В мире цифрового мошенничества появляется всё больше схем, нацеленных на самых незащищённых людей. Группа анализа угроз D3Lab обнаружила опасный фишинговый проект, который маскируется под официальный сайт итальянской благотворительной организации Caritas Italiana. Преступники используют приёмы социальной инженерии, чтобы сначала собрать сканы личных документов, а затем похитить учётные записи PayPal. Атака рассчитана на тех, кто действительно нуждается в финансовой поддержке, и потому особенно цинична.
Описание
Caritas Italiana - это структура при Католической церкви, которая координирует работу более двухсот епархиальных отделений. Организация известна помощью бедным, поддержкой мигрантов и реагированием на чрезвычайные ситуации. Именно высокий уровень доверия и сделал Caritas привлекательной мишенью для злоумышленников.
Специалисты D3Lab выявили мошеннический сайт через сервис мониторинга бренда. Пока не установлено, как именно жертвы попадают на этот портал. Скорее всего, ссылку рассылают по электронной почте или через SMS-сообщения. Попадая на главную страницу, пользователь видит обещание "финансовой помощи в евро". Для начала требуется указать номер телефона и город проживания. Это стандартный приём: жертва должна поверить, что заполняет официальную заявку.
Самая опасная часть атаки - сбор документов, разделённый на два этапа. Сначала сайт запрашивает чёткую фотографию паспорта с разворота, причём даёт подробные инструкции по освещению и читаемости. Затем, на другой странице, просят прислать скан налогового кода или медицинской страховки. Все требования сформулированы так, чтобы преступники гарантированно получили качественные копии, пригодные для оформления подставных кредитов или переводов.
После загрузки документов система имитирует проверку: показывается анимированная полоса ожидания с сообщением подождать одну-две минуты. Чтобы вовлечь как можно больше людей и расширить базу жертв, реализован механизм "приведи друга". Сайт предлагает отправить ссылку знакомым или родственникам, обещая ускоренное рассмотрение заявки после того, как те тоже пройдут регистрацию. При этом используется адрес с опечаткой: cariitas.it (две буквы i в названии). Этот приём, известный как тайпсквоттинг, рассчитан на то, что получатель не заметит разницы с настоящим доменом Caritas.
Когда жертва проходит все этапы, мошенничество переходит в финансовую фазу. На экране появляется поздравление о якобы одобренной помощи с логотипом PayPal. Клик по логотипу ведёт на поддельную страницу входа, которая копирует дизайн платёжной системы. Введённые email и пароль передаются на сервер злоумышленников. После этого показывается ложное сообщение об обработке данных - в этот момент преступники успевают перехватить доступ к аккаунту.
Подобные схемы опасны не только прямым финансовым ущербом. Украденные паспорта и налоговые номера позволяют оформлять микрозаймы на имя жертвы, регистрировать подставные компании или совершать другие мошеннические действия. Люди, которые обращаются за помощью к благотворительным организациям, часто находятся в сложной жизненной ситуации и менее склонны критически проверять ссылки. Этим и пользуются атакующие.
Эксперты D3Lab подчёркивают, что документирование таких инцидентов - часть их миссии по кибербезопасности. Публичное раскрытие деталей даёт пользователям возможность вовремя распознать угрозу. Важно запомнить: настоящие благотворительные фонды никогда не запрашивают копии документов и доступ к платёжным системам через ссылки в письмах и сообщениях. Любое обещание денежной помощи в обмен на личные данные - почти гарантированный обман.
Команда D3Lab в отчёте подробно описала, как устроена цепочка атаки. Сначала - сбор контактных данных, потом - кража документов, затем - перехват паролей PayPal. Это напоминает, что даже самые доверительные бренды могут быть использованы против своих благополучателей. Каждый пользователь должен научиться отличать подлинные благотворительные сайты от копий. В случае с Caritas достаточно сверить доменное имя - официальный сайт заканчивается на .it без лишних букв.
Мошенники постоянно совершенствуют методы, но их цели остаются прежними: чужие деньги и чужая личность. Единственный способ защититься - сохранять бдительность и не переходить по сомнительным ссылкам, даже если они выглядят убедительно.
Индикаторы компрометации
URLs
- https://cariitas.it/?pixel=123456789&ref=true
- https://dl-caritas.online
- https://pass-caritas.online
- https://pass-caritas.online/done.php
- https://pass-caritas.online/front.php
- https://pass-caritas.online/selfie.php
- https://paypal.italy-helo/secure.php
- https://paypal.italy-help/
