клиенты сотовых операторов стали мишенью для мошенников и какие сценарии используют аферисты, читайте в материале «Известий».
Новая угроза
О том, что мошенники начали использовать ложные ресурсы «техподдержки» для атак на россиян, пользующихся услугами операторов сотовой связи, предупредили аналитики компании Angara Security. Анализ 600 тематических доменов показал, что потенциальным жертвам не только звонят, но и пытаются заманивать их на поддельные сайты «операторов связи».
На этих ресурсах якобы можно продлить номер телефона на срок от одного года до 10 лет, а то и вовсе сделать его бессрочным. При этом, когда клиент вводит свои данные на таком фальшивом ресурсе, его сразу же просят подтвердить сведения через портал «Госуслуги», на самом же деле это уловка для их похищения.
Для того чтобы обман работал более эффективно, мошенники используют актуальные ссылки на «политики конфиденциальности», опубликованные на официальных ресурсах операторов сотовой связи, а также их фирменный стиль и логотип портала «Госуслуги». Специалисты Angara Security отметили, что домены, в которых фигурируют названия сотовых операторов, быстро выявляют сотрудники служб безопасности.
Поэтому мошенники стараются не использовать эти названия в адресах нелегитимных онлайн-ресурсов, и именно это является одним из признаков мошеннической площадки. Другой не менее важный признак — это .html-расширение, фигурирующее в названии страниц. Оно указывает на IT-разработку низкого уровня, которая не свойственна крупным компаниям.
Привлекательные цели
Схемы мошенничества, основанные на тематике сотовой связи, очень актуальны, поскольку услугами сотовых операторов пользуются практически все, говорит в беседе с «Известиями» руководитель исследовательской группы Positive Technologies Ирина Зиновкина. Кроме того, пользователями являются как дети и подростки, так и пожилые люди, которые представляют особый интерес для мошенников.
— Сотовые операторы, как и многие другие организации, при подключении абонентов собирают определенную персональную информацию, — отмечает менеджер по GR и нормативно-правовому регулированию компании «Код безопасности» Александра Спасова. — Пользователи об этом знают, поэтому не будут удивляться, если позвонит «представитель» сотового оператора и захочет что-то уточнить.
Кроме того, по словам эксперта, очень многие абоненты не помнят, какую именно информацию они предоставляли своему оператору, особенно если давно пользуются его услугами, и их можно спрашивать о чем угодно, как минимум об их паспортных данных и адресе регистрации. Доступ к персональным данным — это самое главное для злоумышленников, соглашается младший аналитик-исследователь угроз кибербезопасности R-Vision Руслан Бисенгалиев. При этом сотовые данные в этом плане особенно интересны, ведь банки рассылают одноразовые коды в SMS для подтверждения платежей, а номера телефонов привязаны к «Госуслугам» и многим другим критичным сервисам. Подобраться к этим данным мошенникам и помогает прикрытие техподдержкой.
— Злоумышленники представляются сотрудниками техподдержки, поскольку именно последние в легитимных процессах чаще остальных общаются с пользователями, — отмечает Ирина Зиновкина.
В то же время, по словам Александры Спасовой, именно мнимые сотрудники техподдержки могут назвать любую причину звонка, например обновление системы или уточнение данных, и это будет звучать убедительно. Кроме того, если мошенники сошлются на какие-то параграфы контракта, это также не вызовет подозрений: контракты редко кто читает и уж тем более не помнит всех их условий.
Алгоритмы обмана
По словам Ирины Зиновкиной, мошенники, действующие от имени техподдержки мобильных операторов, в первую очередь предлагают «услуги» по продлению номера или договора. Кроме того, злоумышленники могут использовать легенду о якобы просроченной сим-карте. Руслан Бисенгалиев в качестве примера приводит реальную схему, зафиксированную командой R-Vision в минувшем феврале. В рамках этой схемы мошенники под видом сотрудников одного из операторов сотовой связи пытались получить доступ к личным кабинетам россиян на «Госуслугах» при помощи социальной инженерии.
— Для своей схемы злоумышленники использовали номера телефонов из баз персональных данных, которые утекли в Сеть, — рассказывает собеседник «Известий». — Преступник представлялся сотрудником компании, а также сообщал детальную информацию о состоянии счета, чтобы подтвердить свой «статус» в глазах потенциальной жертвы.
Как отмечает эксперт, данные о счете, тарифе и персональную информацию хакер получал из взломанного личного кабинета жертвы. После этого киберпреступник сообщал, что договор с оператором связи якобы подходит к концу и его необходимо продлить в приложении сотового оператора, куда он должен был отправить уведомление. А когда потенциальная жертва не получала никакого уведомления, злоумышленник предлагал ей в качестве альтернативы подписать договор на «Госуслугах». В этот момент жертве приходило SMS-сообщение с подтверждением о сбросе пароля. И если она называла код из SMS, то теряла доступ к личному кабинету на «Госуслугах».
— Выдавая себя за представителей сотовых операторов, мошенники могут войти в доверие к жертве и заполучить конфиденциальные данные, которые могут быть использованы для кражи денежных средств с банковских счетов, оформления кредита, продажи на теневых форумах и использования в других преступных схемах, — подчеркивает ведущий специалист департамента Digital Risk Protection компании F.A.C.C.T. Евгений Егоров.
Механизмы защиты
Чтобы защититься от мошенников, которые прикидываются сотрудниками техподдержки сотовых операторов, специалисты, опрошенные «Известиями», советуют соблюдать определенные правила безопасности. В частности, Ирина Зиновкина рекомендует придерживаться принципа «нулевого доверия» — не переходить по ссылкам от незнакомых отправителей и не передавать свои конфиденциальные данные. Это считается базовыми правилами кибергигиены.
— Ключевое правило — не решать по телефону проблемы, для которых требуется передать код из SMS, — говорит Руслан Бисенгалиев. — От такой практики взаимодействия с клиентами отказалось большинство компаний, причем не только из сферы телекома.
Поэтому, если вам позвонили и пытаются выудить какую-либо информацию, которая считается секретной, то передавать свои данные категорически нельзя. Любого собеседника, который хочет узнать конфиденциальные данные, необходимо поблагодарить за сведения и повесить трубку, после чего перезвонить своему оператору лично, чтобы уточнить, действительно ли есть какие-то проблемы, советует Александра Спасова.
Кроме того, стоит помнить, что авторизоваться можно лишь в официальных приложениях сотовых операторов и не стоит переходить на сайты по ссылкам, которые вам отправили в личных сообщениях. Чтобы проверить подлинность того или иного ресурса, можно зайти на официальный сайт организации и перейти в их приложение там.
— Рекомендуется проверять доменное имя и дату регистрации подозрительного ресурса, поскольку очень часто злоумышленники регистрируют созвучные с популярными брендами домены, — заключает Евгений Егоров. — Whois-сервисы покажут, как давно был зарегистрирован конкретный домен. Насторожить должен «возраст» сайта от одного до нескольких месяцев.