Хакеры создали схему, по которой через кражу легальных доменных имен проводили фишинговые атаки на россиян. Об этом «Ленте.ру» сообщила международная компания Group-IB, специализирующаяся на кибербезопасности.
Специалисты раскрыли, что злоумышленники используют законные домены в зонах .RU, .SU и .РФ. Они принадлежат рядовым пользователям или компаниям, но есть одна особенность — действие их хостинг-аккаунта истекло. Этим и пользуются киберпреступники.
Например, сайт медкнижка-тверь.рф, который в начале года появился для рекламы медицинских услуг, с августа содержал только мошенническое объявление о несуществующей акции от крупного российского банка. В конце прохождения опроса от россиян требовали ввести данные банковской карты, включая CVV-код, якобы для перевода денег.
В Group-IB нашли несколько сотен подобных фишинговых ресурсов. Жертвами могут стать владельцы ресурсов, которые забыли про свой домен или выкупили его совсем недавно. Эксперты по итогам расследования выделили около 30,5 тысяч ресурсов, входящих в «группу риска».
Хакеры следят за такими доменами и в нужный момент размещают свой контент через процедуру «перехвата». В результате на легитимных с виду ресурсах возможна кража денег и данных банковских карт, рассылка писем с вредоносным вложением или заражение посетителей банковскими троянами, программами-шпионами и вирусами-шифровальщиками.
В июле сообщалось, что в России зафиксировали резкий рост случаев мошенничества с использованием переводов с карты на карту. Мошенники массово крали деньги россиян через фишинговые сайты, имитирующие «онлайн-магазины». Жертвы самостоятельно вводили платежные данные, думая, что совершают покупку.