- Сообщения
- 41
- Реакции
- 112
За последний год маркетплейсы добились существенных успехов в борьбе с фишингом, но враг не дремлет. Хроносу удалось выйти на след мошенников, которые распространяют в сети фейковые линки KRAKEN и строят липовый форум от имени BlackSprut. В изощрённой схеме оказались замешаны несколько телеграм-каналов.
Фишинг в интернете — бич современного клир-и дарк-пространства. Но если в разгар «войны площадок» мошенники наслаждались ситуацией, когда домены было невозможно запомнить из-за ежедневного сноса, а маркетплейсы увлечённо делили рынок, то в 2023 году топовые игроки с тем или иным успехом решили проблему: техники #OMG смели фейки из топа поисковиков, #KRAKEN приучил аудиторию к набору ссылок, где сменяется всего одна цифра, а СБ #BlackSprut организовала DDoS ресурсов мошенников. Далее вслед за BS площадки стали раздавать юзерам личные Tor-домены. Весь этот комплекс мер существенно сбавил обороты нечестного бизнеса, и фишерам пришлось изобретать новые способы обмана пользователей.
С 18 января в теневом сегменте Telegram стали встречаться страницы, внешне повторяющие по своему содержанию рекламные Telegraph от KRAKEN и BlackSprut. В случае с KRAKEN размещённые в статьях адреса на поверку оказываются классическим фишингом, а вот с BS ситуация куда интересней: все ссылки липового документа являются настоящими, кроме одной, ведущей на некий внутренний форум площадки (на деле единственным представительством BS в Tg остаётся новостной канал).
Сообщество имеет несколько разделов, среди которых есть конкурсы (их обещают проводить) и общая тема, состоящая из репостов материалов оригинального паблика BS. На форуме предусмотрены места для платного размещения сервисов.
Заведует ресурсом пользователь, представляющийся сотрудником BS. Хронос обратился к верифицированным представителям площадки — те подтвердили, что не имеют в штате такого сотрудника. Тем не менее доппельгангер вовсю убеждает подписчиков, что сообщество является настоящим. Большая часть аудитории (на момент написания материала — 1,8 тыс. человек), судя по всему, была добавлена через спам в чате форума #RuTOR: в сообщениях люди пишут, что вообще не понимают, как сюда попали.
Лже-сотрудник или его кураторы меж тем занимаются закупкой рекламы как для фишинг-страницы KRAKEN, так и для фейк-форума BS. На прошлой неделе странички-«хамелеоны» площадок рекламировались в трёх каналах даркнет-тематики с общим охватом аудитории почти в 200 тыс. человек. Посты сопровождались незамысловатым видеорядом с логотипами площадок и схожим дизайном — очевидно, у роликов был один исполнитель.
Извечный вопрос «кто виноват?» в данном случае остаётся открытым: создать несколько лже-страниц, привлечь/накрутить подписчиков и имитировать деятельности форума, по сути, мог кто угодно. Однако любопытно, что в тех же самых трёх сообществах в смежные даты выходила реклама Abbadon Project (22.01) и Deanon Club (17.01). Последний несколько раз устраивал информационные атаки на BS, а зимой неоднократно негативно высказывался в сторону KRAKEN и его сотрудников.
Возникает и другой вопрос — почему в случае с BS была выбрана такая странная схема мошенничества вместо обычных доменов, как это сделали с KRAKEN? Вероятно, всё дело в новом механизме проекта, который банит украденные аккаунты: распространять липовые линки стало просто бессмысленно, и потому скамеры перешли к более трудоёмкой мимикрии — окупить такую схему можно было как через сбор платы с доверчивых продавцов за размещение, так и через распространение стилеров от лица ресурса.
Особого урона, по всей видимости, эта акция не нанесла, по крайней мере, разместиться на лже-форуме ещё никто не успел. В ближайшее время пользователям теневых ресурсов стоит с особой осторожностью взаимодействовать с рекламными ссылками, а админам телеграм-каналов — внимательно изучать размещаемый материал: нельзя исключать, что новая волна мошенничества затронет и другие площадки.
