Интернет-мошенники изобретают все новые способы обмана российских интернет-пользователей. При этом все чаще для реализации своих планов злоумышленники используют социальные сети. Об этом свидетельствуют результаты исследований компании «Доктор Веб». Лидирует по количеству случаев интернет-мошенничества соцсеть «В Контакте».
«Подобный выбор не случаен, – объясняют в пресс-службе производителя антивирусных решений. – Согласно общеизвестной статистике, именно на сайтах социальных сетей присутствует наибольшее число посетителей, не слишком искушенных в тонкостях компьютерных технологий. Именно они и становятся легкой добычей сетевых мошенников».
Антивирусный вендор составил своего рода хит-парад наиболее распространенных случаев мошенничества в социальных сетях за последние месяцы. Как сообщают авторы рейтинга, угрозы в рейтинге ранжированы «в соответствии с оригинальностью их реализации и технического исполнения».
На шестое место компания поставила способ, который, по мнению специалистов, весьма тривиален, но имеет чрезвычайно широкое распространение. Владелец учетной записи получает сообщение от одного из пользователей, находящегося в списке его друзей. «Такое послание обычно не вызывает подозрений, поскольку люди привыкли относиться с некоторой степенью доверия к информации, получаемой от своих знакомых, – отмечают авторы рейтинга. – На момент отсылки такого послания учетная запись отправителя уже взломана, а его логин и пароль находятся в руках злоумышленников». Сообщение обычно содержит ссылку на графический файл, предлагающий посетить сайт нарушителей для установки какого-либо приложения, вроде утилиты, которая позволит отслеживать случайных посетителей на страничке пользователя соцсети.
Тонкость, как отмечают эксперты, заключается в том, что рекламирующее фишинговый сайт изображение находится на одном из серверов внутренней системы файлообмена социальной сети, поэтому при переходе по ссылке пользователю не демонстрируется сообщение о том, что он покидает сайт. Однако стоит владельцу аккаунта проделать ожидаемые от него действия и ввести свои данные в форму авторизации, как они тут же попадают в руки злоумышленников, и уже от его имени начинается рассылка фишинговых сообщений. Часто подобный род мошенничества применяется с помощью функции «Документы».
На пятое место составители рейтинга поставили схему, на которую попадаются поклонники компьютерных игр и любители халявы. Например, в сентябре злоумышленники выбирали себе жертв среди поклонников известной онлайн-игрушки «В могиле». Из числа пользователей они вычисляли наиболее опытных, продвинутых игроков. Им отсылалось личное сообщение с предложением воспользоваться «уязвимостью» данного приложения, позволяющей бесплатно получить игровые предметы, которые в реальной игре можно приобрести только за деньги. Для этого жертве предлагалось загрузить и установить специальное приложение.
Если жертва соглашалась воспользоваться этим предложением, все дальнейшее общение сетевые мошенники переносили в Skype. Выбор этого средства коммуникации неслучаен: трафик Skype не фильтруется в отличие от других протоколов мгновенного обмена сообщениями, таких как ICQ или Jabber. Дальше злоумышленники предлагали жертве скачать и установить приложение, за которым скрывалась троянская программа для кражи паролей.
На четвертом месте – так называемая игра на интерес, когда сетевые мошенники ставят себе цель заинтриговать потенциальную жертву, чтобы заставить выполнить те или иные действия. Все начинается с того, что пользователь получает содержащее ссылку сообщение от одного из друзей. Щелкнув по ней, он перенаправляется на принадлежащий Twitter специальный сервис, предназначенный для сокращения гиперссылок, а оттуда – на встроенное приложение, опубликованное в социальной сети. В процессе такой переадресации пользователь не получает ни одного предупреждения.
«Созданное злоумышленниками приложение демонстрирует значок учетной записи жертвы и пояснение, сообщающее, что в Интернете опубликован видеоролик с его участием, – говорится в сообщении вендора. – Интересная особенность данной мошеннической схемы заключается в том, что на этой же странице выводятся комментарии пользователей из списка друзей жертвы, причем комментарии весьма интригующего содержания: «Вот это да!», «Кто это придумал?» и так далее. Комментарии, естественно, генерируются программой автоматически на основе заданного злоумышленниками шаблона. Там же опубликована ссылка на сам «ролик» – она состоит из имени жертвы и расширения .avi».
По щелчку мышью на предложенной злоумышленниками ссылке происходит перенаправление пользователя на принадлежащий мошенникам сайт, при этом на экране появляется диалоговое окно с предложением указать логин и пароль учетной записи социальной сети. После заполнения указанной формы жертва кибермошенников перенаправляется на сайт поддельной файлообменной сети, требующей перед скачиванием файлов указать номер мобильного телефона и подписывающей таким образом доверчивых пользователей на платные услуги, за предоставление которых с их счета будет регулярно взиматься абонентская плата.
