Пять самых интересных мошеннических схем с использованием электронной почты в 2024 году

Во второй половине 2024 года исследователи кибербезопасности зафиксировали рост количества фишинговых атак на 202%. Во многом такая внушительная цифра связана с использованием ИИ-инструментов, которые позволяют мошенникам частично автоматизировать процесс создания электронных писем, а также значительно улучшить их качество. В то же время ИИ помогает преступникам делать их письма менее банальными. Поэтому сегодня мы решили рассказать о пяти самых интересных мошеннических схемах этого года.

В 2024 году преступники придумали заманивать жертв с помощью очень соблазнительной приманки — информации об измене партнёра получателя письма. В нём они представлялись компанией, занимающейся кибербезопасностью.

Преступники заявляли, что сделали полную резервную копию жёсткого диска партнёра адресата письма и благодаря этому имеют доступ к адресной книге, социальным сетям, истории посещённых сайтов, приложениям для знакомств, всем файлам и номерам телефонов. Доступ к этой информации мог получить и адресат письма — для этого надо было перейти по ссылке из него.

Получившие письмо жертвы рассказывают разные версии того, что происходило при переходе на сайт. Одни сообщают о странице, на которой необходимо ввести какие-то учётные данные, другие утверждают, что сайт пытался загрузить вредоносное ПО на их устройство.

Главная особенность этих писем, добавляющая им правдоподобности, — мошенники имели конфиденциальную информацию об обоих партнёрах и использовали её в тексте. Например, называли их именами, которые практически не использовались в интернете (например, девичьи фамилии), или упоминали клички питомцев.

Откуда у злоумышленников эта информация — остаётся неясным, хотя многие жертвы утверждают, что делились ею только на сайте для планирования свадеб под названием The Knot. Возможно, утечка данных из этого сервиса и помогла авторам рассылки.

Блогеры являются лёгкими жертвами для различных мошеннических схем, поскольку их контактная информация публично доступна в социальных сетях. Поэтому неудивительно, что в этом году появилась новая, более качественная версия достаточно распространённой мошеннической схемы, в которой преступники отправляют YouTube-блогерам «спонсорские» письма с вредоносными вложениями.

В тексте письма мошенники от лица крупных брендов предлагали инфлюэнсерам сотрудничество и представляли прейскурант с расценками в зависимости от размера канала. Само письмо выглядело крайне убедительно и не содержало типичных для мошеннических посланий грамматических ошибок и опечаток — можно предположить, что это как раз заслуга ИИ.

В конце письма преступники вставили ссылку на OneDrive и пароль для доступа к ZIP-архиву, который там находился. Как нетрудно догадаться, в этом архиве содержались заражённые файлы. После скачивания и распаковки архива в системе жертвы устанавливалось вредоносное ПО. С его помощью преступники могли получать удалённый доступ к устройству и похищать конфиденциальную информацию, включая учётные и финансовые данные, интеллектуальную собственность и так далее.

По данным исследователей, подобные письма получили более 200 тыс. блогеров по всему миру. Исключительной особенностью этой атаки были качество исполнения текстов, их общая грамотность и правдоподобность.

Если бы существовала награда за самый оригинальный предлог для выманивания денег с помощью электронной почты, в этом году её бы точно получили мошенники, которые придумали завлекать жертв предложением бесплатного рояля. Мошенническая схема с такой необычной наживкой была нацелена на американских студентов.

В январе этого года им было отправлено порядка 125 тыс. электронных писем якобы от недавно сокращённого профессора по имени Дерек Адамс. В этой рассылке Адамс предлагал любому желающему бесплатно забрать у него компактный рояль Yamaha 2014 года выпуска (его рыночная стоимость составляет $10–15 тыс.).

Желающие получить бесплатный рояль должны были написать на другой адрес электронной почты о своём интересе. После этого с ними связывались «сотрудники» транспортной компании American Van Lines Movers (она действительно существует).

В ответном письме мошенники подробно сообщали о размерах рояля, а также предоставляли прейскурант на доставку. В зависимости от срочности она стоила от $595 до $915 — ничтожная сумма по сравнению с ценой целого рояля.

Преступники торопили жертву с оплатой доставки, ведь желающих получить бесплатный рояль много, а сам рояль — один. Разумеется, студенты, которые перевели деньги за доставку, никогда не увидели бесплатного рояля.

Эффективность мошеннических схем с использованием электронной почты значительно увеличивается, когда преступники отправляют письма с адресов, имеющих хорошую репутацию. Они не только вызывают большее доверие у получателей, но и помогают обходить фильтры сервисов электронной почты.

Самый надёжный способ получить доступ к таким адресам — захватить домен или субдомен легитимной организации. Именно этим занимались преступники в мошеннической кампании, которую исследователи назвали SubdoMailing. В рамках неё мошенники использовали более 8000 легитимных доменов и 13 000 субдоменов, которые принадлежали в том числе таким известным организациям, как The Economist, McAfee, CBS, Java.net, Marvel, eBay, PricewaterhouseCoopers, UNICEF, и многим другим.

Преступники использовали домены этих компаний для отправки пяти млн мошеннических писем в день. Клик по встроенным в письма кнопкам проводил пользователей по цепочке редиректов. А в результате жертвы попадали на различные мошеннические сайты — фальшивых акций по раздаче бесплатных товаров и услуг, фейковых сканеров безопасности, мошеннических опросов и так далее.

Другой способ, с помощью которого мошенники в этом году обходили антифрод-фильтры сервисов электронной почты, — отправка приглашений на онлайн-встречи в Google Calendar. Дело в том, что для отправки приглашения с помощью этого сервиса во многих случаях достаточно просто знать адрес электронной почты пользователя.

Поэтому для мошенников не составляет труда отправлять вполне настоящие приглашения на рабочие почты сотрудников компании. Их легко узнать как из публичной информации на ресурсах компаний, так и из многочисленных утечек.

Для большей убедительности приглашения часто отправляют сразу нескольким сотрудникам компании, чтобы каждый из них при открытии увидел знакомые имена среди участников встречи. На такие ухищрения преступники идут, чтобы вставить фишинговую ссылку в письмо, которое приходит от известного сервиса.

Если пользователь нажмёт на неё, он попадёт на поддельный сайт, где его попросят авторизоваться. Главная цель злоумышленников — получить учётные данные пользователей. В конце 2024 года в рамках данной фишинговой кампании злоумышленники отправили сотрудникам 300 организаций более 4 тыс. писем за четыре недели.

Эксперты Google прогнозируют, что в следующем году злоумышленники будут ещё чаще использовать ИИ для продвинутого фишинга, вишинга и для проведения других атак с применением социальной инженерии. Поэтому, чтобы не стать жертвой, пользователям придётся оставаться начеку. Мы рекомендуем:

•  Внимательно проверять адреса электронной почты, с которых приходят сообщения. Полезно обращать внимание на каждую букву в адресе, ведь злоумышленники умеют качественно имитировать легитимную почту вплоть до мельчайших деталей.

•  По возможности не переходить по ссылкам из электронной почты. Почти в любой ситуации ресурс из письма можно найти вручную с помощью поисковика.

•  Установить надёжное защитное решение — оно поможет защитить ваши устройства от вредоносных файлов.