Компания Group-IB сообщила о новой мошеннической схеме с использованием бренда популярного сервиса видеоконференций Zoom. Под видом получения денежной компенсации в связи с COVID-2019 или за подписку на сервис пользователей заманивают на мошеннические сайты, где похищают деньги и данные банковских карт.

С начала 2020 г., отмечают в Group-IB, ее центр CERT-GIB зафиксировал появление примерно 15300 доменов, содержащих название Zoom, – всплеск их регистрации пришелся на период дистанционной работы. Опасность в том, что на схожих доменных именах могут размещаться фишинговые страницы, использующиеся для кражи персональной информации, и весной эксперты предупреждали о появлении в даркнете объявления о продаже учетных записей 4000 аккаунтов пользователей Zoom.

Однако в новой мошеннической схеме, которую обнаружил CERT-GIB, использовался не фейковый, а оригинальный сервис Zoom. Исследование началось после того, как в CERT-GIB обратились пользователи с жалобой на мошеннические письма, которые они получили от сервиса Zoom. Жертвам предлагали компенсацию «в связи с COVID-2019», а чтобы получить деньги, нужно было перейти по указанной ссылке, после чего пользователя перенаправляли на различные мошеннические сайты, где похищали деньги и данные банковских карт.

Как установили аналитики CERT-GIB, письма были отправлены не с фейкового домена, а от официального сервиса. Все дело в том, что при регистрации Zoom предлагает пользователю заполнить профиль – указать имя и фамилию, с возможностью вставить до 64 символов в каждое поле. Мошенники используют эту возможность, вставляя фразу: «Вам положена компенсация в связи с COVID-19» и приводя ссылку на мошеннический сайт.

Сама рассылка мошеннических сообщений тоже происходит с использованием возможности сервиса. После регистрации Zoom предлагает новому клиенту пригласить до десяти новых пользователей, указав их почтовый адрес. Таким образом, на адреса потенциальных жертв приходит официальное уведомление от имени команды сервиса видеоконференций (no-reply@zoom[.]us), но с содержанием, которое сгенерировали мошенники.

В одной из рассылок, которую проанализировал CERT-GIB, говорилось, что денежную компенсацию можно забрать на сайте http://uglava.com (в настоящее время он заблокирован). В случае перехода по ссылке пользователей перекидывали на другие мошеннические ресурсы: «Официальный компенсационный центр», «Экспресс-лотерея», «Банк-онлайн (Вам поступил денежный перевод)», «Гранд опрос», «Фонд финансовой поддержки потребителей» и др.

Дальнейшая механика напоминает описанную экспертами Group-IB ранее схему «Двойной обман». Когда жертва переходила на упомянутые сайты, ей предлагали ввести 4 или 6 последних цифр номера банковской карты. Мошенники рассчитывали «компенсацию» для пользователя в сумме от 30 тыс. до 250 тыс. руб. Но чтобы получить эти деньги, следовало оплатить небольшую сумму «за юридическую помощь в заполнении анкеты» – около 1000 руб. таким образом, пользователи вводили данные карты (номер, имя владельца, срок действия, CVV-код) на мошенническом ресурсе, теряя в итоге и деньги, и данные банковской карты.

Как подчеркивают в CERT-GIB, в этой схеме мошенники эксплуатируют популярность бренда сервиса Zoom. А поскольку письмо отправлено с официального адреса сервиса, злоумышленникам, во-первых, гарантирована доставка писем до адресатов, а во-вторых, расчет делается на то, что часть обманутых пользователей кликнут на ссылку, указанную в профиле, и перейдут на мошеннический сайт. Сервису Zoom, считают эксперты, необходимо внедрить более тщательную проверку данных, которые вводит пользователь при регистрации аккаунта, а также полностью запретить использование сторонних ссылок в профиле.

Group-IB предупредила Zoom об угрозе.