На третьем месте схема, при которой злоумышленники используют для достижения своих целей видеоролики, а точнее, возможность их публикации в социальных сетях. Посетив предварительно взломанный аккаунт, мошенники оставляют сообщение, содержащее специально подготовленный видеоролик. «Данный ролик рекламирует веб-сайт, якобы позволяющий бесплатно отправлять виртуальные подарки другим пользователям социальной сети и получать дополнительные голоса, – рассказывают авторы рейтинга. – Кроме того, на страничке, где опубликована видеозапись, демонстрируется несколько восторженных отзывов других посетителей сайта, якобы успешно воспользовавшихся этим уникальным предложением. Здесь же, как правило, приводится ссылка на созданный жуликами фишинговый сайт».
После ввода логина и пароля пользователь перенаправляется на один из мошеннических сайтов, рекламирующих различные сомнительные услуги, например – «поиск двойника». Здесь потенциальной жертве предлагается найти в базах социальной сети похожих на нее людей, для чего следует указать свой номер телефона и ввести в специальную форму код, присланный в ответном СМС. Таким образом, пользователь соглашается на условия платной подписки, в соответствии с которыми с его счета будет регулярно списываться определенная денежная сумма.
На втором месте способ, в котором также применяются принципы социальной инженерии. Иначе говоря, мошенники снова играют на доверии к знакомым. Злоумышленники отсылают потенциальной жертве от имени одного из друзей сообщение или запись на стене с просьбой проголосовать за него на некоем сайте. По указанной ссылке открывается интернет-ресурс, действительно предлагающий «проголосовать» за выбранного кандидата, щелкнув мышью на его фотографии или кнопке Like. Однако для того чтобы отдать свой голос, необходимо войти на сайт. Формы регистрации и авторизации на сайте отсутствуют, однако посетитель может выполнить «вход» с использованием специальной системы «интеграции» с социальными сетями Twitter, Facebook и «В Контакте».
«Естественно, эта «система интеграции» – поддельная: достаточно указать в соответствующей форме свои логин и пароль, и они будут незамедлительно переданы злоумышленникам», – предупреждают специалисты.
Что же антивирусные эксперты поставили на первое место? Однажды, заглянув на свою страничку в социальной сети «В контакте», пользователь может обнаружить в главном меню сайта новый пункт – «Мои гости». По щелчку мышью на этом пункте меню открывается диалоговое окно, в котором пользователю предлагается указать свой номер мобильного телефона.
На этот номер спустя несколько секунд приходит СМС с предложением отправить код, демонстрируемый на экране компьютера. Затем жертва мошенников получает еще одно СМС с вопросом «Выслать пароль?», на которое предполагается ответ «да», потом поступает третье по счету сообщение, содержащее запрос «Вы принимаете условия сайта?» (еще раз «да»), и, наконец, жертва получает код, который следует ввести в демонстрируемую на экране форму. Выполнив все эти манипуляции, пользователь соглашается с условиями платной подписки, согласно которым с его счета регулярно будет сниматься определенная денежная сумма. С этого момента на страничке в социальной сети «В контакте» будет демонстрироваться информация о якобы посетивших ее пользователях.
«На самом деле администрация «В Контакте» не имеет к этой истории ровным счетом никакого отношения – подобный функционал в настоящее время попросту отсутствует в данной социальной сети, – объясняют в компании «Доктор Веб». – Проведенное расследование показало, что функция «Мои гости» автоматически добавляется в страницу социальной сети «В контакте» после установки специального плагина для браузера Firefox, который можно загрузить с сайта makl.info. Расширение MAKLINFO позволяет скачивать со страниц социальной сети и сохранять на диске музыкальные файлы, однако, помимо этого, плагин обладает скрытым от пользователя функционалом: после установки он загружает с сайта makl.info несущий вредоносный функционал код, написанный на языке JavaScript, и запускает его в окне Firefox. Затем пользователю предлагается ввести данные своей учетной записи в социальной сети».
После этого на страничке пользователя «В контакте» и появляется тот самый заветный пункт меню, заставляющий его расстаться с некоторой суммой. Самое интересное во всей этой истории заключается в том, что перечень посетителей, демонстрируемый созданным мошенниками скриптом, генерируется абсолютно случайным образом на основе данных из списка друзей жертвы. «Иными словами, представляемая на странице «Мои гости» информация не имеет ничего общего с реальностью и является чистой воды надувательством», – объясняют авторы рейтинга.
