Ради наживы интернет-мошенники готовы обманывать пользователей и рекламодателей любыми способами. Например, они могут размещать рекламу на поиске или в рекламных сетях, которая ведет на фишинговые сайты.
Мошенники злоупотребляют популярными запросами, создают под них рекламные кампании и объявления, делают всё, чтобы пройти модерацию и ставят вредоносные ссылки. Вот так просто — без рассылки фишинговых писем по email, без спама сообщениями в ВК — они берут и заманивают пользователя в ловушку через, казалось бы, достоверный и качественный канал.
Что такое фишинг
Фишинг (от англ. phishing: phone phreaking — «взлом телефонных автоматов» и fishing — «рыбная ловля») — вид цифрового мошенничества, при котором злоумышленники массово рассылают вредоносный спам, притворяясь известными компаниями, брендами, государственными структурами, и получают доступ к персональным или банковским данным пользователей. Это могут быть письма на почту, звонки, SMS, сообщения в соцсетях, вредоносные сайты в выдаче и т. п.
Цель — выудить у пользователя персональную информацию, данные банковских карт и счетов, логины и пароли. Некоторые мошенники спрашивают об этом напрямую, другие — приводят на сайт-клон, на страницу с формами входа, и «снимают» данные авторизации, которые вводит ничего не подозревающая жертва.
Только за январь-февраль 2022 года Google обнаружил 2 миллиона новых фишинговых сайтов.
Виды фишинга
Эксперты выделяют семь видов фишинга. Среди них: целевой фишинг, уэйлинг, смишинг, вишинг, email-фишинг, шантаж интимными подробностями и поисковый фишинг. Давайте разбираться в терминах.
Целевой фишинг
От англ. spear phishing, что в переводе означает “ловля с копьем”. В качестве целей злоумышленники выбирают определенную группу, конкретного пользователя или должность в компаниях. При ловле рыбы с копьем рыболов выбирает конкретную цель, отсюда и такое название у данной мошеннической техники.
Злоумышленник отправляет пользователю или группе пользователей email, SMS или голосовой звонок с вредоносной начинкой. Путем манипуляций мошенник выуживает данные доступов к системам, персональную информацию и т. д.
Данный вид мошенничества весьма эффективен, поскольку атакующий, как правило, выдает себя за начальника жертвы, его коллегу, друга, члена семьи, обслуживающий банк или популярный интернет-магазин, чтобы она не смогла сразу осознать мошенническую составляющую.
Нередко киберпреступники пытаются запугать жертву, чтобы та предпринимала необдуманные поступки прямо здесь и сейчас: сообщить банковский код подтверждения, чтобы «спасти деньги на счетах и не дать мошенникам снять все средства».
Уэйлинг
От англ. whaling, что в переводе означает “охота на кита”. В данном случае злоумышленники направляют свои атаки на руководителей крупных компаний. С помощью уэйлинга мошенники пытаются заполучить ИНН и номер банковского счета компании.
В ход идет банальная ложь, например, что кто-то подает в суд на компанию. Или, к примеру, киберпреступник отправляет на почту руководителю компании письмо якобы от имени клиента с запросом платежа.
Данные фишинговые атаки всегда имеют персональную направленность. В письме злоумышленник обязательно использует точное название должности, ФИО, контактные данные жертвы. Всю эту информацию они получают с официальных сайтов, из социальных сетей или прессы.
Смишинг
От англ. smishing (SMS + phishing) — фишинг через рассылку SMS. В текстах таких сообщений злоумышленники размещают вредоносную ссылку, которая ведет на мошеннический ресурс. Через эту атаку киберпреступники выманивают у жертвы данные банковских карт, ключевые/проверочные слова и другие персональные данные.
К примеру, мошенники рассылают SMS-сообщения со ссылкой на сайт-клон банка с фишинговой страницей и формой для входа в аккаунт.
Вишинг
От англ. vishing (voice + phishing) — фишинговая атака через голосовой звонок. Многие же, наверно, слышали рассказы, как родственник(-ца) звонил(-а) по телефону и просил(-а) перевести денег прямо сейчас из-за сложной жизненной ситуации, аварии и т. п.
