Фишинг обрел человеческий голос. Мошенники заманивают жертв в чаты и грабят в прямом эфире под видом техподдержки
NewsMakerОператор такой вежливый, всё объясняет, вы благодарите за помощь — а через 5 минут у вас нет ни денег, ни аккаунта.
Фишинговые рассылки давно научились копировать письма от крупных брендов, но теперь мошенники все чаще уводят жертву не на обычную поддельную страницу, а в чат, который выглядит как настоящая служба поддержки. Исследователи Cofense описали именно такую схему: злоумышленники используют платформу LiveChat, через которую компании обычно общаются с клиентами в реальном времени, и под видом PayPal или Amazon выманивают учетные данные, реквизиты банковских карт, коды многофакторной аутентификации и персональные данные.
Кампания строится на двух типах писем-приманок. В первом варианте жертве сообщают, что на счет якобы должен поступить возврат на 200 долларов, и предлагают открыть детали транзакции. Во втором случае письмо выглядит более расплывчато: в нем говорится о заказе, который ожидает подтверждения, а ссылка скрыта под нейтральной формулировкой вроде просмотра обновления. Подходы разные, но расчет одинаковый. Один сценарий давит на интерес к неожиданным деньгам, другой играет на срочности и неясности, когда получатель не может сразу понять, о каком именно заказе идет речь.
После нажатия на ссылку пользователь попадает не на типичный фишинговый сайт с формой входа, а на страницу, размещенную через инфраструктуру LiveChat на домене lc[.]chat. За счет такого перехода атака выглядит менее подозрительно. Человек видит знакомый формат окна поддержки и с большей вероятностью решает, что общается с реальным представителем сервиса. При этом оформление зависит от конкретной приманки: в одном случае страница маскируется под PayPal, в другом под Amazon.
Дальше сценарии расходятся. В варианте с PayPal чат, по наблюдению Cofense, больше похож на автоматизированный или основанный на ИИ диалог. Сообщение появляется сразу после загрузки страницы и быстро подводит жертву к следующему шагу. После ответа пользователю присылают внешнюю ссылку, якобы необходимую для завершения процесса возврата тех самых 200 долларов. Уже там начинается более привычная фаза фишинга: жертву просят войти в учетную запись PayPal на стороннем ресурсе.
Фишинговые рассылки давно научились копировать письма от крупных брендов, но теперь мошенники все чаще уводят жертву не на обычную поддельную страницу, а в чат, который выглядит как настоящая служба поддержки. Исследователи Cofense описали именно такую схему: злоумышленники используют платформу LiveChat, через которую компании обычно общаются с клиентами в реальном времени, и под видом PayPal или Amazon выманивают учетные данные, реквизиты банковских карт, коды многофакторной аутентификации и персональные данные.
Кампания строится на двух типах писем-приманок. В первом варианте жертве сообщают, что на счет якобы должен поступить возврат на 200 долларов, и предлагают открыть детали транзакции. Во втором случае письмо выглядит более расплывчато: в нем говорится о заказе, который ожидает подтверждения, а ссылка скрыта под нейтральной формулировкой вроде просмотра обновления. Подходы разные, но расчет одинаковый. Один сценарий давит на интерес к неожиданным деньгам, другой играет на срочности и неясности, когда получатель не может сразу понять, о каком именно заказе идет речь.
После нажатия на ссылку пользователь попадает не на типичный фишинговый сайт с формой входа, а на страницу, размещенную через инфраструктуру LiveChat на домене lc[.]chat. За счет такого перехода атака выглядит менее подозрительно. Человек видит знакомый формат окна поддержки и с большей вероятностью решает, что общается с реальным представителем сервиса. При этом оформление зависит от конкретной приманки: в одном случае страница маскируется под PayPal, в другом под Amazon.
Дальше сценарии расходятся. В варианте с PayPal чат, по наблюдению Cofense, больше похож на автоматизированный или основанный на ИИ диалог. Сообщение появляется сразу после загрузки страницы и быстро подводит жертву к следующему шагу. После ответа пользователю присылают внешнюю ссылку, якобы необходимую для завершения процесса возврата тех самых 200 долларов. Уже там начинается более привычная фаза фишинга: жертву просят войти в учетную запись PayPal на стороннем ресурсе.