Мошенничество в спаме: «письма счастья», которые нас разоряют

Под словом «спам» часто подразумевают только письма рекламного характера, но это не совсем верно: спам некоторых видов рассылается с другой целью. К такому «нерекламному» спаму, в частности, относится одна из его опасных разновидностей — мошеннические письма. В этой статье речь пойдет о мошеннических спамовых письмах, рассылаемых с целью выманить у получателей деньги или получить доступ к конфиденциальным данным, с помощью которых можно осуществлять кражу денег пользователей. 

Спам-технологии позволяют организовать массовую рассылку поддельных сообщений, подставлять фальшивые адреса отправителей и использовать для осуществления рассылок зараженные компьютеры ни о чем не подозревающих пользователей. Неудивительно, что это привлекает мошенников и киберпреступников разных калибров: специфика спама создает условия и для обмана пользователей, и для сокрытия следов преступной деятельности.

Способствует криминализации спама и тот факт, что инициаторов рассылок нелегко найти вследствие анонимности рассылаемых писем, а значит, киберпреступники могут рассчитывать на безнаказанность. Услугами спамеров активно пользуются продавцы контрафактной или поддельной продукции, поставщики услуг криминального характера и вирусописатели.

В этой статье речь пойдет о мошеннических спамовых письмах, рассылаемых с целью выманить у получателей деньги или получить доступ к конфиденциальным данным, с помощью которых можно осуществлять кражу денег пользователей.

Фишинг

Наиболее опасным вариантом мошенничества с использованием спама является фишинг.

С помощью фишинг-рассылок (англ. phishing от fishing — рыбалка) спамеры пытаются заполучить персональные данные пользователя: логины, пароли (обычно к системам онлайновых платежей), номера и пин-коды кредитных карт — с тем, чтобы в дальнейшем использовать их для наживы. Чаще всего мишенями фишинг-атак становятся пользователи интернет-банкинга и платежных систем.

Фишинговые письма имитируют сообщения солидных организаций (банков, финансовых компаний, платежных систем). Как правило, такие письма содержат ссылку на поддельную страницу и под тем или иным предлогом призывают получателя ввести его персональные данные, в результате чего те оказываются в руках мошенников. Для того чтобы жертва не догадалась об обмане, эта страница оформлена точно так же, как сайт организации, от имени которой было отправлено сообщение (адрес отправителя также подделывается).

В некоторых случаях после введения и отправки данных браузер пользователя перенаправлялся на настоящий сайт, в результате чего шансы жертвы заподозрить неладное сводились практически к нулю.

Иногда пользователь попадает не на поддельный сайт, а на страницу, зараженную эксплойтом. Используя уязвимость программного обеспечения, эксплойт устанавливает на компьютер пользователя троянскую программу, которая собирает различную информацию (например, о кодах доступа к счетам) и пересылает ее своему «хозяину». Кроме того, зараженная таким образом машина может стать частью зомби-сети и использоваться для осуществления кибер-атак или рассылки спама.

Для обмана тех, кто все-таки обращает внимание не только на внешний вид, но и на адреса посещаемых сайтов, фишеры маскируют используемые URL, стараясь сделать их более похожими на оригинальные. Начинали фишеры с регистрации на бесплатных хостингах имен доменов, схожих с именами доменов сайтов атакуемых организаций, однако со временем стали применять c этой целью все более и более изощренные методы.

Типичный вид такой маскировки можно увидеть в следующем письме, ориентированном на клиентов PayPal:

Только очень внимательный человек, наведя на приведенную в письме ссылку курсор, может заметить, что ссылка на самом деле ведет на сайт фишеров. Ссылка очень похожа на адрес легитимного сайта, но домен, на который попадает пользователь, совсем другой: client-confirmation.com.

 

В данном случае «неправильный» адрес будет отображаться при наведении курсора на ссылку в письме, так что продвинутый пользователь способен распознать подделку еще до перехода по ссылке.

