Мошенники создали новую схему обмана с фотографиями в Telegram. Теперь жертве достаточно просто кликнуть на снимок, присланный незнакомцем, и с ее счета спишутся деньги. На самом деле, объясняют эксперты, под видом файла прячется вредоносный скрипт, который опасно загружать на телефон. «Известия» выяснили, как работает уловка и как защититься от нее.
Схема с картинкой
Мошенники научились красть деньги у россиян с помощью обычных картинок в Telegram. Об этом сообщает Telegram-канал Baza.
По данным канала, от действий хакеров в начале ноября пострадал москвич Александр. Ему прислали сообщение с фотографией и вопросом, он ли там изображен. Мужчина из любопытства открыл картинку.
По словам Александра, после этого чат с неизвестным собеседником исчез. А через 20 минут ему позвонили из банка с просьбой подтвердить перевод с дебетовой карты. Денег россиянин никому не отправлял, поэтому решил сразу заблокировать карту.
Когда мужчина зашел в личный кабинет, то увидел, что в момент открытия картинки у него украли 22 тыс. рублей. При этом, уверяет Александр, никаких СМС с кодом ему не приходило. Москвич обратился с заявлением в полицию.
Старый сценарий
Как объясняет «Известиям» руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников, подобный метод скама известен достаточно давно, и его обычно использовали при посещении веб-сайтов.
— Собственно, нечто подобное применялось при недобросовестной рекламе, когда в картинку зашивалась ссылка. Для пользователя на веб-странице это сделать просто: человек думает, что нажимает на картинку, а фактически жмет на ссылку и переходит на сайт, где уже в форме на странице может быть заполнен платеж и его отправка. Нечто подобное можно попробовать провернуть в мессенджерах, однако тут всё упирается в их функциональные возможности, — рассказывает Овчинников.
Мужчина работает с ноутбукомФото: ИЗВЕСТИЯ/Эдуард Корниенко
В случае если мессенджер имеет богатый потенциал для оформления постов и способен «прятать» ссылку или код за картинкой, это возможно. А если нет — подобную схему не осуществить. Но для начала, отмечает эксперт, следует разобраться, когда вообще возможна оплата без подтверждения со стороны пользователя.
Рискованная оплата
Как поясняет Алексей Овчинников, единственный вариант, когда перевод денег можно осуществить без уведомления плательщика, — если на банковской карте не включена опция 3D-Secure. Тогда платежные данные карты можно применять для проведения операции.
— Похитить эти данные можно, например, из куки-файлов. Но это работает только в случае, если в момент кражи была открыта платежная сессия или платежные данные были где-то сохранены в открытом виде и вирус выцепил их из ПО, например из приложения маркетплейса, — рассказывает эксперт.
Также можно попробовать похитить данные карты из форм автозаполнения в браузере, если пользователь сохранил их для повторных платежей. То есть технически кража данных возможна, но сложноосуществима, так как мошеннику придется тонко настраивать скрипт получения сведений, чтобы он не сломался в процессе выполнения.
— Сломаться он может из-за множества факторов: установленного браузера, типа операционной системы, нетиповых настроек и многого другого, — говорит собеседник «Известий».
Потому, считает он, схема вряд ли получит широкое распространение. Слишком уж много всего должно совпасть: невнимательность жертвы, использование мессенджера в браузере или десктопной версии (на телефонах обычно стоит запрет на установку ПО из недостоверных источников), отсутствие антивируса.
— Потом надо найти платежные данные, быстро открыть в фоновом окне форму отправки перевода или платежа и инициировать его. А затем закрыть окно, чтобы не вызвать подозрений у пользователя. При этом еще должен быть отключен Windows Defender. Получается, намного проще заразить устройство вирусом и дальше уже выкрасть платежные данные, как обычно и делают мошенники, — заключает Овчинников.
По словам эксперта, подобная схема за последние годы появляется впервые — значит, она либо совсем новая, либо пострадавший о чем-то недоговаривает. Возможно, в промежутке между получением картинки и списанием средств было что-то еще, о чем москвич не вспомнил либо не придал внимания происходящим событиям.
