Исследователи кибербезопасности зафиксировали новую кампанию мошеннических атак BazarCall, сообщает портал Tom's Guide. В рамках этой схемы хакеры начали использовать новый вид фишинга с помощью телефонного звонка, после которого мошенники могут получить полный доступ к компьютеру жертвы.
Атака начинается с письма, которое приходит на электронную почту жертвы.
В нем сказано, что бесплатная пробная подписка на некую услугу скоро закончится, и через несколько дней с банковской карты жертвы будет списана ежемесячная сумма в $90.
Также внизу письма указан номер телефона техподдержки, по которому можно позвонить, чтобы отменить подписку. При этом в письме нет никаких ссылок, которые могут потребовать ввода персональных данных. Пользователь решает позвонить по указанному номеру, потому что не видит в этом никакой опасности. Оператор, принявший звонок, запрашивает идентификационный номер, который также указан в письме. ID помогает оператору узнать какая именно жертва из многих других ему позвонила.
После проверки оператор говорит о том, что кто-то оформил подписку вместо пользователя. Для ее отмены жертву просят перейти на сайт, ссылку на который отправили во втором письме.
«С помощью номера мошенники могут идентифицировать компанию, которая получила их рассылку. Однако если им продиктовать неправильный номер телефона, то пользователю просто скажут, что подписка отменена, без просьбы перейти на веб-страницу», — рассказал специалист по кибербезопасности Рэнди Паргман.
Всего существует пять сайтов, зарегистрированных на прошлой неделе, предположительно, злоумышленниками из России.
Все веб-сайты продуманы очень тщательно, там есть разделы «часто задаваемые вопросы», «условия использования» и даже контактная информация с указанием адресов офисов в Лос-Анджелесе и телефонных номеров.
Чтобы отменить подписку, жертва должна ввести на сайте идентификационный номер, после этого нужно нажать кнопку «отменить подписку». Затем браузер предложит разрешить загрузку электронной таблицы Microsoft Excel или документа Word, который пользователь должен верифицировать с помощью электронной подписи. Именно эти файлы и заражены вредоносным ПО BazarLoader или TrickBot, которые дают хакерам полный контроль над компьютером. После этого они могут установить систему майнинга криптовалюты, ботнета или вымогательское ПО.
Директор департамента информационной безопасности компании Oberon Евгений Суханов считает, что фишинговая атака BazarCall разрабатывалась для проведения целевых атак на определенные компании.
«Звонок в «техническую поддержку», хорошо проработанная инфраструктура сайта, небанальная схема фишинга с использованием подтверждения по телефону, чтобы снять все сомнения пользователя – эти факторы говорят о высокой вероятности инфицирования жертвы и высоком уровне подготовки мошенников», — отмечает Суханов.
По словам эксперта, атака ничем не отличается от обычного перехода по вредоносной ссылке из фишингового письма, но в данном случае мошенники не просят персональную информацию.
«С помощью подтверждения по телефону и методами убеждения мошенник может заставить жертву загрузить вредоносное ПО, которое маскируется под документ Microsoft Office, и включить активное содержимое офисного приложения. Далее рабочий компьютер будет инфицирован и предоставит мошенникам доступ к корпоративной сети передачи данных организации, а ущерб от последующих действий злоумышленников будет гораздо больше, чем скомпрометированная личная банковская карта», — считает эксперт.
Для защиты от подобных целевых атак необходим комплексный подход, который заключается в наличии средств защиты информации внутри периметра компании и осведомленности сотрудников в области информационной безопасности, поделился Суханов.
«При получении подобных писем стоит всегда сверяться с данными подписок из альтернативных источников, а не из письма с неподтвержденным отправителем», — заключил эксперт.