Существуют и более примитивные варианты обмана. Пользователю якобы от имени администрации или службы техподдержки того или иного сервиса приходят сообщения, в которых под разным предлогом предлагается срочно прислать пароль от его аккаунта на указанный в письме адрес – как правило, под угрозой закрытия этого аккаунта.

В Рунете этот прием используется фишерами в основном для получения доступа к почтовым аккаунтам пользователей. Стоит отметить, что, контролируя почту пользователя, мошенники через системы напоминания пароля могут завладеть и его регистрационными данными на других интернет-сервисах.

 

Другой распространенный метод сбора паролей к почте — рассылка писем, в которых всем желающим предлагается воспользоваться «уязвимостью в системе восстановления пароля», используя которую, якобы можно узнать пароль другого пользователя. Чтобы получить доступ к чужому аккаунту, получателю спам-сообщения необходимо выслать на определенный адрес в определенном формате логин будущей жертвы, а также свой пароль. Надо ли говорить, что жертвой злоумышленников становится сам «охотник», воспользовавшийся сомнительным предложением?

Впрочем, со временем пользователи поняли, что серьезные компании никогда не просят отправлять пароли в письмах, и эффективность ловушек такого рода стала падать. Так что в настоящее время спамерам приходится тщательнее маскировать письма-подделки, в результате чего получателям становится все труднее отличить их от легитимных сообщений.

Обычно мишенями фишинг-атак становятся западные платежные системы и банки с развитым online-банкингом и большим количеством клиентов, пользующихся ими. Однако с развитием онлайн-банкинга в Рунете фишеры все чаще проводят атаки, рассчитанные преимущественно на российских пользователей.

Один из типичных примеров – фишинг-атак на клиентов «Альфа-Банка». Мошенники работали по классической схеме: рассылаемые ими электронные послания имитировали письма от администрации банка и содержали ссылку на фальшивый сайт, на котором пользователю предлагалось ввести свой логин и пароль для доступа к системе интернет-банкинга. Внешний вид страницы был точной копией главной страницы сайта «Альфа-банка». Кроме того, мошенники подготовили неосторожным пользователям неприятный «подарок»: при переходе по ссылке на компьютеры пользователей загружалась вредоносная программа. Похожим образом проводились атаки на пользователей систем WebMoney и «Яндекс.Деньги»; несколько раз был мишенью фишеров Citibank.

 

Злоумышленники также часто пытаются получить доступ к почтовым аккаунтам пользователей, запрашивая у них логины и пароли от имени администрации российских почтовых систем.

Выманивание денег с помощью спама

Помимо фишинга, интернет-мошенники используют множество других приемов, позволяющих с помощью спама заманить незадачливых пользователей в ловушки и обобрать их. Чаще всего спамеры стараются сыграть на наивности и жадности своих потенциальных жертв, что, впрочем, характерно для всех аферистов. Для достижения своих целей мошенники используют различные схемы, и самые распространенные из них мы рассмотрим подробнее.

«Нигерийские» письма

Эта популярная схема мошенничества была разработана и активно применяется мошенниками из Нигерии, за что и получила свое название. Однако в настоящее время «нигерийским» мошенничеством промышляют аферисты во всем мире.

При реализации классической «нигерийской» схемы спамеры рассылают письма от имени представителя знатной семьи (как правило, проживающей в каком-либо африканском государстве), которая попала в немилость на родине по причине гражданской войны /государственного переворота / экономического кризиса / политических преследований. В классических «нигерийских» письмах к адресату обращаются на ломаном английском языке с просьбой помочь «спасти» крупную сумму денег, переведя ее со счета опального семейства на другой счет.

За услугу по переводу денег мошенники обещают солидное вознаграждение – как правило, проценты от переводимой суммы. В ходе «спасательной операции» выясняется, что добровольному (хотя и небескорыстному) помощнику требуется перевести небольшую по сравнению с обещанным вознаграждением сумму для оформления перевода /дачи взятки /оплаты услуг юриста и т.п. Как правило, после перечисления денег всякая возможность общения с «вдовой бывшего диктатора» или «сыном покойного опального министра» исчезает. Иногда жертву вынуждают еще несколько раз раскошелиться, под тем предлогом, что возникли очередные непредвиденные осложнения.