Похожие схемы
Как говорит в беседе с «Известиями» ведущий эксперт по сетевым угрозам компании «Код безопасности» Константин Горбунов, в целом мошенники часто прибегают к маскировке вредоносов с помощью картинок. К примеру, в начале осени они под видом южнокорейских организаций рассылали в компании ритейла и логистики письма, в теле которых находился отсканированный документ. Разглядеть, что там написано, не открывая сам документ, было невозможно, однако за картинкой скрывалась ссылка на фишинговый ресурс.
— При нажатии на картинку пользователя перенаправляли на сайт, который имитировал файлообменник от Adobe, где требовалось ввести учетные данные от рабочего почтового аккаунта. Если пользователь следовал указаниям, то его учетка уходила к злоумышленникам, которые получали первичный доступ к ИТ-инфраструктуре организации, — рассказывает Горбунов.
Была зафиксирована и другая схема. Мошенники рассылали якобы объявления о продаже поддержанных авто и прилагали к письму PNG-изображение машины. Однако оно содержало в себе ISO-файл с бэкдором, который устанавливался на ПК потенциальной жертвы при нажатии на картинку.
В России с октября распространяются схемы, где под видом картинок рассылаются вредоносные АРК-файлы. Они обычно отправляются в мессенджерах с названием «фото» и вопросом: «Привет, это ты?» Если открыть такой «снимок», телефон будет заражен, а владелец может потерять личные данные, доступ к учетным записям и деньги.
— При нажатии начинается скачивание некоего файла, который представляет собой вредоносное ПО, способное на самые разные вещи, в том числе на перехват СМС-кодов, — заключает Константин Горбунов.
Способы защиты
По словам экспертов, визуально понять, что вас пытаются заскамить в мессенджере, сложно. В мобильном приложении нет инструментов, которые бы подсвечивали момент перехода по нажатию на картинку — в веб-версии отдельных предупреждений тоже не возникает.
Поэтому, поясняет руководитель Kaspersky GReAT в России Дмитрий Галов, важно обратить внимание на расширение файла. Картинки и фотографии не могут иметь в названии расширения .apk или .exe. Вероятнее всего, за ними скрывается вредоносная программа, которую не стоит загружать.
— Лучший вариант — просто не доверять незнакомым контактам и не открывать непонятные картинки или ссылки, не вступать в разговоры, не состоять в непонятных чатах и группах. Всё это снизит вероятность того, что вы станете целью для мошеннических операций, — добавляет Дмитрий Овчинников.
Также можно проверить настройки приватности в мессенджере (скрыть номер, к которому привязан аккаунт) и банковском приложении — включить опцию 3D-Secure.
— Используйте антивирус на своем рабочем месте и на смартфоне, персональный межсетевой экран для блокировки подключений. Для платежей через интернет можно завести отдельную банковскую карту с минимальным балансом, — рекомендует руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис».
Советы пострадавшим
В случае если у человека уже списали деньги, ведущий эксперт по сетевым угрозам компании «Код безопасности» Константин Горбунов советует сразу обратиться в свой банк, заявить о краже и заблокировать карту. Превентивно можно заблокировать и другие имеющиеся банковские карты — до того момента, как пользователь не убедится в том, что его финансам ничего не угрожает.
— Также в банке необходимо запросить выписку по движению финансовых средств. Она нужна для того, чтобы написать заявление в МВД — в физическом отделении или на сайте. К заявлению при этом нужно добавить максимум улик: скриншоты переписки, реквизиты, куда мошенники перевели украденные деньги, выписку и так далее, — говорит эксперт.
При этом, отмечает Горбунов, добиться возвращения средств будет нелегко. Безоговорочно на это можно рассчитывать в двух случаях. Первый — если счет, куда мошенники перевели деньги, был в специальной базе ЦБ РФ, а банк пользователя не заблокировал транзакцию. Второй — деньги были списаны без ведома пользователя, при этом он в течение суток сообщил о краже финансов в банк и написал заявление на возврат.
— Также необходимо проверить устройство, на котором, предположительно, находится вредоносное ПО. Самый надежный вариант — откатить настройки. Разумеется, могут потеряться важные данные, но это фактически гарантирует, что ВПО исчезнет с устройства. Не лишним будет сменить все пароли в приложениях, в том числе соцсетях и мессенджерах, — заключил собеседник «Известий».