Эксперты Group-IB предупредили о появлении новой схемы мошенничества на фоне популярности сервиса Zoom. Она позволяет злоумышленникам заманивать пользователей на мошеннические сайты под предлогом выплаты «коронавирусной» компенсации и похищать деньги с их карт
Злоумышленники начали применять новую мошенническую схему с использованием бренда сервиса Zoom, ставшего особенно популярным после начала пандемии, сообщила Forbes компания Group-IB, которая занимается вопросами кибербезопасности. По ее данным, при помощи этой схемы пользователей заманивают на мошеннические сайты и похищают средства с их карт.
Созданный компаний центр реагирования CERT-GIB провел исследование по жалобе пользователей на мошеннические письма, поступившие от сервиса Zoom, в которых им предлагалась компенсация «в связи с COVID-19». Ссылка в письмах вела на мошеннические сайты, где пользователям предлагалось для получения компенсации в размере от 35 000 до 250 000 рублей оплатить около 1000 рублей «за юридическую помощь в заполнении анкеты». При заполнении анкеты пользователи вводили данные банковской карты, в том числе CVV-код, и лишались денег.
Аналитики CERT-GIB установили, что письма присылались не с фейкового домена, а официально от сервиса. Это стало возможным в связи с тем, что анкета Zoom для регистрации имеет поля для ввода имени и фамилии с возможностью забить туда до 64 знаков. Мошенники вводят в это поле надпись «Вам положена компенсация в связи с COVID-19» с указанием ссылки на мошеннический сайт.
Сама рассылка мошеннических сообщений также происходит с использованием возможностей Zoom. Сервис после регистрации предлагает новому клиенту пригласить до десяти новых пользователей, указав их e-mail. В результате по этим адресам приходит официальные уведомления от имени сервиса видеоконференций, но с содержанием, созданным интернет-аферистами.
«Так как письмо отправлено с официального сервиса, злоумышленники не только получают гарантию доставки писем до адресатов, но и то, что часть обманутых пользователей кликнут на ссылку, указанную в профиле и перейдут на мошеннический сайт», — отметил замглавы CERT-GIB Ярослав Каргалев. Он порекомендовал сервису более тщательно проверять данные, которые вводит пользователь при регистрации аккаунта, а также полностью запретить использование сторонних ссылок в профиле.
С начала 2020 года CERT-GIB зафиксировал появление около 15 300 доменов, содержащих название Zoom. Всплеск регистрации пришелся на период дистанционной работы. В апреле аналитики центра предупредили, что на схожих доменных именах могут размещаться фишинговые страницы, использующиеся для кражи персональной информации. По данным CERT-GIB, тогда в даркнете появились объявления о продаже учетных записей 4000 аккаунтов пользователей Zoom.
Напомним, что
Сервис видеоконференций Zoom помогает бизнесу продолжать работать, а школьникам — учиться в условиях распространения карантина по миру. Компания разработала план работы в условиях бедствий еще в прошлом году, когда выходила на IPO. С тех пор ее акции подорожали на 125%, а сервис стал одним из самых востребованных инструментов для удаленной работы.
Злоумышленники начали применять новую мошенническую схему с использованием бренда сервиса Zoom, ставшего особенно популярным после начала пандемии, сообщила Forbes компания Group-IB, которая занимается вопросами кибербезопасности. По ее данным, при помощи этой схемы пользователей заманивают на мошеннические сайты и похищают средства с их карт.
Созданный компаний центр реагирования CERT-GIB провел исследование по жалобе пользователей на мошеннические письма, поступившие от сервиса Zoom, в которых им предлагалась компенсация «в связи с COVID-19». Ссылка в письмах вела на мошеннические сайты, где пользователям предлагалось для получения компенсации в размере от 35 000 до 250 000 рублей оплатить около 1000 рублей «за юридическую помощь в заполнении анкеты». При заполнении анкеты пользователи вводили данные банковской карты, в том числе CVV-код, и лишались денег.
Аналитики CERT-GIB установили, что письма присылались не с фейкового домена, а официально от сервиса. Это стало возможным в связи с тем, что анкета Zoom для регистрации имеет поля для ввода имени и фамилии с возможностью забить туда до 64 знаков. Мошенники вводят в это поле надпись «Вам положена компенсация в связи с COVID-19» с указанием ссылки на мошеннический сайт.
Сама рассылка мошеннических сообщений также происходит с использованием возможностей Zoom. Сервис после регистрации предлагает новому клиенту пригласить до десяти новых пользователей, указав их e-mail. В результате по этим адресам приходит официальные уведомления от имени сервиса видеоконференций, но с содержанием, созданным интернет-аферистами.
«Так как письмо отправлено с официального сервиса, злоумышленники не только получают гарантию доставки писем до адресатов, но и то, что часть обманутых пользователей кликнут на ссылку, указанную в профиле и перейдут на мошеннический сайт», — отметил замглавы CERT-GIB Ярослав Каргалев. Он порекомендовал сервису более тщательно проверять данные, которые вводит пользователь при регистрации аккаунта, а также полностью запретить использование сторонних ссылок в профиле.
С начала 2020 года CERT-GIB зафиксировал появление около 15 300 доменов, содержащих название Zoom. Всплеск регистрации пришелся на период дистанционной работы. В апреле аналитики центра предупредили, что на схожих доменных именах могут размещаться фишинговые страницы, использующиеся для кражи персональной информации. По данным CERT-GIB, тогда в даркнете появились объявления о продаже учетных записей 4000 аккаунтов пользователей Zoom.
Напомним, что
Сервис видеоконференций Zoom помогает бизнесу продолжать работать, а школьникам — учиться в условиях распространения карантина по миру. Компания разработала план работы в условиях бедствий еще в прошлом году, когда выходила на IPO. С тех пор ее акции подорожали на 125%, а сервис стал одним из самых востребованных инструментов для удаленной работы.
