Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA спільно з НКЦК РНБО вживаються заходи з блокування шахрайських ресурсів, які використовуються для викрадення даних платіжних карток громадян України.
Опис шахрайської схеми:
1. Зловмисниками створено сторінку «UA Blog» в FaceBook (https://www.facebook.com/UA-Blog-109023171478152/) для проведення реклами шахрайства (Рис.1).
Рис.1 FaceBook сторінка шахраїв
Рис.2 Реклама шахраїв
Рис.3 Реклама шахраїв
2. В рекламних оголошеннях повідомляється про те, що за проходження опитування буде здійснена виплата не менше 16500 грн, чим шахраї заманюють людей перейти за посиланням hXXps://airmauritiusticket.com (Рис.2, Рис.3).
Тут потрібно відзначити, що при переході за посиланням hXXps://airmauritiusticket.com з ІР-адреси, яка не належить українському сегменту мережі Інтернет, користувачу відкривається саме цей сайт, який є погано зробленим фейком сайту ТСН (Рис.4).
Рис.4 Фейковий сайт airmauritiusticket.com
Фішинговий сайт airmauritiusticket.com розміщено в РФ за ІР-адресою 92.63.103.235 (Рис.5).
Рис.5 Розміщення сайту airmauritiusticket.com
3. Але якщо переходити на сайт airmauritiusticket.com з ІР-адреси України, буде здійснено перенаправлення на інший сайт hХХps://gangbang6.monster/m4hp2k, на якому користувачам пропонується пройти опитування для того щоб отримати гроші (Рис.6).
Сайт розміщено за CloudFlare.
Рис.6 Сайт gangbang6.monster/m4hp2k
4. При натисканні на кнопку «ОТРИМАТИ ГРОЩІ» відбувається перенаправлення на сайт hХХps://great-surveys.top/internal-account.php, ІР-адреса 165.227.174.93, Німеччина (Рис.7).
Рис.7 Розміщення сайту gangbang6.monster/m4hp2k та accept-pay.top
5. На цьому вже російськомовному сайті розміщено сам «опитувальник», після проходження якого, жертві повідомляють, що вона отримала велику суму коштів, яка готова для відправки але за отримання коштів потрібно заплатити невелику суму у розмірі 138 грн (Рис.8).
Рис.8 Повідомлення про виграш коштів
На шахрайському сайті навіть створені фейкові коментарі з подяками, питанням та відповідями служби підтримки, для того щоб жертва подумала, що люди реально відправляють та отримують кошти за допомогою цього сайту (Рис.9).
Рис.9 Фейкові коментарі
6. При натисканні на кнопку для виконання платежу, виконується перенаправлення на сайт hххps://accept-pay.top/?am=138&who=11&sub=, який знаходиться на тій же ІР-адресі (Рис.7). Цей сайт представляє з себе фішингову форму для викрадення даних платіжних карток (Рис.10).
Рис.10 Фішинговий сайт hххps://accept-pay.top/?am=138&who=11&sub=
Жертва з метою отримання великих грошей вводить реквізити своєї платіжної картки на невідомому сайті, після чого відкривається вікно помилки транзакції а дані направляються до зловмисників. Далі відбувається викрадення коштів з платіжних карток жертв.
Рис.11 Начебто помилка транзакції
Рекомендації
1. Якщо Ви ввели дані своєї платіжної картки на зазначеному фішинговому сайті потрібно НЕГАЙНО заблокувати платіжну картку звернувшись за телефоном гарячої лінії Вашого банку (вказаний на звороті картки) або через інтернет-банкінг та звернутися до Кіберполіції https://ticket.cyberpolice.gov.ua.
2. Ніколи не вводьте реквізити платіжних карток на незнайомих та підозрілих сайтах та налаштуйте контроль руху коштів (підключіть SMS-інформування та встановіть ліміти стосовно операцій з вашою платіжною карткою)
3. Скористайтесь основними порадами платіжної безпеки Національного банку України https://bank.gov.ua/promo/stopfraud/
та правилами кібергігієни https://cert.gov.ua/recommendation/31
Індикатори компрометації:
Domains:
airmauritiusticket.com
gangbang6.monster
great-surveys.top
accept-pay.top
Автор публікації