Или, например, как это бывает в США: звонок якобы из службы Microsoft с «радостной» новостью о том, что ваш компьютер заражен вирусом. Собеседник давит на жертву и принуждает немедленно обновить антивирусную защиту.
Однако после установки оказывается, что пользователь на самом деле загрузил на ПК вредоносную программу, и теперь преступники получили доступ ко всем данным. Теперь злоумышленник может использовать зараженное устройство по своему усмотрению: для кражи персональных данных, выполнения DDoS-атаки и участия в ботнетах для скликивания рекламы.
Email-фишинг
Самый распространенный вид. Хакеры массово рассылают письма с вредоносными ссылками или вложениями по базе email. Схема рабочая и используется еще с 90-х гг. прошлого столетия.
В письме указывается, что аккаунт пользователя, якобы, был заблокирован или скомпрометирован, поэтому ему нужно немедленно перейти по указанной ссылке и ввести свои данные авторизации.
В данном случае нужно в первую очередь внимательно посмотреть на адрес отправителя, а также другие маркеры. Если что-то кажется подозрительным, вы не запрашивали смену паролей, не стоит переходить по ссылкам в письмах от неизвестных адресатов.
Шантаж
Или sextortion — сексуальное вымогательство. Это вид фишинговых атак с использованием шантажа о якобы наличии интимного компромата. Злоумышленники взламывают аккаунты пользователей или каким-либо иным способом получают фото-/видеоматериалы интимного характера, а затем шантажируют ими жертву. Или просто рассылают письма с угрозами без наличия каких-либо доказательств.
Мошенники даже могут пойти на обман и утверждать, что получили доступ к почтовому ящику пользователя, а также располагают неким видео с веб-камеры. Они будут угрожать, что разошлют компромат семье жертвы и коллегам, если та не заплатит им за молчание.
В таких письмах, как правило, содержится текст общего характера. В них присутствует характерное «бесполое» обращение, то есть по тексту письма будет неясно, кому оно направлено — мужчине или женщине. Это делается для того, чтобы рассылать письма обширной аудитории, не меняя текст. Также в нем будут присутствовать формулировки общего характера.
Поисковый фишинг
Фишинг в поисковых системах также носит название «зараженное» SEO и SEO-трояны. В этом случае хакеры пытаются вывести свой вредоносный сайт как можно выше в выдаче поисковика. Когда пользователи переходят по ссылке, они попадают на мошеннический ресурс, откуда их персональные данные могут попасть в руки мошенникам. Такие ресурсы часто выдают себя за банковские сайты и социальные сети.
Как работает фишинг в рекламе
Злоумышленники, промышляющие фишингом, размещают рекламу под самые популярные ключевые запросы в поисковиках Яндекс, Google и др. Когда пользователь вводит ключевую фразу в поиск, над результатами естественной выдачи отображается рекламный блок.
В этом-то блоке и может находиться ссылка на фишинговый ресурс. Пользователи, которым всё равно, по какой ссылке переходить из поиска, таким образом попадают в ловушку.
Почему злоумышленники решили перейти на такую модель мошенничества? Вот основные «плюсы»:
- До посещения сайта пользователь не сможет понять, что ресурс — фишинговый. В случае с письмами это может быть очевидно сразу (адрес отправителя, дизайн писем, другие подозрительные маркеры и т. д.).
- Злоумышленникам не приходится прорываться сквозь фильтры анти-спама почтовых сервисов, поскольку они вовсе не взаимодействуют с email.
- Мошенникам не нужно тратить время на поиск почтовых баз и выкупать их.
- В конце концов, сервисы и фильтры проверки качества ресурсов не справляются с обнаружением фишинговых объявлений.
Как только на рекламное объявление поступает жалоба, площадка блокирует аккаунт рекламодателя, однако он тут же способен создать еще десяток новых. Для мошенников, которые владеют сотнями вредоносных и монетизируемых ресурсов, это не проблема.
