Фишинговая атака в WhatsApp
По сообщению компании ESET, ее специалисты раскрыли детали фишинговой атаки с использованием WhatsApp. Мошенники подписывают пользователей на платный сервис стоимостью 50 долл. в месяц, используя в качестве приманки товары известных брендов «в подарок».
Потенциальная жертва получает в WhatsApp сообщение от пользователя из списка контактов о «бесплатных кроссовках в подарок в честь юбилея adidas». Adidas – распространенная, но не единственная приманка в этой кампании, мошенники использовали и другие бренды.
Сообщение содержит ссылку «на страницу акции», в которой буква i заменена омоглифом – похожим знаком (i без точки) с другим значением. Благодаря этому ссылка выглядит легитимной, хотя таковой не является. Использование омоглифа можно заметить, если внимательно рассмотреть ссылку.
Эксперты отмечают, что похожие фишинговые атаки наблюдались и раньше, однако эта схема привлекла внимание специалистов благодаря своей четкой структуре и техническим решениям – например, переадресации на основе данных геолокации.
Когда пользователь переходит по ссылке из WhatsApp, проводится проверка ориентации окна и ширины экрана – это позволяет убедиться, что фишинговый сайт открыт со смартфона (если используется другое устройство, пользователь будет перенаправлен на страницу 404). Если жертва использует смартфон, фишинговый сайт получает данные геолокации. Далее проводится переадресация в зависимости от страны пользователя. В ESET обнаружили «свои» ссылки для Норвегии, Швеции, Пакистана, Нигерии, Кении, Макао, США, Нидерландов, Бельгии и Индии. Если жертва из какой-либо другой страны, атака на этом завершается.
На следующем этапе пользователю предлагается ответить на четыре вопроса анкеты. Вне зависимости от ответов, он увидит сообщение о том, что «прошел квалификационный отбор». Теперь для «получения подарка» достаточно поделиться сообщением с друзьями на WhatsApp. Пользователь может отправить фишинговую ссылку по списку контактов или имитировать рассылку, в любом случае он перейдет на следующую страницу. Далее он увидит еще несколько вопросов и кнопку для публикации «акции» на Facebook. Пройдя этот этап, он может «отправить заявку на приз» всего за один доллар.
На последней странице пользователь вводит платежные данные. На самом деле вместо «заявки» он оформит подписку на триальную версию премиум-сервиса. Если не отменить подписку в течение семи дней, полная стоимость услуги – 49,99 долл. в месяц – будет списана с банковской карты.
Компания ESET рекомендует тем, кто получает подобные «спецпредложения» в мессенджере, соцсети или по электронной почте, прежде всего спросить отправителей, действительно ли они их посылали. Рассылка может быть выполнена вредоносной программой без ведома пользователя. Стоит также перейти на настоящий сайт компании, название которой фигурирует в рассылке: если предложение отсутствует на сайте, компания не имеет к нему отношения, а инициаторы рассылки – мошенники. Можно попробовать найти информацию о предложении на сторонних сайтах, с большой долей вероятности там обнаружатся отзывы обманутых пользователей. И разумеется, сомнительные рассылки безопаснее удалять или игнорировать.