В данный момент запускается новая серия поддельных платежных счетов, и нам удалось выявить эту кампанию еще на этапе ее подготовки. В этих письмах злоумышленники выдают себя за PayPal, Amazon, Geek Squad и других компаний, и все они преследуют одну цель: запугать вас, чтобы вы позвонили по указанному номеру, где вас будет ждать поддельный «специалист службы поддержки».
Особенность этой волны заключается в том, что в некоторых из найденных нами шаблонов поля для номера телефона и цены оставались пустыми, в то время как другие были уже заполнены и находились в обращении. Мы застали эту кампанию в самом разгаре.
В чем заключается афера?
Если вы получили электронное письмо, похожее на квитанцию — «Ваша подписка продлена за 349 долларов», «Вы отправили платеж на сумму 598,96 долларов» — и в нем содержится просьба позвонить по указанному номеру, чтобы отменить или оспорить списание, не делайте этого.
Это бесплатно. Цель такого письма — заставить вас позвонить мошеннику, который затем попытается убедить вас предоставить ему удаленный доступ к вашему компьютеру, раскрыть данные вашей банковской карты или «возместить убытки», для чего вам придется каким-то образом перечислить ему деньги.
Этот конкретный вид мошенничества называется «фантомный счет» или «возврат средств», и его суть заключается в психологическом, а не техническом манипулировании. Именно поэтому такие письма часто проскальзывают через спам-фильтры: в них, как правило, нет вредоносных вложений или ссылок, которые могли бы проанализировать системы безопасности. Суть мошенничества заключается в телефонном номере, по которому вас призывают позвонить.
Если вы не совершали эту покупку, нет необходимости звонить по номеру, указанному в письме, чтобы отменить её. Настоящие компании не заставляют клиентов урегулировать неожиданные списания, звоня по незнакомым номерам.
Цель проста: вызвать у вас достаточное беспокойство, чтобы вы позвонили. Вы видите крупную сумму, которую не узнаете, скажем, 499 долларов, и первым делом хотите это остановить. В счете любезно указан номер, по которому нужно позвонить, «если это не вы». Вы звоните — и оказываетесь на связи с мошенником.
Далее разговор обычно заканчивается одним из нескольких вариантов. Они могут попросить вас установить программу, чтобы «исправить» ошибку в списании средств, предоставив им доступ к вашему компьютеру. Они могут попросить у вас данные банковской карты или банковские реквизиты для «оформления возврата». Или же они могут «случайно» вернуть слишком большую сумму и попросить вас вернуть разницу, как правило, с помощью подарочной карты или банковского перевода.
Счет — это всего лишь приманка, а телефонный звонок — ловушка.
Эти письма выглядят убедительно, и некоторые из них уже попадают в почтовые ящики. Хорошая новость заключается в том, что само по себе получение такого письма не представляет опасности. Мошенничество срабатывает только в том случае, если вам удастся заставить вас позвонить по указанному номеру. Если вы распознаете сообщение как мошенническое и удалите его, атака на этом и закончится.
Если вы все же позвонили по указанному номеру и выполнили инструкции мошенника, запустите проверку на вирусы и проверьте состояние своих банковских счетов. Смените важные пароли, включите многофакторную аутентификацию (MFA) и убедитесь, что ваше программное обеспечение для защиты обновлено до последней версии.
Как мы застали его на стадии строительства
Большинство расследований мошенничества начинаются уже после того, как ущерб нанесен. Но этот случай был иным. Мы обнаружили набор практически одинаковых шаблонов счетов-фактур, которые явно входили в один комплект, причем некоторые из них были неполными.
Если в готовом мошенническом письме обычно указывается номер телефона, то в некоторых из них вместо него фигурировал буквальный текст #TFN# вместо этого, что является лишь заполнителем. («TFN» — это сокращение, используемое мошенниками для обозначения бесплатного номера, на который они перенаправляют звонки жертв.) Другие оставили цену в виде #PRICE#, дата в формате #DATE#, а получатель — как #EMAIL#. Это поля слияния — пробелы, которые инструмент массовой рассылки заполняет автоматически перед отправкой кампании.
Наличие этих заполнителей показало нам, что кампания все еще находилась в стадии подготовки. Некоторые шаблоны были еще не доработаны, а другие уже были готовы и содержали действующие номера обратной связи. Мы застали кампанию в разгаре ее развертывания — между этапами подготовки и полноценного запуска.
Почему эти счета выглядят правдоподобно
Мошенники используют известные бренды, такие как PayPal, Amazon и Geek Squad. Это компании, от которых люди привыкли получать квитанции и уведомления о продлении, что снижает настороженность.
Суммы списаний также тщательно подобраны. Суммы в размере нескольких сотен долларов достаточно велики, чтобы вызвать беспокойство, но при этом выглядят вполне правдоподобно, как оплата продления подписки или покупка в Интернете.
Во многих сообщениях создается ощущение срочности: получателям предлагается немедленно позвонить, чтобы оспорить или отменить списание. Такое давление призвано помешать людям самостоятельно проверить транзакцию.
