фишинг
Злоумышленники часто рассылают фишинговые письма от имени известных компаний, чтобы выманить у их клиентов логины и пароли от личных кабинетов, номера телефонов или другую информацию. Конечно же, одна из наиболее привлекательных целей для фишеров — клиенты финансовых организаций, например банков, криптобирж, платежных систем и так далее.
В этот раз мы обнаружили фишинг от лица финансового онлайн-сервиса Wise (в недавнем прошлом — TransferWise), услугами которого пользуются миллионы людей. Разбираемся в фишинговой схеме и рассказываем, как не стать жертвой обмана и защитить свои данные.
Немного о Wise
Почему именно Wise? Дело не только в том, что сервису доверяют деньги. Еще совсем недавно компания называлась иначе — TransferWise — и занималась в основном денежными переводами между странами. В 2021 году она расширила набор своих услуг — ее клиенты теперь могут не только отправлять деньги за рубеж, но и хранить их на счету, оформлять мультивалютные дебетовые карты и так далее.
Чтобы название лучше отражало деятельность организации, ее руководство решило отказаться от слова Transfer («денежный перевод») и выбрало более лаконичный вариант — Wise. Связанной с ребрендингом неразберихой и решили воспользоваться в своих целях злоумышленники.
Как работает схема
Атака начинается с фишингового письма якобы от службы поддержки Wise. Жертве сообщают, что компания сменила название, поэтому нужно перенести аккаунт на новую платформу.
Письмо якобы от TransferWise предупреждает о необходимости переноса аккаунта на новую платформу
Если не читать текст, сообщение можно принять за настоящее: в строке с именем отправителя значится wise.com, в теле письма — логотип компании с фирменным голубым флажком. Однако присмотревшись внимательнее, можно заподозрить неладное: адрес, с которого пришло уведомление, состоит из случайного набора цифр и слов, никак не связанных с Wise, а в домене почему-то название кенийской технической школы Moringa. Сам текст письма составлен с ошибками и опечатками — крупный сервис такого себе точно не позволит.
Еще в письме есть две ссылки: одна якобы для перехода на новый сайт, другая — для связи с отправителями. На самом деле обе ведут на одну и ту же страницу, с которой жертву автоматически перенаправляют уже на другой, фишинговый ресурс.
Фишинговый сайт выглядит правдоподобнее, чем письмо — он действительно очень похож на настоящий сайт Wise. Здесь та же приветственная надпись, тот же дизайн… Отличается только картинка в левой части страницы и URL-адрес, в котором неожиданно появилось название приложения для поиска ресторанов и услуг со скидками. Тут киберпреступники просят пользователя Wise ввести электронную почту и пароль для входа в аккаунт.
Фишинговая страница входа в личный кабинет Wise
Однако на логинах и паролях сбор личной информации не заканчивается: «приняв» учетные данные — причем неважно, реальные они или нет, — сайт просит жертву ввести еще и номер телефона. Для входа в настоящий аккаунт на официальном сайте он, кстати, не нужен.
Напоследок злоумышленники просят клиента Wise ввести номер телефона
Когда пользователь нажимает кнопку «Продолжить», сайт будто бы зависает: пока данные отправляются преступникам, жертва видит лишь крутящийся логотип и надпись «Загрузка».
Фишинговая страница «задумалась»
Если жертва в нетерпении несколько раз нажмет на кнопку «Продолжить», ее перенаправят на официальный сайт Wise. Вероятно, расчет злоумышленников в том, что клиент Wise, почувствовав неладное и посмотрев на адрес сайта на этом этапе, даже не догадается, что его данные попали в руки злоумышленников, и просто продолжит заниматься своими делами.
В конце концов происходит переадресация на официальный сайт Wise
Куда попадут данные
Скорее всего, главная цель преступников — именно номера телефонов, которые они собирают в базы данных и продают телефонным мошенникам. А из скомпрометированных аккаунтов преступники смогут узнать дополнительную информацию о пользователях — в частности, имя, фамилию и адрес проживания. С такими сведениями обман будет выглядеть для жертвы еще убедительнее.
Как защититься
Чтобы не попасть в ловушку злоумышленников и защитить свои данные, достаточно помнить о простых правилах кибербезопасности.
- Получив письмо от известной компании, первым делом обращайте внимание на реальный адрес электронной почты отправителя. Если там — бессмысленный набор цифр и букв, случайные слова или необычный домен, то, скорее всего, вас пытаются обмануть.
- Не переходите по ссылкам из писем и сообщений, даже если кажется, что их отправил знакомый вам сервис, — сайты всегда лучше открывать из «Избранного», через поисковик или вводить адрес вручную, если вы его помните.
- Если вы подозреваете, что столкнулись со злоумышленниками, напишите в поддержку компании, от имени которой пришло письмо, — она точно сообщит, верны ли факты в письме или это фейк. И, если будет нужно, примет меры и оповестит других клиентов.
- Установите надежный антивирус с защитой от фишинга и онлайн-мошенничества, который вовремя предупредит об опасности.
- На смартфоне используйте специальное приложение, защищающее от голосового спама и телефонного мошенничества, например Kaspersky Who Calls. Если вам звонят спамеры или телефонные мошенники, приложение вас об этом предупредит. А можно и вовсе заблокировать подобные звонки, чтобы они вас не беспокоили.
