Обнаружена массовая рассылка фальшивых счетов: злоумышленники ловят жертв на телефонный звонок

phishing

Специалисты по информационной безопасности зафиксировали необычную мошенническую кампанию: сотни поддельных платёжных квитанций были обнаружены в момент, когда их только начинали рассылать. В отличие от типичных инцидентов, где аналитики приходят уже по факту ущерба, этот случай позволил заглянуть на "кухню" злоумышленников - некоторые шаблоны писем оказались незаполненными, с пустыми полями для телефонных номеров и сумм.

Описание

Суть схемы проста и одновременно коварна. Пользователи получают электронное письмо, стилизованное под официальную квитанцию от PayPal, Amazon, Geek Squad или других известных сервисов. В письме указана крупная сумма списания - от трёхсот до шестисот долларов. Жертве предлагают немедленно позвонить по указанному номеру, чтобы отменить платёж или оспорить транзакцию. Однако никакого реального списания не существует. Сам факт письма - лишь приманка, а ловушка начинается в тот момент, когда человек берёт трубку.

Подобный тип мошенничества специалисты называют "фантомным счетом" или аферой с "возвратом денег". Его главная особенность - психологическое давление, а не техническая сложность. В письме нет вредоносных вложений или ссылок, которые могли бы зафиксировать антивирусные системы. Именно поэтому такие сообщения нередко проходят через фильтры спама: программам не за что зацепиться. Единственный опасный элемент - номер телефона, который побуждают набрать.

Механизм атаки хорошо отлажен. Аналитики обнаружили в ходе расследования, что некоторые шаблоны писем содержали текстовые метки вместо реальных данных. Например, вместо телефонного номера стоял заполнитель #TFN# - сокращение от toll-free number, то есть бесплатный номер для обратной связи. В других шаблонах фигурировали #PRICE#, #DATE# и #EMAIL#. Такие метки используются программами массовой рассылки для автоматической подстановки данных перед отправкой. Обнаружение этих заготовок прямо указывало на то, что кампания находилась в стадии сборки: часть квитанций была уже готова и содержала реальные номера, а часть ещё ждала завершения.

Когда жертва всё же звонит по указанному номеру, сценарий развивается по одному из нескольких сценариев. Мошенник, представляясь сотрудником службы поддержки, может попросить установить программу удалённого доступа якобы для "исправления ошибки". На деле это даёт злоумышленнику полный контроль над компьютером. Другой вариант - запросить данные банковской карты или реквизиты счёта для "проведения возврата". Существует и более изощрённая схема, когда мошенник якобы случайно возвращает слишком большую сумму и просит перевести разницу обратно, чаще всего подарочными картами или банковским переводом.

Создатели фейковых счетов уделили большое внимание правдоподобности. Суммы выбраны в диапазоне нескольких сотен долларов - достаточно крупно, чтобы вызвать беспокойство, но достаточно реалистично для подписки или онлайн-покупки. В письмах часто фигурируют сразу несколько брендов, например, сообщается о платеже, отправленном через PayPal в Amazon. Такое перекрёстное упоминание известных компаний усыпляет бдительность.

Распознать подделку можно по нескольким характерным признакам. Главный индикатор - неожиданный счёт за услугу, которую вы не заказывали. Второй важный сигнал - искусственная срочность. Фразы вроде "позвоните в течение 12 часов" или "отмените подписку до продления" призваны заставить действовать импульсивно, не проверяя информацию. Настоящие компании никогда не создают такого давления при решении обычных биллинговых вопросов. Также стоит обращать внимание на мелкие несоответствия: странный адрес отправителя, грамматические ошибки или необычное сочетание брендов.

Если подозрительное письмо всё же пришло в почтовый ящик, алгоритм действий прост и эффективен. Не нужно звонить по указанному номеру и переходить по любым ссылкам из письма. Следует самостоятельно открыть сайт компании, набрав адрес в браузере, или войти в мобильное приложение, чтобы проверить историю операций. Если никаких списаний нет, письмо можно смело отправлять в спам и сообщить о нём в службу поддержки компании, от имени которой оно было отправлено. В США такие инциденты также можно зарегистрировать на портале Федеральной торговой комиссии.

Для тех, кто уже попался на удочку и передал злоумышленникам доступ к устройству или данные карты, необходимо действовать незамедлительно. Следует запустить проверку системы антивирусом, сменить все критически важные пароли, включить двухфакторную аутентификацию и обязательно связаться с банком для блокировки операций.

Эта кампания показательна с точки зрения эволюции киберугроз. Мошенники всё чаще переходят на схемы, которые сложно отследить программными методами. Телефонный номер внутри письма - это просто текст, и антивирус не может оценить его опасность. Сама атака происходит в разговоре, а не через технические уязвимости. Обнаружение кампании в процессе сборки дало редкую возможность увидеть "внутреннюю кухню" злоумышленников: незавершённые шаблоны, заготовки с метками и набор инструментов до того, как он был полностью развёрнут.

Главное правило защиты от подобных атак остаётся неизменным: если неожиданный счёт сопровождается требованием немедленно позвонить, нужно остановиться и проверить информацию самостоятельно, не используя контакты из самого письма. Настоящая компания никогда не будет торопить клиента с отменой платежа, которого он не совершал. Этот простой принцип способен полностью нейтрализовать всю схему мошенничества.

Индикаторы компрометации

Domains

  • invoicepdfin.xyz
  • invoicepdfus.xyz
  • invoicepdfusa.xyz
  • invoicerep.xyz
  • invoicestatement.xyz
  • invoicestm.xyz

Callback numbers

  • 804-392-2793
  • 801-640-8589

Комментарии: 0