В некоторых счетах даже упоминаются известные бренды, например, утверждается, что оплата была отправлена через PayPal Amazon. Упоминание нескольких известных компаний придает сообщению большую достоверность.
Как распознать поддельный счет-фактуру
Хорошая новость заключается в том, что у всех этих мошеннических схем есть общие признаки. Как только вы узнаете, на что нужно обращать внимание, их гораздо легче распознать. Обращайте внимание на следующие признаки:
- Списание средств, о котором вы не помните. Если вы не узнаете этот платеж, проверьте его самостоятельно в личном кабинете или в банке. Если записи об этом нет, скорее всего, это фиктивный счет, призванный побудить вас позвонить.
- Тикающие часы. Фразы вроде «Позвоните в течение 12 часов», «Отмените подписку до продления» или «Действуйте немедленно» создают ложное ощущение срочности, призванное помешать вам задуматься. Настоящие проблемы с оплатой могут подождать, пока вы всё проверьте.
- Бренды, которым вы доверяете, используются в качестве прикрытия. Чем знакомее логотип, тем менее внимательно люди читают текст. Мошенники пользуются доверием, которого они не заслужили.
- Необычные детали, которые как-то не сходятся. PayPal «от имени» Amazon, случайный адрес, которому никто не владеет, или слегка неверная формулировка. Доверяйте мелочам, которые вызывают у вас подозрения.
- Попытки удержать вас на линии. Если вы позвоните, в настоящей компании вам никогда не будут мешать повесить трубку, чтобы проверить информацию, а вот мошенник будет.
Если присутствует хотя бы один из этих признаков, считайте все сообщение подозрительным.
Запомните одно правило, которое поможет вам разобраться со всей этой аферой: настоящая компания никогда не будет торопить вас позвонить, чтобы отменить платеж, которого вы никогда не совершали. Если вы не уверены в подлинности списания, закройте письмо и проверьте свой счет обычным способом: самостоятельно введя адрес сайта компании в браузере или позвонив по номеру, указанному на обратной стороне вашей банковской карты.
Совет от эксперта: Malwarebytes Guard поможет выявить подобные мошеннические схемы и подскажет, как действовать дальше, в то время как Browser Guard заблокирует ваш доступ к мошенническим сайтам.
Что делать, если такое письмо попадет в ваш почтовый ящик
Если вы получили подозрительный счет, подобный описанным здесь, примите несколько простых мер предосторожности:
- Не звоните по этому номеру. В этом и заключается суть мошенничества. Для получения законного возмещения или отмены заказа не требуется звонить по номеру, указанному в нежелательном чеке.
- Не отвечайте и ни на что не нажимайте. Относитесь к этому сообщению как к подозрительному, даже если оно выглядит вполне нормально.
- Проверьте списания самостоятельно. Если у вас есть подозрения, что списание может быть поддельным, войдите в PayPal, своего банка или интернет-магазина, введя адрес самостоятельно, и проверьте историю транзакций.
- Сообщите об этом. Пересылайте подозрительные фишинговые письма на адрес службы поддержки компании, от имени которой они были отправлены, а в США — сообщайте о них в Федеральную торговую комиссию (FTC) по адресу
reportfraud.ftc.gov. Сообщение о нарушении помогает пресечь мошенническую деятельность. - Если вы уже позвонили, завершите разговор. Не устанавливайте никакое программное обеспечение, которое вам рекомендуют. Если вы предоставили удаленный доступ или сообщили платежные данные, немедленно свяжитесь со своим банком и запустите проверку безопасности на своем устройстве с помощью надежного средства.
- Остерегайтесь призывов к срочности. Такие фразы , как «в течение 12 часов» или «отмените сейчас», призваны подтолкнуть вас к действию, не дав времени на раздумье. Найдите время, чтобы самостоятельно проверить эту информацию.
Мошенники все чаще прибегают к тактикам, которые программному обеспечению нелегко выявить. Системы безопасности затрудняются проверить номер телефона, указанный в электронном письме, а само мошенничество происходит во время телефонного разговора, а не через вредоносную ссылку или вложение.
Именно поэтому так важно обнаружить эту кампанию на этапе ее запуска. Вместо того чтобы наблюдать за последствиями, мы смогли увидеть, как она готовилась: незавершенные шаблоны, неполные данные и весь набор инструментов для мошенничества до того, как он был полностью запущен.
Лучший способ защиты очень прост: если в неожиданном счете вам предлагают немедленно позвонить по указанному номеру, сначала остановитесь и самостоятельно проверьте правильность начисления.
Индикаторы компрометации
Домены
invoicepdfin[.]xyz
invoicepdfus[.]xyz
invoicepdfusa[.]xyz
invoicerep[.]xyz
invoicestatement[.]xyz
invoicestm[.]xyz
Номера для обратного звонка
804-392-2793
801-640-8589
Что-то не так? Проверьте, прежде чем нажимать.
Malwarebytes Guardпоможет вам мгновенно анализировать подозрительные ссылки, тексты и скриншоты.
Доступно в составеMalwarebytes Premium для всех ваших устройств, а также вMalwarebytes для iOS Android.
