«Неверный муж» и «бесплатный рояль»: спам-креатив мошенников в 2024 году

Изображение: Freepik.com

Интернет-мошенники, заманивающие своих жертв на фишинговые сайты с помощью почтового спама, придумали в 2024 году ряд новых сценариев обмана и модернизировали старые. Эксперты Future Crew, блока инноваций МТС, проанализировали иностранные публикации на эту тему и рассказали в своем блоге о самых оригинальных и убедительных схемах, реализуемых злоумышленниками через e-mail-рассылки.

На измене

Аферисты под видом сотрудников компании по кибербезопасности огорошивали жертву новостью о неверности ее второй половинки; доказательства, по словам мошенников, содержались во взломанном хакерами компьютере нечестного партнера. Деталь, добавлявшая правдоподобия легенде: преступники использовали в тексте письма личную информацию обоих супругов, упоминали клички питомцев, девичьи фамилии, редко употребляемые элементы полного имени.  

Мошенники предлагали жертве доступ к якобы сделанной ими резервной копии жесткого диска «изменщика» со всеми его файлами, информацией из адресной книги, историей посещения сайтов, данными соцсетей и приложений для знакомств – для этого надо было перейти по ссылке из письма. По информации людей, столкнувшихся с этой схемой, сайт, на который вела ссылка, требовал ввести учетные данные или даже пытался загрузить на их гаджеты вредоносные программы.

Многие жертвы фишинговой атаки уверяют, что делились встречавшейся в письме мошенников информацией только на сайте по планированию свадеб The Knot. Но там не сообщали о каких-либо утечках информации, следует из материала, на который ссылаются эксперты Future Crew. 

ИИ против ютуберов

Мошенники не в первый раз пытаются заинтересовать видеоблогеров письмами якобы от потенциальных спонсоров, но теперь подняли эту схему на новый качественный уровень: такие послания рассылались в прошлом году от имени крупных брендов, выглядели очень профессионально, были напечатаны без ошибок, содержали расценки в зависимости от раскрученности YouTube-канала и ссылку на легитимный ресурс – облачное хранилище OneDrive. 

На деле слишком любопытный и доверчивый блогер попадал по ссылке и паролю в ZIP-архив с зараженными файлами. Запустив с их помощью вредоносную программу на устройстве жертвы, аферисты могли получить к нему удаленный доступ и похищать конфиденциальные данные.

Подобным атакам подверглись более 200 тыс. создателей видеоконтента.

По мнению Future Crew, качественный уровень таких писем, их аккуратность и убедительность могут быть результатом применения мошенниками инструментов искусственного интеллекта.

Кому рояль? 

Схема, когда что-то ценное предлагается бесплатно с условием покрытия расходов на пересылку, отнюдь не нова, но очередная ее версия, реализованная в прошлом году сетевыми жуликами и нацеленная на американских студентов и преподавателей, заслуживает, по мнению Future Crew, приза за оригинальность в связи с необычностью приманки. 

В письме, разосланном от имени университетского работника, сообщалось, что его коллега готов отдать в хорошие руки кабинетный рояль Yamaha своего покойного отца. Заинтересованных лиц просили связаться с этим вторым профессором напрямую со своего адреса, а ответ им приходил от перевозочной компании. В правдоподобно выглядевшем письме с указанием габаритов рояля и расценок за доставку (существенных, но в 15 раз ниже рыночной стоимости инструмента) говорилось, что он достанется тому, кто первым произведет оплату, поэтому желающим надо поторопиться.

В общей сложности было распространено более 125 тыс. писем. В единственном биткоин-кошельке, который компания Proofpoint, вскрывшая схему, смогла обнаружить в привязке к ней, было более 900 тыс. долларов, правда, неизвестно, все ли эти деньги поступили «за рояль».

Письмо от eBay

Еще одна кампания, о которой СМИ узнали в 2024 году и которая на самом деле была запущена гораздо раньше, известна как SubdoMailing. Это название обыгрывает слова «субдомен» и «мейл»: речь идет о рассылке мошеннического спама с похищенных хакерами легальных, но заброшенных доменов и субдоменов.

Схема, позволяющая рассылать до 5 млн писем в день, охватывает 8 тыс. легальных доменов и 13 тыс. субдоменов; в числе скомпрометированных крупных брендов – MSN, VMware, McAfee, The Economist, CBS, NYC.gov, PWC, Unicef, Symantec, Java.net, Marvel, eBay. Ставка делается на то, чтобы усыпить известным именем бдительность не только адресатов, но и спам-фильтров.

Кликая на кнопку в письме, получатель путем серии переадресаций оказывался на одном из фишинговых сайтов.

Вам назначено

Эксперты по кибербезопасности также предупреждают, что для обхода почтовых фильтров злоумышленники встраивают фишинговые ссылки в приглашения на онлайн-встречу через сервис Google Calendar. Часто такие приглашение присылаются сразу на несколько адресов: чем больше знакомых имен видит потенциальная жертва среди участников встречи, тем меньше у нее подозрений. 

В материале портала BeepingComputer на эту тему говорится, что схема не новая, но продолжает применяться онлайн-аферистами; в заметке приводятся скриншоты таких посланий, отправленных в декабре 2024 года, и сообщается, что подобным атакам подверглись 300 компаний, за четыре недели было разослано более 4 тыс. сообщений. У Google есть опции для их более легкой блокировки пользователями, но если корпоративный администратор пакета Google Workspace не санкционирует применение таких настроек, приглашения от злоумышленников будут по-прежнему автоматически заноситься в календарь.

Товарищ, бди!

Эксперты указывают, что, по прогнозам Google, мошенники в 2025 году будут еще активнее применять ИИ для изощренного фишинга, в том числе голосового, и других схем социальной инженерии. Future Crew советует скрупулезно проверять адреса, с которых приходят сообщения в электронную почту, в идеале вообще не переходить по ссылкам и пользоваться решениями для защиты гаджетов от вредоносных файлов.