Фишинг в интернете — бич современного клир-и дарк-пространства. Но если в разгар «войны площадок» мошенники наслаждались ситуацией, когда домены было невозможно запомнить из-за ежедневного сноса, а маркетплейсы увлечённо делили рынок, то в 2023 году топовые игроки с тем или иным успехом решили проблему: техники #OMG смели фейки из топа поисковиков, #KRAKEN приучил аудиторию к набору ссылок, где сменяется всего одна цифра, а СБ #BlackSprut организовала DDoS ресурсов мошенников. Далее вслед за BS площадки стали раздавать юзерам личные Tor-домены. Весь этот комплекс мер существенно сбавил обороты нечестного бизнеса, и фишерам пришлось изобретать новые способы обмана пользователей.
С 18 января в теневом сегменте Telegram стали встречаться страницы, внешне повторяющие по своему содержанию рекламные Telegraph от KRAKEN и BlackSprut. В случае с KRAKEN размещённые в статьях адреса на поверку оказываются классическим фишингом, а вот с BS ситуация куда интересней: все ссылки липового документа являются настоящими, кроме одной, ведущей на некий внутренний форум площадки (на деле единственным представительством BS в Tg остаётся новостной канал).
Сообщество имеет несколько разделов, среди которых есть конкурсы (их обещают проводить) и общая тема, состоящая из репостов материалов оригинального паблика BS. На форуме предусмотрены места для платного размещения сервисов.
Заведует ресурсом пользователь, представляющийся сотрудником BS. Хронос обратился к верифицированным представителям площадки — те подтвердили, что не имеют в штате такого сотрудника. Тем не менее доппельгангер вовсю убеждает подписчиков, что сообщество является настоящим. Большая часть аудитории (на момент написания материала — 1,8 тыс. человек), судя по всему, была добавлена через спам в чате форума #RuTOR: в сообщениях люди пишут, что вообще не понимают, как сюда попали.
Лже-сотрудник или его кураторы меж тем занимаются закупкой рекламы как для фишинг-страницы KRAKEN, так и для фейк-форума BS. На прошлой неделе странички-«хамелеоны» площадок рекламировались в трёх каналах даркнет-тематики с общим охватом аудитории почти в 200 тыс. человек. Посты сопровождались незамысловатым видеорядом с логотипами площадок и схожим дизайном — очевидно, у роликов был один исполнитель.
Извечный вопрос «кто виноват?» в данном случае остаётся открытым: создать несколько лже-страниц, привлечь/накрутить подписчиков и имитировать деятельности форума, по сути, мог кто угодно. Однако любопытно, что в тех же самых трёх сообществах в смежные даты выходила реклама Abbadon Project (22.01) и Deanon Club (17.01). Последний несколько раз устраивал информационные атаки на BS, а зимой неоднократно негативно высказывался в сторону KRAKEN и его сотрудников.
Возникает и другой вопрос — почему в случае с BS была выбрана такая странная схема мошенничества вместо обычных доменов, как это сделали с KRAKEN? Вероятно, всё дело в новом механизме проекта, который банит украденные аккаунты: распространять липовые линки стало просто бессмысленно, и потому скамеры перешли к более трудоёмкой мимикрии — окупить такую схему можно было как через сбор платы с доверчивых продавцов за размещение, так и через распространение стилеров от лица ресурса.
Особого урона, по всей видимости, эта акция не нанесла, по крайней мере, разместиться на лже-форуме ещё никто не успел. В ближайшее время пользователям теневых ресурсов стоит с особой осторожностью взаимодействовать с рекламными ссылками, а админам телеграм-каналов — внимательно изучать размещаемый материал: нельзя исключать, что новая волна мошенничества затронет и другие площадки.