Примеры фишинга
Ниже мы приведем два ярких примера последних лет из новостных лент, когда злоумышленникам удавалось с помощью фишинговых атак обманывать своих жертв.
Google Реклама: как злоумышленники похитили 4 млн долларов через фишинговые крипторесурсы
Ничего не подозревающие владельцы криптовалют потеряли более 4 миллионов долларов из-за фишинговых сайтов, продвигаемых с помощью рекламы Google. Данные из Google Ads в сочетании с блокчейн-аналитикой показывают, что более 4 миллионов долларов было украдено у пользователей, которые попали на вредоносные сайты, продвигаемые в Google.
По данным экспертов сервиса кибербезопасности Web3 ScamSniffer, в апреле этого года вредоносная реклама фишинговых сайтов стала преобладать в результатах поиска Google Ads. URL-адреса ведут на мошеннические ресурсы, которые запрашивают ввод данных для входа в кошелек.
Недавний всплеск мошеннических атак с помощью поисковой рекламы Google привел к тому, что пользователи потеряли около 4 миллионов долларов. Ряд DeFi-протоколов, сайтов и брендов, среди которых Zapper.fi, Lido, Stargate, DefiLlama, Orbiter Finance и Radiant, стали мишенями мошенников. Незначительные изменения официальных URL-адресов этих ресурсов (использование цифры вместо буквы и т. п.) вводят пользователей в заблуждение.
Анализ метаданных на ряде фишинговых сайтов, о которых идет речь, показал, что они были связаны с рекламодателями из Украины и Канады. Пользователи, ответственные за размещение вредоносной рекламы, использовали методы для обхода процесса проверки РК в Google Ads. Среди них — манипулирование параметром Google Click ID, который позволяет злоумышленникам показывать обычную страницу на этапе модерации рекламных кампаний.
К другим вредоносным объявлениям применялись методы защиты от отладки для перенаправления пользователей с включенными инструментами разработчика на обычный сайт, в то время как прямой клик приводил на вредоносный ресурс.
Сетевой анализ данных с адресов, связанных с вредоносными сайтами, рекламируемыми в Google, из базы данных ScamSniffer показал, что за последний месяц у более чем 3000 пользователей было украдено 4,16 миллиона долларов.
Специалисты сервиса по борьбе с цифровым мошенничеством отследили цепочку передачи средств на различные платформы обмена и микширования, включая SimpleSwap, Tornado Cash, KuCoin и Binance.
Эксперты также предположили, что прибыль от фишинговых сайтов, связанных с криптографией, значительно преобладает над затратами. Средняя стоимость клика по связанным ключевым словам составляет от 1 до 2 долларов. Оценивая коэффициент конверсии в 40% от 7500 пользователей, кликнувших по вредоносной рекламе, мошенники потратили на рекламу около 15 000 долларов, что обеспечило отдачу от их инвестиций в размере 276%, учитывая украденные на сегодняшний день 4 миллиона долларов.
Фишинговый рынок в Telegram
Сервис Telegram — популярный мессенджер с возможностью создания каналов, расширения аудитории подписчиков и рекламы. Он особенно популярен среди мошенников, занимающихся фишингом.
Киберпреступники научились использовать Telegram как для автоматизации своей вредоносной деятельности, так и для предоставления различных услуг — от продажи наборов «начинающего фишера» до помощи в настройке пользовательских фишинговых кампаний.
Для продвижения своего «товара» мошенники создают Telegram-каналы, через которые рассказывают своей аудитории о фишинге и развлекают подписчиков опросами по типу: «Какой тип персональных данных вас больше всего интересует?». Ссылки на свои каналы они распространяют через YouTube, GitHub и другие платформы.
Злоумышленники предлагают: автоматический фишинг с помощью ботов Telegram, бесплатные наборы разработчика, услуги мошенникам, продажу фишинговых и мошеннических сайтов, продажу баз данных, фишинг как услугу.
