Фишинг обрел человеческий голос. Мошенники заманивают жертв в чаты и грабят в прямом эфире под видом техподдержки
NewsMakerОператор такой вежливый, всё объясняет, вы благодарите за помощь — а через 5 минут у вас нет ни денег, ни аккаунта.
Фишинговые рассылки давно научились копировать письма от крупных брендов, но теперь мошенники все чаще уводят жертву не на обычную поддельную страницу, а в чат, который выглядит как настоящая служба поддержки. Исследователи Cofense описали именно такую схему: злоумышленники используют платформу LiveChat, через которую компании обычно общаются с клиентами в реальном времени, и под видом PayPal или Amazon выманивают учетные данные, реквизиты банковских карт, коды многофакторной аутентификации и персональные данные.
Кампания строится на двух типах писем-приманок. В первом варианте жертве сообщают, что на счет якобы должен поступить возврат на 200 долларов, и предлагают открыть детали транзакции. Во втором случае письмо выглядит более расплывчато: в нем говорится о заказе, который ожидает подтверждения, а ссылка скрыта под нейтральной формулировкой вроде просмотра обновления. Подходы разные, но расчет одинаковый. Один сценарий давит на интерес к неожиданным деньгам, другой играет на срочности и неясности, когда получатель не может сразу понять, о каком именно заказе идет речь.
После нажатия на ссылку пользователь попадает не на типичный фишинговый сайт с формой входа, а на страницу, размещенную через инфраструктуру LiveChat на домене lc[.]chat. За счет такого перехода атака выглядит менее подозрительно. Человек видит знакомый формат окна поддержки и с большей вероятностью решает, что общается с реальным представителем сервиса. При этом оформление зависит от конкретной приманки: в одном случае страница маскируется под PayPal, в другом под Amazon.
Дальше сценарии расходятся. В варианте с PayPal чат, по наблюдению Cofense, больше похож на автоматизированный или основанный на ИИ диалог. Сообщение появляется сразу после загрузки страницы и быстро подводит жертву к следующему шагу. После ответа пользователю присылают внешнюю ссылку, якобы необходимую для завершения процесса возврата тех самых 200 долларов. Уже там начинается более привычная фаза фишинга: жертву просят войти в учетную запись PayPal на стороннем ресурсе.
После ввода логина и пароля схема не останавливается. Пользователь получает код подтверждения на телефон, привязанный к аккаунту, а затем сам передает этот код мошенникам через поддельную форму. По сути, злоумышленник не просто крадет пароль, а в реальном времени перехватывает второй фактор аутентификации, чтобы сразу обойти защиту входа. Для ИБ-практики момент особенно важен: атака не ломает MFA технически, а обходит механизм за счет социальной инженерии и пошагового сопровождения жертвы.
После кода подтверждения жертву переводят к следующей форме, где уже под предлогом безопасности запрашивают платежные данные. Там собирают так называемую billing information, то есть сведения для выставления счетов и проверки владельца карты. Среди полей встречается и дата рождения, что нетипично для обычной проверки платежа, но полезно для злоумышленника как дополнительный идентификатор личности. Такой набор позволяет не только попытаться списать деньги, но и упростить захват самой учетной записи.
Следом появляется еще одна форма, где просят подтвердить банковскую карту для завершения возврата. Пользователь вводит номер карты, срок действия и другие реквизиты, после чего мошенник получает уже полный комплект данных: пароль от аккаунта, код MFA, персональные сведения и данные платежного средства. В конце жертву могут попросить ввести еще один код подтверждения, отправленный на телефон. Вероятно, речь идет о повторной попытке закрепить доступ к учетной записи или подтвердить операции, связанные уже с картой и обновленными данными профиля.
Вариант с Amazon устроен иначе и в каком-то смысле выглядит даже опаснее, потому что там злоумышленник , судя по описанию, общается с человеком вручную, а не через заготовленный сценарий. Перед началом диалога жертву просят указать адрес электронной почты, после чего в чате появляется сообщение о разблокировке ожидающего возврата. Затем собеседник под видом сотрудника службы поддержки начинает поэтапно собирать данные: сначала просит подтвердить email, потом номер телефона, дату рождения и адрес.
Такой порядок нужен не только для кражи информации, но и для создания ощущения настоящей верификации. Человеку кажется, что сервис последовательно сверяет профиль перед выплатой. Cofense обращает внимание на грубый язык и ошибки в сообщениях, например странные приветствия, лишние пробелы и двойные восклицательные знаки. Неровный стиль может выглядеть мелочью, но в подобных атаках именно такие детали часто выдают живого оператора, который быстро ведет разговор по шаблону, а не официальную службу поддержки с выверенными ответами.
