Ничего святого: мошенники наживаются на любителях акций и распродаж — как воры уводят деньги, прикрываясь маркетплейсами

Мошенники каждый день придумывают схемы и уловки, чтобы собирать деньги с доверчивых граждан. Поймав волну всенародной любви к маркетплейсам, они придумали, как паразитировать на брендах. В Telegram-канале МВД РФ сообщили, что аферисты маскируются под Wildberries и объявляют от его имени акции, разумеется, ложные. NGS.RU выяснил, что это за способ, насколько он новый, и что советуют специалисты по кибербезопасности тем, кто хочет уберечь себя от обмана.

В официальном Telegram-канале УБК МВД России «Вестник Киберполиции России» 3 февраля появилось сообщение о новой мошеннической схеме.

— Новая схема для фишинга (вида интернет-мошенничества. — Прим. ред.). Мошенники просто немного изменили уже существующую акцию от WB и T2-мобайл, разместив ее на поддельном домене ПОДАРОК-WILDBERRIES.RU. В оригинальной акции, которая уже завершилась, от пользователей требовалось подключить домашний интернет от Т2, чтобы получить сертификат Wildberries на 4 тысячи рублей, — указано в сообщении ведомства.

В ведомстве добавили, что мошенники просили пользователей авторизоваться в фейковом личном кабинете и получали доступ к их данным. Указанный домен уже заблокировали.

Настоящую акцию запустили в декабре 2024 года. Подключившие домашний интернет T2 счастливчики получали сертификат от Wildberries на 4 тысячи рублей на шопинг на маркетплейсе. Мошенники создали похожую страничку, когда акция уже закончилась, и распространяли информацию о фейковой акции в соцсетях.

Мы попросили подписчиков нашего Telegram-канала рассказать, сталкивались ли они со случаями мошенничества на этом или других маркетплейсах. Читательница с ником Alison сообщила, что видела поддельные сайты, похожие на Wildberries, но «не повелась».

Подписчица Hayakawa признала, что ей регулярно приходят на электронную почту подозрительные гугл-формы якобы от маркетплейса с несуществующими заказами. В письмах неизвестные просят ее перейти по ссылкам, но покупательница их игнорирует. Жаловались подписчики на попытки обмана и на других маркетплейсах.

В компании «Т2 Мобайл» (бренд T2), которая выступала соорганизатором реальной акции, отметили, что мошенники даже не потрудились упомянуть их на фишинговом сайте.

— Фактически мошенники просто скопировали дизайн общедоступной промо-страницы на сайте партнера, — рассказали нам в пресс-службе компании.

В пресс-службе объединенной компании Wildberries и Russ пояснили, что аномального увеличения жалоб, связанных с мошенничеством на маркетплейсе, в последнее время не фиксировали, а указанный в публикации МВД России ресурс быстро выявили и заблокировали сотрудники службы информационной безопасности маркетплейса. Всего же за 2024 год Wildberries и Russ выявила и заблокировала больше трех тысяч фишинговых ресурсов, которые имитируют сайт маркетплейса.

Служба информационной безопасности Wildberries напомнила основные признаки фишинга, на которые нужно обращать внимание, чтобы не попасться на «удочку» злоумышленников. Среди них неожиданное письмо или сообщение в мессенджере якобы от Wildberries с информацией о неожиданном выигрыше призов, просьбой срочно перейти по ссылке, а затем предоставить личные данные. Вся информация об акциях и их условиях, напоминают в компании, всегда доступна на официальных ресурсах Wildberries.

Еще одним тревожным «звоночком» могут быть обезличенные сообщения.

— Фишинговые сообщения рассылают веером, а обращение к получателю выглядит как «Дорогой пользователь», «Уважаемый клиент», или обращение вообще отсутствует. Кроме того, сотрудники Wildberries никогда не запрашивают личную информацию и не рассылают сообщения об участии или выигрыше в акции, — пояснили в пресс-службе Wildberries и Russ.

В компании отметили, что фишинговые ссылки часто выглядят почти как настоящие, но содержат ошибки или лишние символы в известных словах (например, wilbberries.ru вместо wildberries.ru), поэтому нужно всегда проверять правильное написание ссылки перед тем, как кликать по ней.

Для кражи данных мошенники могут использовать вирусы во вложениях, поэтому в Wildberries не советуют открывать файлы от неизвестных отправителей. А также рекомендуют внимательно изучать информацию: фишинговые сайты часто копируют дизайн известных компаний. При этом мелкие детали могут отличаться и содержать ошибки: в сообщении может быть написано, например, «введитепароль» слитно — это уловка, чтобы обойти фильтры безопасности.

— При переходе по такой ссылке мошенники просят ввести данные карты якобы для зачисления выигрыша, а затем просят заплатить «комиссию», связанную с конвертацией выигрыша в рубли. В результате человек рискует потерять свои данные и деньги. В случае сомнений лучше связаться с нашей службой поддержки напрямую через форму на официальном сайте или в приложении, — добавили в WB.

Специалисты по кибербезопасности напоминают любителям акций и распродаж, что подобные схемы мошенники могут использовать, паразитируя на любых ресурсах и играя на эмоциях тех, кто хочет заполучить что-то подешевле.

— Тактика использования злоумышленниками акций и распродаж в качестве подспорья для фишинговых атак — частое явление. Вредоносные сайты могут продвигать при помощи социальных сетей и мессенджеров. В указанном случае злоумышленники имитировали существующую акцию, которая уже к тому моменту закончилась, разместив ее на поддельном сайте, — объяснила схему распространения обмана Валерия Беседина, аналитик исследовательской группы Positive Technologies. — Для участия жертву просят авторизоваться в личном кабинете — так атакующие получают доступ к данным жертвы.

Валерия Беседина подчеркнула, что во время акций и распродаж люди должны быть предельно осторожны. Следует всегда проверять информацию в официальных источниках: на сайте или в мобильном приложении компании, которая запустила акцию, на сайтах партнеров. Нужно проверять адреса сайтов, не открывать вложения от неизвестных отправителей и никогда не вводить личные данные на незнакомых сайтах.

В случае, если человек сомневается, с проверенной компанией или мошенниками он имеет дело, эксперт советует использовать отдельные банковские карты для онлайн-покупок, а также подключать уведомления об операциях и устанавливать на картах лимиты на траты.

По словам старшего контент-аналитика «Лаборатории Касперского» Ольги Свистуновой, мошенники всё чаще обращаются к брендам крупных маркетплейсов из-за большого количества их пользователей — как среди покупателей, так и среди продавцов.

— Чем больше людей, тем выше в глазах злоумышленников шанс успешной реализации обманной схемы, — пояснила эксперт. — Классическая фишинговая атака заключается в том, что мошенники отправляют пользователям поддельные сообщения или ссылки, выдавая себя за официальных представителей маркетплейса, чтобы получить их личные данные, пароли или данные кредитных карт.

Ольга Свистунова добавила, что также злоумышленники могут создавать фальшивые сайты, похожие на страницы оплаты маркетплейса, чтобы перехватывать платежные данные пользователей. По другой популярной схеме мошенники могут предлагать деньги или скидки за положительные отзывы. В целом «обертка» может быть разной, но принцип всегда один: заставить жертву оставить свои платежные данные или данные для входа в аккаунт.

Для минимизации рисков спикер рекомендует, помимо стандартных способов обезопасить себя, подключить двухфакторную аутентификацию там, где это возможно, не использовать одинаковые пароли для разных сайтов и регулярно их менять.