Мошенники в преддверии «черной пятницы» сменили подход к обману доверчивых покупателей — вместо фейковых маркетплейсов теперь под видом «купонов на скидку» и «спецпредложений» распространяются вредоносные приложения и файлы с троянами. Они предлагают установить программу и получают доступ к банковским данным, документам, фотографиям и контактам. По словам экспертов, по числу эти атаки будут сопоставимы с количеством мошеннических сайтов.
Как вместо скидок покупателям предлагают вредоносные файлы
В преддверии осенних распродаж самым распространенным видом онлайн-мошенничества остается фишинг — но сегодня он приобретает новые формы, рассказал «Известиям» аналитик данных Координационного центра доменов .RU/.РФ Евгений Панков. Если раньше большинство схем сводилось к переходу пользователя на поддельный сайт интернет-магазина или маркетплейса, где обманутый покупатель уцененных товаров сам передавал свои деньги мошенникам, то теперь злоумышленники всё чаще распространяют вредоносные приложения и файлы с троянами под видом «купонов на скидку».
— Пользователю могут предлагать скачать «купон на скидку», «мобильное приложение магазина» или «специальное предложение» к «черной пятнице», но на самом деле это может быть, например, APK-файл с трояном. Как только тот открывает файл, он загружает вирус на свое устройство, который передает мошенникам к нему доступ, — сказал Евгений Панков.
По его словам, помимо контроля над устройством жертвы, злоумышленники получают доступ не только к финансовым данным, но и к документам, фотографиям и списку контактов. В дальнейшем собранная информация может стать основой для атак, направленных как на жертву, так и на ее близких и знакомых.
«Известия» ознакомились с подобными случаями. Недавно на одном из форумов пользователь рассказал, что ему звонили по телефону якобы представители МТС, чтобы узнать, доволен ли он тарифом. После этого ему пообещали обслуживание с 20%-ной скидкой и предложили продолжить общение в одном из мессенджеров. Там ему прислали файл, якобы предназначенный для автоматической установки настроек 5G (хотя в России эта технология пока не работает). Этот файл пользователь скачал не на телефон, как настаивали «сотрудники МТС», а открыл в браузере на компьютере. После его вопроса о содержимом файла, отправители удалили его и сбросили звонок. Антивирус на ПК определил его как Trojan-Banker, предназначенный для кражи учетных данных пользователей онлайн-банкинга, систем электронных платежей и пластиковых карт.
Судя по записям в форумах, с подобными схемами сталкивались и другие потребители. Так, один из них отметил, что ему также звонили, представляясь сотрудниками МТС, но он всегда клал трубку, поскольку перестал пользоваться услугами этого оператора еще пять лет назад.
Еще один человек в начале октября сообщил на форуме, что раньше звонки с предложениями скидок поступали редко, а теперь по 3–4 раза в день.
Как можно распознать уловку
Смена мошенниками формата объяснима — мобильное ПО и файлы дают злоумышленникам более широкие возможности и долгосрочный доступ к устройству, нежели разовая подделка сайта, пояснил «Известиям» член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин. Он полагает, что по числу эти атаки будут сопоставимы с количеством мошеннических сайтов.
— Механика атаки проста и опасна. Жертве предлагают скачать «супер-скидку» через ссылку в рекламе, соцсети или мессенджере, устанавливаемое приложение запрашивает расширенные права (доступ к СМС, контактам, файловой системе) и сразу же внедряет троян, который ворует банковские данные, перехватывает коды двухфакторной аутентификации (2FA), а также собирает документы и фотографии, — сказал Антон Немкин.
Он подчеркнул, что особенно серьезна вторая волна последствий: получив доступ к адресной книге и коммуникациям жертвы, злоумышленники проводят атаки «от имени знакомых» — рассылки вредоносных ссылок, молниеносные запросы переводов или фишинг сообщений, что многократно увеличивает число пострадавших. Это превращает единичный инцидент в цепную инфекцию в семейном или корпоративном окружении.
— Ответственность за снижение рисков лежит не только на пользователе, но и на платформе. Рекламные сети должны усиливать модерацию и фильтрацию предложений, магазины приложений — ужесточать процедуру верификации разработчиков, а банки и операторы — оперативно реагировать на массовые атаки и информировать клиентов, — отметил Антон Немкин.
В преддверии «черной пятницы» разумная осторожность и быстрая реакция на подозрительные предложения — лучшая защита от того, чтобы «выгодная скидка» не обернулась потерей данных и денег, добавил он.
Директор по развитию технологий искусственного интеллекта Swordfish Security Юрий Шабалин рассказал, что сегодня около 70% приложений для онлайн-торговли хранят данные сторонних сервисов без нужного шифрования — PIN-коды, личную информацию и технические данные для работы с Push-уведомлениями, геолокацией и другими сервисами. Это может привести к перехвату управления приложением, рассылке фишинговых ссылок, краже баз данных или конфиденциальных ключей.
Чтобы защитить себя, он рекомендует не переходить по ссылкам из непроверенных писем, заходить на сайт напрямую при получении скидок, включить двухфакторную аутентификацию, использовать виртуальные карты для покупок и устанавливать антивирус с защитой от фишинга. Эти меры помогают снизить риски кражи данных и мошенничества.
Какие схемы мошенничества уходят в прошлое
В целом Координационный центр доменов .RU/.РФ в этом году в Рунете зафиксировал снижение числа фишинговых доменов, имитирующих крупные российские маркетплейсы. Так, в рамках проекта «Доменный патруль» в сентябре – октябре этого года было обнаружено 960 доменов, имитирующих популярные торговые площадки — «Авито», Ozon, Wildberries и «Яндекс Маркет», когда как за аналогичный период 2024-го — 1315 таких доменов.
Этой осенью зафиксирован всплеск на поддельные сайты Wildberries — за два месяца выявлено 770 фишинговых доменов. В то время как в 2024 году лидировал «Авито» — за аналогичный период было обнаружено 950 таких доменов, добавили в центре.
В пресс-службе объединенной компании Wildberries & Russ рассказали «Известиям», что в период распродаж они традиционно наблюдают повышенную активность разного рода мошенников, в том числе рост числа фишинговых сайтов. Однако в динамике, по их данным, число таких сайтов постепенно снижается — это происходит потому, что их команда безопасности активно мониторит и оперативно блокирует мошеннические сайты.
«Авито» и другие крупные компании в сотрудничестве с ЦБ работают в области противодействия фишингу в рамках программы противодействия недобросовестным практикам, добавила старший директор по доверию и безопасности департамента модерации и автоматизации поддержки компании Наталья Юматова.
Например, в чате нельзя отправить фишинговую ссылку, она будет заблокирована алгоритмами платформы. За последний год «Авито» в сотрудничестве с BI.ZONE улучшил детекцию фишинговых ресурсов и на 25% сократил время, необходимое для блокировки таких сайтов. Общее число фишинговых сайтов за пять лет снизилось на 85%, подчеркнули там.