Иногда отправитель представляется высокопоставленным чиновником, который якобы сумел с помощью взяток и махинаций заработать достаточно большое состояние, но теперь находится под следствием и не может вывезти деньги из страны. Для перевода денег ему нужно предоставить доступ к какому-нибудь банковскому счету. За помощь адресату предлагается определенный процент от общей суммы. Понятно, что получив желаемый контроль над счетом доверчивого пользователя, мошенники не оставляют на нем ни копейки.

Какие только драматические истории не рассказываются в «нигерийских» письмах! В фантазии их авторам не откажешь, недаром в 2005 году именно «нигерийским» мошенникам была присуждена Антинобелевская премия по литературе. Не остались без их внимания и российские сюжеты: в том же 2005 году типичные «нигерийские» послания на английском языке рассылались от имени родственников и людей из близкого окружения опального олигарха Михаила Ходорковского. На этом русская специфика заканчивалась — в остальном никаких отличий от классической «нигерийской» схемы мошенничества не было.

Dear Friend,
I am Lagutin Yuriy and I represent Mr. Mikhail Khordokovsky the former C.E.O of Yukos Oil Company in Russia. I have a very sensitive and confidential brief from this top (Oligarch) to ask for your partnership in re-profiling funds over US$450 million. I will give the details, but in summary, the funds are coming via Bank Menatep. This is a legitimate transaction. You will be paid 4% for your «Management Fees».
If you are interested, please write back by email and provide me with your confidential telephone number, fax number and email address and I will provide further details and instructions. Please keep this confidential; we can’t afford more political problems. Finally, please note that this must be concluded within two weeks. Please write back promptly.
Write me back. I look forward to it.
Regards,
Lagutin Yuriy

Существует и романтический вариант этой схемы спам-мошенничества письма от«нигерийских» невест. Трогательные послания рассылаются от имени девушек, проживающих в далеких экзотических странах. Фотография темнокожей красавицы прилагается. Как правило, мошенники проводят целевые атаки — такие письма чаще всего получают пользователи, зарегистрировавшиеся на сайтах знакомств.

Если потенциальная жертва включается в переписку, ей рассказывают историю в духе мыльных опер: «Родственников убили, из страны не выпускают, а я на самом деле богатая наследница… » В третьем письме девушка уже клянется в вечной любви и просит вывезти ее из страны вместе с ее миллионами.

Все, что необходимо сделать герою-спасителю, – это помочь перевести из страны миллионы сиротки, причем за солидное вознаграждение. Разумеется, от помощника требуются предварительные расходы, размер которых достигает нескольких тысяч, а иногда и десятков тысяч долларов. Для пущей убедительности к делу подключаются мнимый пастор и адвокат. На финальной стадии аферы в ход идут фальшивые документы.

Фальшивые уведомления о выигрыше в лотерею

Этот вид мошеннического спама близок к нигерийским письмам. Пользователям рассылаются фальшивые извещения о выигрыше в лотерею, якобы проводимую среди случайных e-mail адресов/номеров телефонов, и предложения получить «бесплатные» подарки в качестве выигрыша.

Для убедительности в таком письме может присутствовать фотография приза и всевозможные «атрибуты подлинности» лотереи — номер билета, свидетельство о регистрации/лицензии и прочая фальшивая информация. Как и в предыдущем случае, для получения выигрыша пользователю под разными предлогами предлагается предварительно совершить платеж на некую сумму по указанным мошенниками счетам.

 

Были и русские версии таких писем, текст которых был явно переведен с английского оригинала с помощью автоматического переводчика.

Получателям подобных уведомлений необходимо прежде всего помнить, что участие в любой лотерее невозможно без согласия пользователя. Если вы никогда не давали такого согласия (и, скорее всего, ничего не знаете о лотерее, в которой вы якобы выиграли), то вы имеете дело с типичным посланием от мошенников, которые стремятся выманить у получателя деньги, а вовсе не осчастливить его выигрышем. 

Продолжение следует

Наталья Заблоцкая, Securelist 

 

Читайте также: