CICADA8, разработчик продуктов и сервисов для управления уязвимостями и цифровыми угрозами в реальном времени, оказал содействие Фонду поддержки пострадавших от преступлений в выявлении и блокировке мошеннических ресурсов, которые действовали от имени организации. Специалисты обнаружили и инициировали блокировку мошеннических сайтов, собирающих персональные данные граждан.
Фонд поддержки пострадавших от преступлений — некоммерческая организация, которая на протяжении 20 лет оказывает бесплатную юридическую помощь жертвам преступлений, а также занимается законотворческой и просветительской работой в сфере общественной безопасности.
В фонд обратились шесть человек, пострадавших от действий недобросовестных брокеров. Они сообщили о звонках от неизвестных, представившихся сотрудниками НКО и предложивших помощь в возврате средств. Для этого им нужно было заполнить форму обратной связи на сайтах, внешне и содержательно похожих на официальный ресурс фонда: были указаны корректные ИНН, КПП, адрес организации, а также прикреплена настоящая выписка из ЕГРЮЛ. Отличался лишь номер телефона.
Злоумышленники поддерживали легенду, что пострадавшим должны перезвонить специалисты и дать бесплатную консультацию. Для этого нужно было указать ФИО, оставить номер телефона и описать проблему. Не дождавшись ответа, жертвы самостоятельно находили официальный сайт фонда и обращались напрямую, что привело к раскрытию схемы.
Представители фонда начали самостоятельную работу по блокировке ресурсов. Они направили обращение хостинг-провайдеру, а также инициировали поиск профильных экспертов в области кибербезопасности, готовых оказать помощь pro bono. По рекомендации коллег организация обратилась в CICADA8.
В ходе анализа случившегося было выявлено шесть идентичных мошеннических сайтов, предназначенных для первичного сбора персональных данных потенциальных жертв. В дальнейшем эти данные могли использоваться злоумышленниками для реализации более сложных сценариев мошенничества.
Эксперты также установили, что с высокой вероятностью все ресурсы были зарегистрированы одними и теми же лицами. На это указывали сходные методы регистрации и использование посреднических сервисов, таких как Cloudflare, скрывающих реальные IP-адреса.
Для пресечения развития преступной схемы специалисты CICADA8 настроили мониторинг появления аналогичных ресурсов с использованием совпадающих элементов дизайна и контента. Уже выявленные сайты были добавлены на платформу CICADA8 ETM для последующей блокировки. В результате четыре мошеннических ресурса заблокированы на уровне хостинг-провайдеров, еще два, выявленные к 22 апреля, находятся в процессе блокировки, но уже недоступны на территории России.
«Мы предупредили всех обратившихся, что они вновь стали целью мошенников. Наша команда подробно разъяснила алгоритм действий в таких случаях и рекомендовала обратиться в правоохранительные органы. Кроме того, на официальных каналах Фонда мы оперативно разместили информацию о том, что от имени организации действуют мошенники. Мы еще раз напомнили, что наши специалисты не выходят к пострадавшим первыми, а все услуги оказываются бесплатно», — прокомментировал Матвей Гончаров, исполнительный директор Фонда поддержки пострадавших от преступлений.
«К сожалению, полностью обезопаситься от появления мошеннических ресурсов невозможно, как и пресечь такие схемы на корню – мы до сих пор обнаруживаем появление новых мошеннических сайтов, действующих от имени Фонда поддержки пострадавших от преступлений, и блокируем их. Поэтому важно ориентироваться только на официальные источники и обязательно проверять сайты, включая URL-адреса. Сейчас мы фиксируем значительное количество схожих атак на разные организации. Например, до сих пор наблюдаются схемы, в которых злоумышленники предлагают “помощь пострадавшим от киберпреступлений” от имени международных структур, например, Интерпола», — прокомментировал Умар Гебенов, главный эксперт направления Brand Protection CICADA8.
Справка:
CICADA8 – компания по управлению уязвимостями и цифровыми угрозами в реальном времени. Направления компании включают продукты и услуги по наступательной безопасности, анализу защищенности, расследованию инцидентов, анализу компрометации инфраструктуры и консалтингу.