Нет, это не блог... Скорее, это маленькая история о человеке и его превращении из успешного специалиста-фрилансера в преступника. Трагедия личности здесь основное.
«Мне жаль многих из них. Это молодые рабята...» А.А.
В конце мая 2020 года в одном из чатов украинского ИБ-сообщества промелькнула информация о новой схеме мошенничества на крупнейшем сервисе объявлений Украины – OLX.UA. Мы решили не проходить мимо и разобрались в ситуации.
По задумке отцов-основателей аббревиатура OLX на английском языке должна была означать «OnLine EXhange» – онлайн-обмен. К сожалению, в Украине, волею судеб, эти три буквы приобрели отнюдь не положительные коннотации.
Scam[skæm]– афёра, мошенничество.
Суть конкретно рассматриваемой мошеннической схемы заключалась в следующем. Задача злоумышленника – завладеть данными банковской карты жертвы. Жертва – покупатель или продавец. Способ – вступить в коммуникацию с жертвой, перевести разговор за пределы площадки OLX (например, в мессенджер), усыпить бдительность, передать ссылку на поддельный веб-ресурс, склонить к «заполнению формы для принятия оплаты» за OLX Доставку (Рис. 1-2).
Рис. 1 Перевод разговора в Telegram; передача ссылки на поддельный веб-сайт
ВНИМАНИЕ! Если Вы сразу не видите почему веб-сайт на рис. 2 следует считать мошенническим – Вам срочно нужно повысить уровень осведомленности в вопросах информационной безопасности.
Рис. 2 Сайт-подделка
После заполнения формы для «получения средств от покупателя» (злоумышленника), данные банковской карты продавца-жертвы в полном составе отправятся злоумышленнику в Telegram-чат. Для удобства злоумышленника, если кто-либо посетил страницу оплаты, последний получит соответствующее уведомление (рис. 3).
Рис. 3 Сообщение с данными платёжной карты жертвы
Отметим, что для пущей правдоподобности сообщение об оформленном товаре также отправляется жертве на электронную почту (рис. 4-5).
Рис. 4 Сообщения об оформлении поддельных заявок
Рис. 5 Поддельное сообщение со ссылкой на фишинговый сайт
К слову говоря, сама реализации описываемой мошеннической схемы целиком и полностью полагалась на техническую составляющую, а именно: поддельные сайты созданы с учетом требований по оптимизации, Telegram-боты (в т.ч. для формирования поддельной ссылки на основе ссылки-оригинала), API-различных сервисов. В конце-концов – техническое задание и оценка качества (рис. 6).
Рис. 6 Техническое задание к мошенническому проекту
В результате проведённых мероприятий нам удалось идентифицировать более 300 украденных наборов данных платёжных карт, включая номер карты, код и срок её действия. Данные были скомпрометированы в период с 18 марта по 31 мая 2020 года. Статистика по банкам-экваерам обнаруженных карт:
- ПриватБанк
- МоноБанк
- UniversalBank
- Ощадбанк
- Альфа-Банк
- Райффайзен Банк Аваль
Виновник сего повествования – юноша, который несколько лет успешно работал на фрилансе, оказывая услуги по веб-программированию. В какой-то момент мошенничество показалось ему более привлекательной затеей и он стремглав пустился в преступную погоню за наживой. Дебютировав в сфере скама, к маю 2020 года злоумышленник начал проявлять интерес к кардингу и даже сохранил на память следущее стихотворение (рис. 7).
Кардинг – вид мошенничества, при котором производится операция с использованием платежной карты или её реквизитов, не инициированная или не подтверждённая её держателем.
Рис. 7 Стих про кардеров (автор неизвестен)
Злоумышленник, сосредоточенный на своём «черном» промысле и, вероятно, будучи вдохновленным текущей безнаказанностью (как скамеров так и кардеров), потерял чувство самосохранения и допустил несколько ошибок, вследствие чего он был однозначно идентифицирован и, вероятно, попал в разработку правоохранительных органов (продолжение следует).
Рис. 8 Преступник
И не удивительно (слова автора).
Я не являюсь пользователем OLX. Тем не менее, как упоминалось ранее, истории мошенничества на OLX – нечто обыденное. Возможно, существующие подсказки о безопасности следует сделать более навязчивыми в стиле «Осторожно, мошенники!», приведя информацию о перечне типичных схем обмана, соответствующей статистике и рекомендациях. О том, «как не стать LOX на OLX», можно, среди прочего, почитать на веб-сайте Ассоциации ЄМА [2].
Не проходите мимо.
Если Вы стали жертвой (даже если Вы поняли это сейчас) – сообщите об этом. На сайте Департамента киберполиции Национальной полиции Украины создан специальный веб-ресурс
Спасение утопающих – дело рук самих утопающих.
Не стоит рассчитывать что Вас не коснется. Не стоит возлагать надежды на то, что злоумышленников найдут, осудят и посадят в тюрьму. Пеняйте на себя, самообразовывайтесь, интересуйтесь вопросами информационной безопасности самостоятельно (помимо этой статьи прочтите приведенные ниже ссылки).
Не исчерпывающий список доменных имён, зарегистрированных злоумышленником и использованных с целью создания поддельных веб-сайтов приведен ниже.
2020-01-20 olx.name 2020-02-08 obiavlienie.network 2020-04-04 liqpay.top 2020-04-06 obyavlenia.top 2020-04-28 obyevlenie.top 2020-05-11 obyalvenle.top 2020-05-11 olx-dostavka.top 2020-05-20 obyalvenie.com.ua 2020-05-11 obyalvenie.top 2020-05-23 ua-obyavlenie.com 2020-05-23 obyavenle.top 2020-05-23 obyavenie.top 2020-05-27 ua-obyavlenle.com 2020-05-27 ua-obyavlene.com 2020-05-27 ua-obyalvenle.com 2020-05-27 ua-obyalvenie.com 2020-05-27 ua-obiavlenie.com
[1] https://telegra.ph/Iskusstvo-obshcheniya-s-mamontami-11-18
[2] https://www.ema.com.ua/citizens/cyber-safety-school/shemi-out-of-olx-shahrajstva-infografika/
Отдел реагирования на инциденты CyS Centrum (CyS-CERT)