Компания F.A.C.C.T. исследовала работу фишинговых веб-панелей, в которых создаются фишинговые страницы для угона аккаунтов пользователей Telegram и WhatsApp
Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, исследовала работу фишинговых веб-панелей, в которых создаются фишинговые страницы для угона аккаунтов русскоязычных пользователей в популярных мессенджерах Telegram и WhatsApp. По данным аналитиков CERT-F.A.C.C.T., только с помощью одной панели в первом полугодии 2024 года было создано не менее 900 ресурсов для кражи учетных записей, а прибыль участника криминальной схемы с угоном аккаунтов в популярных мессенджерах может достигать 2 500 000 рублей в месяц.
Напомним, что массовые «угоны» аккаунтов в популярных мессенджерах происходят волнами. Первая из них, связанная с кражей учеток в Telegram с помощью фишинга, была зафиксирована еще в декабре 2022 года. Всплески появления фишинговых страниц для кражи мессенджера могут быть связаны, в том числе с расширением партнерских программ мошеннических группировок и дальнейшим развитием функционала и автоматизации фишинговых веб-панелей.
После угона аккаунта в мессенджере преступники могут получить информацию из переписок и сохраненных сообщений, рассылать сообщения по списку контактов, группам пользователя, а также каналам, если учетной записи были права администратора, с просьбой о финансовой помощи или ссылки на фишинговые и мошеннические страницы.
В ходе исследования аналитики CERT-F.A.C.C.T. обнаружили шесть веб-панелей, используемых для создания фишинговых ресурсов, нацеленных на пользователей Telegram и одну панель, работающую в WhatsApp. Платформы имеют схожие принципы работы и функциональность и способны поддерживать работу сотен пользователей. О количестве создаваемых таким образом ресурсов можно, судить по тому, что с помощью только одной из них с января по июнь 2024 года было создано более 900 сайтов для кражи аккаунтов. Чаще всего фишинговые страницы были расположены в доменах ru, online, shop, site, website.
Злоумышленники стремятся использовать как новые поводы, например, вывод средств из игры Humster Kombat, фейковый сервис с нейросетью «Раздень подругу», так и зарекомендовавшие себя уловки: денежные призы, бесплатные подписки, голосование, доступ в приватный канал и другие, побуждая пользователей вводить конфиденциальные данные на фейковых ресурсах. Украденные аккаунты продаются через маркеты в веб-панели или Telegram-ботов.
Средняя стоимость продажи логов на маркете форума составляет около 150 рублей. Цена украденного аккаунта зависит от того, есть ли подписка на premium, полномочия админа или владельца канала, количество диалогов, продолжительность «отлежки» (время с момента угона аккаунта, за которое он не был заблокирован или возвращен легитимному владельцу). Также на цене может сказаться «ситуация на рынке» — количество украденных аккаунтов на продажу.
Прибыль «топпера» — наиболее опытного и успешного участника группы «угона» («тимы») от криминальной деятельности в месяц может варьироваться от 600 000 до 2 500 000 рублей в зависимости от панели. Доходы новичков и рядовых участников будут значительно скромнее.
В исследовании эксперты F.A.C.C.T. рассмотрели несколько панелей, которыми на последнее время активно пользуются злоумышленники для атак в русскоязычном интернет-пространстве, разобрали механизм создания таких фишинговых ресурсов.
«Злоумышленники стремятся снизить трудозатраты на создание фишинговых ресурсов, пользуясь функциями фишинговых панелей и шаблонами. Это позволяет им концентрироваться на охвате большего количества жертв в своем криминальном бизнесе, оттачивании способов привлечения трафика. Фишинговые панели позволяют киберпреступникам не только пользоваться шаблонами, но и контролировать информацию об украденных аккаунтах, формировать планы продаж, отслеживать статистику и прочее. Для защиты от таких подобных угроз пользователям и организациям необходимо соблюдать все меры безопасности и цифровой гигиены».
— отмечает руководитель департамента Digital Risk Protection F.A.C.C.T.Станислав Гончаров.
Рекомендации:
- Включите все инструменты безопасности в мессенджерах, в том числе двухфакторную идентификацию и виртуальный пароль;
- Не переходите по подозрительным ссылкам, не участвуйте в сомнительных голосованиях и конкурсах;
- Обращайте внимание на адресную строку в браузере и ее содержание. Проверяйте на дату регистрации домена, используя специализированные Whois-сервисы;
- Если вам написала родственница или коллега с просьбой проголосовать или поучаствовать в конкурсе, — перепроверьте эту информацию по другому каналу связи;
- Не сообщайте и не вводите на подозрительных ресурсах коды из СМС и push-уведомлений;
- Оперативно свяжитесь с техподдержкой, если не можете войти в свой аккаунт в Telegram. Если все же получилось войти в свою учетную запись, то незамедлительно завершите чужие сессии и поменяйте облачный пароль.
Для защиты брендов от репутационных рисков и прямого ущерба, связанного с их незаконным использованием на поддельных сайтах, компаниям следует использовать автоматизированные решения, сочетающие анализ данных киберразведки и возможности машинного обучения.