Как бороться с фишингом
Фишинг — киберугроза, о которой должны помнить и простые пользователи в интернете, и руководители крупных фирм. Важно выстроить системы защиты и позаботиться о сохранности персональных данных.
Общие советы по безопасности
- Обучайте персонал компании. Обязательно расскажите о том, как злоумышленники могут обманывать и чем это грозит фирме.
- Проводите проверки. Отправляйте через службу безопасности своей компании проверочные фишинговые письма. Выявляйте сотрудников, которые пренебрегают безопасностью и проводите с ними беседу.
- Повышайте уровень осведомленности сотрудников о фишинге и других киберугрозах.
- Создавайте правила сетевого доступа и безопасности, чтобы в вашу систему не могли внедриться киберпреступники.
- Как пользователь обращайте внимание на отправителя письма (адрес email), URL-сайта и ссылки, по которыми переходите.
- Не ведитесь на откровенно бредовые предложения о «бесплатном сыре в мышеловке». Думайте, вчитывайтесь и только затем, если уверены в отправителе, переходите по ссылке.
- Регулярно обновляйте приложения, операционные системы, сетевые инструменты и внутреннее программное обеспечение. Так вы можете гарантировать повышенную защиту от киберугроз.
Что с этим делать рекламодателям
Если вы являетесь рекламодателем, видите, что конкурент в рекламе на поиске находится выше вас и подозреваете его во вредоносной активности, смело пишите жалобу в службу поддержки площадки. Они проведут проверку и исключат мошенника, если информация подтвердится.
Что делать с этим владельцам ресурсов
Что делает бизнес наиболее уязвимым для фишинга? Человеческая ошибка. Любой может совершить ошибку, перейдя по вредоносной ссылке хоть из письма, хоть из поиска. Поэтому важно обучать свой персонал грамотному взаимодействию в интернете.
По данным компании Tessian, в 2020 году 75% организаций по всему миру подверглись фишинговым атакам, 96% из которых были совершены по электронной почте. Средняя стоимость скомпрометированной записи составляет 150 000 долларов. Средняя стоимость утечки данных составляет 3,92 миллиона долларов, не включая катастрофический ущерб репутации, который последует за этим.
Как рекламодателю защититься от онлайн-мошенничества
Фишинг — это лишь один из видов цифрового мошенничества, с которым могут столкнуться и обычные пользователи, и сотрудники крупных компаний, и в том числе рекламодатели. Это не только потеря денег или персональных данных, но и заражение устройства вредоносами.
Самая распространенная проблема, связанная с киберпреступностью, — боты, которыми и становятся зараженные через фишинг смартфоны и компьютеры невнимательных пользователей. Злоумышленники создают из них сети (ботнеты) и направляют атаки на сайты, интернет-магазины, социальные сети и, самое главное, рекламу.
Рекламодатели от атак ботов потеряли свыше 80 млрд долларов за 2022 год. Сумма невероятная. Почему это произошло? Потому что они не позаботились о системе киберзащиты от скликивания, а аппетиты мошенников выросли.
Botfaqtor — отечественный сервис, который проверяет переходы по рекламе в режиме реального времени. Алгоритм анализирует каждый клик по 100 техническим и поведенческим параметрам, блокирует явных ботов, сортирует источники трафика на качественные и некачественные. Все клики по объявлениям регистрируются и предоставляются в виде отчета. Рекламодатель владеет этими данными и может просматривать, сколько ботов заблокировано, выбирать, на каких-площадках больше всего мошеннического трафика и блокировать их.
Вы можете записаться на демонстрацию продукта, где вам расскажут и покажут, как работает сервис, или самостоятельно попробовать сервис блокировки от скликивания совершенно БЕСПЛАТНО. Зарегистрируйтесь и получите бесплатный доступ на 7 дней. Добавьте свои рекламные кампании из Яндекс.Директ или Google Ads и проверяйте трафик по рекламе.
С помощью сервиса киберзащиты Botfaqtor рекламодатели проверили свыше 650 млн посетителей, заблокировали >143 млн ботов, защитили более 6 тыс. сайтов.