В Україні почали вживати заходи з блокування шахрайських ресурсів, які використовуються для викрадення даних платіжних карток громадян.
Про це йдеться на сайті CERT-UA.
Відомо, що відповідні заходи вживає урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA спільно з НКЦК РНБО.
Опис шахрайської схеми:
1. Зловмисниками створено сторінку «UA Blog» в FaceBook для проведення реклами шахрайства.
FaceBook сторінка шахраїв
Реклама шахраїв
Реклама шахраїв
В рекламних оголошеннях повідомляється про те, що за проходження опитування буде здійснена виплата не менше 16500 грн, чим шахраї заманюють людей перейти за посиланням hXXps://airmauritiusticket.com.
Тут потрібно відзначити, що при переході за посиланням hXXps://airmauritiusticket.com з ІР-адреси, яка не належить українському сегменту мережі Інтернет, користувачу відкривається саме цей сайт, який є погано зробленим фейком сайту ТСН.
Фейковий сайт airmauritiusticket.com
Фішинговий сайт airmauritiusticket.com розміщено в РФ за ІР-адресою 92.63.103.235.
Розміщення сайту airmauritiusticket.com
Але якщо переходити на сайт airmauritiusticket.com з ІР-адреси України, буде здійснено перенаправлення на інший сайт hХХps://gangbang6.monster/m4hp2k, на якому користувачам пропонується пройти опитування для того щоб отримати гроші.
Сайт розміщено за CloudFlare.
Сайт gangbang6.monster/m4hp2k
При натисканні на кнопку «ОТРИМАТИ ГРОЩІ» відбувається перенаправлення на сайт hХХps://great-surveys.top/internal-account.php, ІР-адреса 165.227.174.93, Німеччина.
Розміщення сайту gangbang6.monster/m4hp2k та accept-pay.top
На цьому вже російськомовному сайті розміщено сам «опитувальник», після проходження якого, жертві повідомляють, що вона отримала велику суму коштів, яка готова для відправки але за отримання коштів потрібно заплатити невелику суму у розмірі 138 грн.
Повідомлення про виграш коштів
На шахрайському сайті навіть створені фейкові коментарі з подяками, питанням та відповідями служби підтримки, для того щоб жертва подумала, що люди реально відправляють та отримують кошти за допомогою цього сайту.
Фейкові коментарі
При натисканні на кнопку для виконання платежу, виконується перенаправлення на сайт hххps://accept-pay.top/?am=138&who=11&sub=, який знаходиться на тій же ІР-адресі (Рис.7). Цей сайт представляє з себе фішингову форму для викрадення даних платіжних карток.
Фішинговий сайт hххps://accept-pay.top/?am=138&who=11&sub=
Жертва з метою отримання великих грошей вводить реквізити своєї платіжної картки на невідомому сайті, після чого відкривається вікно помилки транзакції а дані направляються до зловмисників. Далі відбувається викрадення коштів з платіжних карток жертв.
Начебто помилка транзакції
Рекомендації
1. Якщо Ви ввели дані своєї платіжної картки на зазначеному фішинговому сайті потрібно НЕГАЙНО заблокувати платіжну картку звернувшись за телефоном гарячої лінії Вашого банку (вказаний на звороті картки) або через інтернет-банкінг та звернутися до Кіберполіції https://ticket.cyberpolice.gov.ua.
2. Ніколи не вводьте реквізити платіжних карток на незнайомих та підозрілих сайтах та налаштуйте контроль руху коштів (підключіть SMS-інформування та встановіть ліміти стосовно операцій з вашою платіжною карткою)
3. Скористайтесь основними порадами платіжної безпеки Національного банку України https://bank.gov.ua/promo/stopfraud/
та правилами кібергігієни https://cert.gov.ua/recommendation/31
Індикатори компрометації:
Domains:
airmauritiusticket.com
gangbang6.monster
great-surveys.top
accept-pay.top
ІА "Вголос": НОВИНИ