Ничего святого: мошенники пользуются азартом любителей акций и распродаж — как они уводят деньги, прикрываясь маркетплейсами

Мошенники каждый день придумывают какие-то новые схемы и уловки, чтобы собирать деньги с доверчивых или растерянных в моменте граждан. Поймав волну всенародной любви к маркетплейсам, они придумали методы паразитирования на их брендах. Недавно в телеграм-канале МВД РФ сообщили, что на этот раз мошенники маскируются под акции на Wildberries. НГС выяснил, что это за способ, насколько он новый и что советуют специалисты по кибербезопасности тем, кто хочет уберечь себя от обмана.

В официальном телеграм-канале УБК МВД России «Вестник Киберполиции России» 3 февраля появилось сообщение о новой мошеннической схеме.

— Новая схема для фишинга. Мошенники просто немного изменили уже существующую акцию от WB и T2-мобайл, разместив ее на поддельном домене ПОДАРОК-WILDBERRIES.RU. В оригинальной акции, которая уже завершилась, от пользователей требовалось подключить домашний интернет от Т2, чтобы получить сертификат Wildberries на 4 тысячи рублей, — указано в сообщении ведомства.

В ведомстве добавили, что мошенники просили пользователей авторизоваться в фейковом личном кабинете и получали доступ к их данным. Указанный домен уже заблокировали.

Настоящую акцию запустили в декабре 2024 года. Подключившие домашний интернет T2 счастливчики получали сертификат от Wildberries на 4 тысячи рублей на шоппинг на маркетплейсе. Мошенники создали похожую страничку, когда акция уже закончилась, и распространяли информацию о фейковой акции в соцсетях.

Мы попросили подписчиков нашего телеграм-канала рассказать, сталкивались ли они со случаями мошенничества на этом или других маркетплейсах. Читательница с ником Alison сообщила, что видела поддельные сайты, похожие на Wildberries, но «не повелась».

Подписчица Hayakawa признала, что ей регулярно приходят на электронную почту подозрительные гугл-формы якобы от маркетплейса с несуществующими заказами. В письмах неизвестные просят ее перейти по ссылкам, но сибирячка их игнорирует. Жаловались новосибирцы на попытки обмана и на других маркетплейсах.

В компании «Т2 Мобайл» (бренд T2), которая выступала соорганизатором реальной акции, отметили, что мошенники даже не потрудились упомянуть их на фишинговом сайте.

— Фактически мошенники просто скопировали дизайн общедоступной промо-страницы на сайте партнёра, — прокомментировали НГС в пресс-службе компании.

В пресс-службе объединенной компании Wildberries и Russ пояснили, что аномального увеличения жалоб от новосибирцев, связанных с мошенничеством на маркетплейсе, в последнее время не фиксировали, а указанный в публикации МВД России ресурс быстро выявили и заблокировали сотрудники службы информационной безопасности маркетплейса. Всего же за 2024 год Wildberries и Russ выявила и заблокировала больше трех тысяч фишинговых ресурсов, которые имитируют сайт маркетплейса.

Служба информационной безопасности Wildberries напомнила основные признаки фишинга, на которые нужно обращать внимание, чтобы не попасться на «удочку» злоумышленников. Среди них неожиданное письмо или сообщение в мессенджере якобы от Wildberries с информацией о неожиданном выигрыше призов, просьбой срочно перейти по ссылке, а затем предоставить личные данные. Вся информация об акциях и их условиях, напоминают в компании, всегда доступна на официальных ресурсах Wildberries.

Еще одним тревожным «звоночком» могут быть обезличенные сообщения.

— Фишинговые сообщения рассылают веером, а обращение к получателю выглядит как «Дорогой пользователь», «Уважаемый клиент», или обращение вообще отсутствует. Кроме того, сотрудники Wildberries никогда не запрашивают личную информацию и не рассылают сообщения об участии или выигрыше в акции, — пояснили в пресс-службе Wildberries и Russ.

В компании отметили, что фишинговые ссылки часто выглядят почти как настоящие, но содержат ошибки или лишние символы в известных словах (например, wilbberries.ru вместо wildberries.ru), поэтому нужно всегда проверять правильное написание ссылки перед тем, как кликать по ней.