После сбора базовых сведений фальшивый агент сообщает, что возврат на 200 долларов доступен, но данные карты якобы отсутствуют в системе. Дальше начинается прямой сбор карточных реквизитов: номер карты, срок действия и код CVC запрашивают под видом проверки. Чтобы усыпить бдительность, собеседник отдельно заверяет, что информация будет обработана конфиденциально. Подобная фраза как раз и должна снять внутреннее сопротивление в тот момент, когда жертву просят сообщить самые чувствительные данные прямо в чате.
Выбор LiveChat в качестве площадки здесь не случаен. Обычная фишинговая страница нередко вызывает подозрение сразу: человек видит форму входа, незнакомый адрес и понимает, что перед ним может быть подделка. Чат поддержки работает иначе. Диалог в реальном времени создает ощущение легитимного сервиса, а жертва меньше анализирует адресную строку и больше концентрируется на разговоре. Заодно злоумышленник может подстраиваться под ответы собеседника, дожимать его уточняющими вопросами и мгновенно менять тактику, если человек колеблется.
С технической точки зрения кампания сочетает сразу несколько классов угроз. В одной схеме соединены фишинг учетных данных , кража персональных данных, сбор реквизитов банковских карт, перехват кодов многофакторной аутентификации и имитация легитимной клиентской поддержки. Такой набор делает атаку особенно неприятной: злоумышленник получает не один фрагмент информации, а целую связку, достаточную и для захвата аккаунта, и для финансового мошенничества, и для дальнейших атак на ту же жертву.
Отдельно показательно, что бренд во втором письме сначала вообще не раскрывается. Получатель видит только сообщение о некоем заказе, который нужно подтвердить. Название Amazon появляется уже позже, на странице LiveChat. Такой прием снижает шанс, что человек сразу распознает несоответствие, особенно если у него действительно есть активные заказы в разных магазинах. В результате атака бьет не по одной конкретной аудитории, а по широкой массе пользователей, которые привыкли к уведомлениям о доставке, возвратах и проверке платежей.
Сценарий хорошо показывает, как меняется современный фишинг . Вместо одной поддельной формы все чаще используется целая цепочка: письмо, чат, внешняя страница входа, формы с дополнительными данными, повторный запрос кодов подтверждения и финальный возврат в чат с обещанием, что деньги скоро поступят. За счет такой последовательности каждая отдельная просьба выглядит не слишком подозрительно, хотя в сумме жертва шаг за шагом отдает полный набор критически важных сведений.
Фишинговые рассылки давно научились копировать письма от крупных брендов, но теперь мошенники все чаще уводят жертву не на обычную поддельную страницу, а в чат, который выглядит как настоящая служба поддержки. Исследователи Cofense описали именно такую схему: злоумышленники используют платформу LiveChat, через которую компании обычно общаются с клиентами в реальном времени, и под видом PayPal или Amazon выманивают учетные данные, реквизиты банковских карт, коды многофакторной аутентификации и персональные данные.
Кампания строится на двух типах писем-приманок. В первом варианте жертве сообщают, что на счет якобы должен поступить возврат на 200 долларов, и предлагают открыть детали транзакции. Во втором случае письмо выглядит более расплывчато: в нем говорится о заказе, который ожидает подтверждения, а ссылка скрыта под нейтральной формулировкой вроде просмотра обновления. Подходы разные, но расчет одинаковый. Один сценарий давит на интерес к неожиданным деньгам, другой играет на срочности и неясности, когда получатель не может сразу понять, о каком именно заказе идет речь.
После нажатия на ссылку пользователь попадает не на типичный фишинговый сайт с формой входа, а на страницу, размещенную через инфраструктуру LiveChat на домене lc[.]chat. За счет такого перехода атака выглядит менее подозрительно. Человек видит знакомый формат окна поддержки и с большей вероятностью решает, что общается с реальным представителем сервиса. При этом оформление зависит от конкретной приманки: в одном случае страница маскируется под PayPal, в другом под Amazon.
Дальше сценарии расходятся. В варианте с PayPal чат, по наблюдению Cofense, больше похож на автоматизированный или основанный на ИИ диалог. Сообщение появляется сразу после загрузки страницы и быстро подводит жертву к следующему шагу. После ответа пользователю присылают внешнюю ссылку, якобы необходимую для завершения процесса возврата тех самых 200 долларов. Уже там начинается более привычная фаза фишинга: жертву просят войти в учетную запись PayPal на стороннем ресурсе.
