Пробелы и недоработки безопасности на официальных сайтах ведут к тому, что без ведома их хозяев с официальных адресов, в обход антифишинговых и антиспам-технологий, мошенники рассылают русскоязычным пользователям спамерские сообщения с целью завладеть личным данными или финансами жертв.
Такая схема мошенничества существует достаточно давно и не теряет своей актуальности с годами. По словам экспертов «Лаборатории Касперского» с середины июня по начало августа в компании зафиксировали как минимум 600 000 таких писем.
Злоумышленники находят сайты, на которых есть формы для обратной связи, регистрации пользователей или связи с техподдержкой, которые не требуют верификации, в частности теста CAPTCHA.
В одних случаях мошенники вводят короткое скам-сообщение вместо логина или ФИО, например: «Вы выиграли! Пройдите по ссылке». В других — вставляют развернутый текст с картинками в поле самого обращения.
Затем почтовые адреса жертв добавляются в раздел «Контакты для связи». В результате человеку с легитимного адреса организации приходит автоматически сформированное письмо, где уже отражается информация, которую ввели злоумышленники.
В основном это обещание лёгкого заработка, внезапного выигрыша, получение наследства, подарка, приза или скидки.
В любом случае результат один: прежде чем получить обещанное, требуется заплатить незначительную скромную «комиссию», которая безвозвратно уйдёт на счёт мошенников.
Как правило, для убедительности на подобных страницах размещают фальшивые отзывы других благодарных пользователей, но они не имеют никакого отношения к реальности, однако дают хороший результат, вызывая доверие у пользователей.
Эксперты говорят, что в скам-сообщениях, которые рассылались в июне-августе, злоумышленники придерживались нескольких легенд. Но все они были нацелены на изъятие денежных средств.
Андрей Ковтун, руководитель группы защиты от почтовых угроз в «Лаборатории Касперского» говорит, что «опасность этой схемы заключается в том, что письма приходят с легитимного адреса», а значит любой «невнимательный пользователь может кликнуть по ссылке, не обратив внимания на верстку и несоответствие темы письма его содержанию». Таким образом, жертв обмана может быть очень много.
Тут просто важно помнить, «что бесплатный сыр только в мышеловке», и, прежде чем вводить свои данные или переводить средства, нужно тщательно проверить источник письма и убедиться в его легитимности.