Привет, с вами снова отдел защиты бренда Angara MTDR! И сегодня мы расскажем, как исследовали ссылки, которые распространяют злоумышленники в социальных сетях и мессенджерах под видом продвижения брендов.
Любому пользователю будет приятно, если его страницу в соцсети заметил бренд, да ещё и похвалил контент. И похвала вдвойне приятна, если блог ведётся как раз для привлечения брендов.
Но иногда хвалебные отзывы приходят не тому, кто ждёт комплиментов, и не от того, кто представляет бренд. Так нашли друг друга в одной из соцсетей мошенники и эксперты по кибербезопасности Angara Security.
Похвала в соцсети как первый контактакт
Мошенники активно адаптируют свои схемы под российских пользователей, которые используют средства обхода блокировок. Например, в социальной сети Instagram[1] ведётся массовая рассылка сообщений типа:
Как видно из сообщений, злоумышленник очень подробно и правдоподобно рассказывает, почему пишет не с основной страницы. Так часто делают и официальные бренды, когда, например, нанимают рекламные агентства или привлекают SMM-специалистов. Мошенник не давит на потенциальную жертву и непринуждённо приглашает перейти по ссылке для связи с менеджером, чтобы стать представителем бренда и получать эксклюзивные скидки и бонусы.
Куда ведёт ссылка
Рассмотрим ссылку https://link[.]me/SKVRT, по которой предлагает перейти «представитель бренда».
Linkme — легитимный сервис, приложение, которое совмещает функции мессенджера и социальной сети. Любой пользователь может создать страницу с важными ссылками, если хочет поделиться ими с подписчиками, не засоряя био. Сервис Linkme не всегда доступен в России (зависит от провайдера), но мошенник заведомо знает, что для социальной сети, в которой идёт общение, нужно средство обхода блокировок. А значит, у потенциальной жертвы есть и доступ к link.me.
Сам бренд, от имени которого пришло предложение, тоже не вызывает вопросов. Да, у него странное название, но сейчас достаточно много новых дизайнеров с разными концепциями и представлениями о прекрасном.
Что же ждёт пользователя после перехода по ссылке на Linkme? Ему предлагают ускорить процесс, а именно подключить второго менеджера и перейти в более удобный для общения мессенджер:
При выборе Telegram необходимо связаться с менеджером, направив сообщение.
Далее следует стандартный вход через QR-код или по номеру телефона.
Похожая история при выборе общения через мессенджер «Макс». Предлагается зайти в мессенджер и указать номер телефона, на который придёт СМС.
Код доступа в обмен на мнимую скидку
Если пользователь не заметил маленький нюанс в виде сторонних доменов, на которые ведут ссылки от бренда, а внутри любого из мессенджеров не настроен второй фактор аутентификации, то любителю брендов придётся попрощаться со своими аккаунтами:
О том, по какому сценарию могут развиваться события после кражи аккаунта в мессенджере, мы неоднократно рассказывали читателям блога.
-
https://habr.com/ru/companies/angarasecurity/articles/924584/
-
https://habr.com/ru/companies/angarasecurity/articles/929460/
Рекомендации:
-
Всегда проверяйте, существует ли бренд, который вам пишет. У него должен быть официальный сайт, зарегистрированное юридическое лицо или ИП. Возможно, кто-то в Сети уже жаловался на мошенников.
-
Проверяйте домены, на которые вас переводят. Мессенджеры всегда используют закреплённые домены, их имена не меняются при переходе по ссылкам.
-
Проверяйте доступность доменов из РФ, отключив средства обхода блокировок. Возможно, специалисты уже заблокировали фишинговые ресурсы на территории России, чтобы обезопасить пользователей.
-
Настройте второй фактор аутентификации во всех социальных сетях и мессенджерах.
[1] Instagram — продукт компании Meta, деятельность которой признана экстремистской
и запрещена на территории Российской Федерации
ссылка на оригинал статьи https://habr.com/ru/articles/1042170/