Для кражи данных мошенники могут использовать вирусы во вложениях, поэтому в Wildberries не советуют открывать файлы от неизвестных отправителей. А также рекомендуют внимательно изучать информацию: фишинговые сайты часто копируют дизайн известных компаний. При этом мелкие детали могут отличаться и содержать ошибки: в сообщении может быть написано, например, «введитепароль» слитно — это уловка, чтобы обойти фильтры безопасности.

— При переходе по такой ссылке мошенники просят ввести данные карты якобы для зачисления выигрыша, а затем просят заплатить «комиссию», связанную с конвертацией выигрыша в рубли. В результате человек рискует потерять свои данные и деньги. В случае сомнений лучше связаться с нашей службой поддержки напрямую через форму на официальном сайте или в приложении, — добавили в WB.

Специалисты по кибербезопасности напоминают любителям акций и распродаж, что подобные схемы мошенники могут использовать, паразитируя на любых ресурсах и играя на эмоциях тех, кто хочет заполучить что-то подешевле.

— Тактика использования злоумышленниками акций и распродаж в качестве подспорья для фишинговых атак — частое явление. Вредоносные сайты могут продвигать при помощи социальных сетей и мессенджеров. В указанном случае злоумышленники имитировали существующую акцию, которая уже к тем порам закончилась, разместив ее на поддельном сайте, — объяснила схему распространения обмана Валерия Беседина, аналитик исследовательской группы Positive Technologies. — Для участия жертву просят авторизоваться в личном кабинете — так атакующие получают доступ к данным жертвы.

Валерия Беседина подчеркнула, что во время акций и распродаж люди должны быть предельно осторожны. Следует всегда проверять информацию в официальных источниках: на сайте или в мобильном приложении компании, которая запустила акцию, на сайтах партнеров акций, внимательно проверять адреса сайтов, не открывать вложения от неизвестных отправителей и никогда не вводить личные данные на незнакомых сайтах.

В случае, если человек сомневается, с проверенной компанией или с мошенниками он имеет дело, эксперт советует использовать отдельные банковские карты для онлайн-покупок, а также подключать уведомления об операциях и устанавливать на картах лимиты на траты.

По словам старшего контент-аналитика «Лаборатории Касперского» Ольги Свистуновой, мошенники все чаще обращаются к брендам крупных маркетплейсов из-за большого количества их пользователей — как среди покупателей, так и среди продавцов.

— Чем больше людей, тем выше в глазах злоумышленников шанс успешной реализации обманной схемы, — пояснила эксперт. — Классическая фишинговая атака заключается в том, что мошенники отправляют пользователям поддельные сообщения или ссылки, выдавая себя за официальных представителей маркетплейса, чтобы получить их личные данные, пароли или данные кредитных карт.

Ольга Свистунова добавила, что также злоумышленники могут создавать фальшивые сайты, похожие на страницы оплаты маркетплейса, чтобы перехватывать платежные данные пользователей. По другой популярной схеме мошенники могут предлагать деньги или скидки за положительные отзывы. В целом, «обертка» может быть разной, но принцип всегда один: заставить жертву оставить свои платежные данные или данные для входа в аккаунт.

Для минимизации рисков спикер рекомендует помимо стандартных способов обезопасить себя, подключить двухфакторную аутентификацию там, где это возможно, не использовать одинаковые пароли для разных сайтов и регулярно их менять.

Мошенники регулярно придумывают все новые схемы обмана. Так, недавно новосибирцы столкнулись с волной атак в мессенджерах: злоумышленники взламывали аккаунты пользователей и просили денег в долг у контактов жертвы. Жертвой мошенников стал даже бывший мэр Новосибирска Анатолий Локоть. Он предупредил новосибирцев об этом и рекомендовал относиться к подобным сообщениям критически.

А однажды жулик позвонил корреспонденту НГС и пытался получить доступ к ее аккаунту на портале «Госуслуги». Корреспондент вычислила аферу, чем очень разозлила злоумышленника.