После ввода логина и пароля схема не останавливается. Пользователь получает код подтверждения на телефон, привязанный к аккаунту, а затем сам передает этот код мошенникам через поддельную форму. По сути, злоумышленник не просто крадет пароль, а в реальном времени перехватывает второй фактор аутентификации, чтобы сразу обойти защиту входа. Для ИБ-практики момент особенно важен: атака не ломает MFA технически, а обходит механизм за счет социальной инженерии и пошагового сопровождения жертвы.
После кода подтверждения жертву переводят к следующей форме, где уже под предлогом безопасности запрашивают платежные данные. Там собирают так называемую billing information, то есть сведения для выставления счетов и проверки владельца карты. Среди полей встречается и дата рождения, что нетипично для обычной проверки платежа, но полезно для злоумышленника как дополнительный идентификатор личности. Такой набор позволяет не только попытаться списать деньги, но и упростить захват самой учетной записи.
Следом появляется еще одна форма, где просят подтвердить банковскую карту для завершения возврата. Пользователь вводит номер карты, срок действия и другие реквизиты, после чего мошенник получает уже полный комплект данных: пароль от аккаунта, код MFA, персональные сведения и данные платежного средства. В конце жертву могут попросить ввести еще один код подтверждения, отправленный на телефон. Вероятно, речь идет о повторной попытке закрепить доступ к учетной записи или подтвердить операции, связанные уже с картой и обновленными данными профиля.
Вариант с Amazon устроен иначе и в каком-то смысле выглядит даже опаснее, потому что там злоумышленник , судя по описанию, общается с человеком вручную, а не через заготовленный сценарий. Перед началом диалога жертву просят указать адрес электронной почты, после чего в чате появляется сообщение о разблокировке ожидающего возврата. Затем собеседник под видом сотрудника службы поддержки начинает поэтапно собирать данные: сначала просит подтвердить email, потом номер телефона, дату рождения и адрес.
Такой порядок нужен не только для кражи информации, но и для создания ощущения настоящей верификации. Человеку кажется, что сервис последовательно сверяет профиль перед выплатой. Cofense обращает внимание на грубый язык и ошибки в сообщениях, например странные приветствия, лишние пробелы и двойные восклицательные знаки. Неровный стиль может выглядеть мелочью, но в подобных атаках именно такие детали часто выдают живого оператора, который быстро ведет разговор по шаблону, а не официальную службу поддержки с выверенными ответами.
После сбора базовых сведений фальшивый агент сообщает, что возврат на 200 долларов доступен, но данные карты якобы отсутствуют в системе. Дальше начинается прямой сбор карточных реквизитов: номер карты, срок действия и код CVC запрашивают под видом проверки. Чтобы усыпить бдительность, собеседник отдельно заверяет, что информация будет обработана конфиденциально. Подобная фраза как раз и должна снять внутреннее сопротивление в тот момент, когда жертву просят сообщить самые чувствительные данные прямо в чате.
Выбор LiveChat в качестве площадки здесь не случаен. Обычная фишинговая страница нередко вызывает подозрение сразу: человек видит форму входа, незнакомый адрес и понимает, что перед ним может быть подделка. Чат поддержки работает иначе. Диалог в реальном времени создает ощущение легитимного сервиса, а жертва меньше анализирует адресную строку и больше концентрируется на разговоре. Заодно злоумышленник может подстраиваться под ответы собеседника, дожимать его уточняющими вопросами и мгновенно менять тактику, если человек колеблется.
С технической точки зрения кампания сочетает сразу несколько классов угроз. В одной схеме соединены фишинг учетных данных , кража персональных данных, сбор реквизитов банковских карт, перехват кодов многофакторной аутентификации и имитация легитимной клиентской поддержки. Такой набор делает атаку особенно неприятной: злоумышленник получает не один фрагмент информации, а целую связку, достаточную и для захвата аккаунта, и для финансового мошенничества, и для дальнейших атак на ту же жертву.
Отдельно показательно, что бренд во втором письме сначала вообще не раскрывается. Получатель видит только сообщение о некоем заказе, который нужно подтвердить. Название Amazon появляется уже позже, на странице LiveChat. Такой прием снижает шанс, что человек сразу распознает несоответствие, особенно если у него действительно есть активные заказы в разных магазинах. В результате атака бьет не по одной конкретной аудитории, а по широкой массе пользователей, которые привыкли к уведомлениям о доставке, возвратах и проверке платежей.
Сценарий хорошо показывает, как меняется современный фишинг . Вместо одной поддельной формы все чаще используется целая цепочка: письмо, чат, внешняя страница входа, формы с дополнительными данными, повторный запрос кодов подтверждения и финальный возврат в чат с обещанием, что деньги скоро поступят. За счет такой последовательности каждая отдельная просьба выглядит не слишком подозрительно, хотя в сумме жертва шаг за шагом отдает полный набор критически важных сведений.