'%20d='M12%2021.6a9.6%209.6%200%201%200%200-19.2%209.6%209.6%200%200%200%200%2019.2Z'/%3e%3cpath%20fill='url(%23b)'%20d='M11.814%2015.9s1.992-.006%202.676%201.578c.042.102.072.21.078.318.018.222-.138.45-.516.3-.606-.24-1.65-.36-2.238-.36-.588%200-1.626.12-2.238.36-.378.15-.534-.078-.516-.3a.989.989%200%200%201%20.078-.318c.69-1.584%202.676-1.578%202.676-1.578Z'/%3e%3cpath%20fill='url(%23c)'%20d='M8.868%2014.436c.51%200%20.924-.626.924-1.398%200-.772-.414-1.398-.924-1.398s-.924.626-.924%201.398c0%20.772.414%201.398.924%201.398Z'/%3e%3cpath%20fill='url(%23d)'%20d='M8.502%2012.534c.54%200%20.99.552%201.122%201.302.108-.228.168-.504.168-.804%200-.774-.414-1.398-.924-1.398-.444%200-.816.468-.906%201.098a.868.868%200%200%201%20.54-.198Z'/%3e%3cpath%20fill='url(%23e)'%20d='M7.878%209.63c-.828%200-1.536.954-.612%201.098.924.144%202.604.942%203.318%201.494.054.066.264.042.246-.12%200-.624-1.944-2.472-2.952-2.472Z'/%3e%3cpath%20fill='url(%23f)'%20d='M11.814%2016.422s1.62-.006%202.73%201.242a.675.675%200%200%200-.06-.186c-.684-1.584-2.676-1.578-2.676-1.578s-1.992-.006-2.676%201.578c-.024.06-.042.12-.06.186%201.122-1.248%202.742-1.242%202.742-1.242Z'/%3e%3cpath%20fill='url(%23g)'%20d='M15.132%2014.436c.51%200%20.924-.626.924-1.398%200-.772-.414-1.398-.924-1.398s-.924.626-.924%201.398c0%20.772.413%201.398.924%201.398Z'/%3e%3cpath%20fill='url(%23h)'%20d='M15.498%2012.534c-.54%200-.99.552-1.122%201.302a1.886%201.886%200%200%201-.168-.804c0-.774.414-1.398.924-1.398.444%200%20.816.468.906%201.098a.868.868%200%200%200-.54-.198Z'/%3e%3cpath%20fill='url(%23i)'%20d='M16.122%209.63c.828%200%201.536.954.612%201.098-.924.144-2.604.942-3.318%201.494-.054.066-.264.042-.246-.12%200-.624%201.944-2.472%202.952-2.472Z'/%3e%3cdefs%3e%3clinearGradient%20id='d'%20x1='8.877'%20x2='8.877'%20y1='12.064'%20y2='13.315'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%233C2200'/%3e%3cstop%20offset='1'%20stop-color='%23512D00'/%3e%3c/linearGradient%3e%3clinearGradient%20id='e'%20x1='8.83'%20x2='8.83'%20y1='12.955'%20y2='10.055'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%233C2200'/%3e%3cstop%20offset='1'%20stop-color='%23643800'/%3e%3c/linearGradient%3e%3clinearGradient%20id='f'%20x1='11.815'%20x2='11.815'%20y1='15.218'%20y2='16.729'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%233C2200'/%3e%3cstop%20offset='1'%20stop-color='%23512D00'/%3e%3c/linearGradient%3e%3clinearGradient%20id='h'%20x1='15.123'%20x2='15.123'%20y1='12.064'%20y2='13.315'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%233C2200'/%3e%3cstop%20offset='1'%20stop-color='%23512D00'/%3e%3c/linearGradient%3e%3clinearGradient%20id='i'%20x1='15.17'%20x2='15.17'%20y1='12.955'%20y2='10.055'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%233C2200'/%3e%3cstop%20offset='1'%20stop-color='%23643800'/%3e%3c/linearGradient%3e%3cradialGradient%20id='a'%20cx='0'%20cy='0'%20r='1'%20gradientTransform='matrix(8.4154%20-4.79967%203.92104%206.87487%209.836%208.178)'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%23FF9214'/%3e%3cstop%20offset='1'%20stop-color='%23FF4E0D'/%3e%3c/radialGradient%3e%3cradialGradient%20id='b'%20cx='0'%20cy='0'%20r='1'%20gradientTransform='matrix(2.10199%200%200%201.11973%2011.815%2017.023)'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%237A4400'/%3e%3cstop%20offset='1'%20stop-color='%23643800'/%3e%3c/radialGradient%3e%3cradialGradient%20id='c'%20cx='0'%20cy='0'%20r='1'%20gradientTransform='matrix(.3772%201.3029%20-.84296%20.24404%208.585%2013.07)'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%237A4400'/%3e%3cstop%20offset='1'%20stop-color='%23643800'/%3e%3c/radialGradient%3e%3cradialGradient%20id='g'%20cx='0'%20cy='0'%20r='1'%20gradientTransform='matrix(-.3772%201.3029%20-.84296%20-.24404%2015.441%2013.047)'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%237A4400'/%3e%3cstop%20offset='1'%20stop-color='%23643800'/%3e%3c/radialGradient%3e%3c/defs%3e%3c/svg%3e)
