Angara Security о мошенничестве с сайтами «техподдержки»
По сообщению компании Angara Security, киберпреступники используют ложные ресурсы «техподдержки» для атак на клиентов операторов связи. Аналитики изучили более 600 доменов, связанных с онлайн-ресурсами технической поддержки, которые были зарегистрированы в 2023–2024 гг. Наряду со звонками в адрес пользователей телеком-операторов злоумышленники также эксплуатируют схему с сайтами «операторов связи», на которых якобы можно продлить номер телефона на год, 5 лет, 10 лет или сделать номер бессрочным.
Конечная цель таких ресурсов – получение учетных записей «Госуслуг». После ввода необходимых данных злоумышленники просят подтвердить данные через портал. Пользователей могут вводить в заблуждение актуальные ссылки на «Политики конфиденциальности», опубликованные на официальных ресурсах провайдеров, а также логотипы компаний и портала государственных услуг.
Как отмечают эксперты Angara Security, домены, в которых фигурируют наименования операторов связи, быстро выявляются сотрудниками служб безопасности, поэтому мошенники избегают их упоминания в адресе нелегитимного онлайн-ресурса. Это один из признаков мошеннической площадки. Второй признак – в названии страниц фигурирует .html расширение, что говорит о низкоуровневой ИТ-разработке, не свойственной крупным компаниям.
Помимо операторов связи, злоумышленники также используют фейковые ресурсы техподдержки Telegram и Facebook (принадлежит Meta, признанной экстремистской организацией в России), а также сервисных порталов онлайн-казино, банков, ритейлеров, криптобирж для получения доступа к учетным записям.
Основными источниками распространения таких сообщений являются фишинговые сообщения, которые распространяются от имени брендов по электронной почте, в push-сообщениях непроверенных приложений, которые можно случайно скачать в Google Play и других сторах. Злоумышленники также могут использовать рассылки в мессенджерах, механику «отравления» поисковой выдачи, чтобы поднять вредоносный сайт в результатах поиска, а также малвертайзинг, или рассылку рекламных сообщений.
Ряд выявленных доменов заблокирован в результате действий специалистов Threat Intelligence. О незаблокированных онлайн-ресурсах специалисты Angara Security сообщили компаниям, бренды которых эксплуатируют мошенники.