Angara Security: злоумышленники уделяют больше внимания здоровью россиян

Сценарии, в которых злоумышленники пишут гражданам от имени «поликлиники» с просьбой подтвердить актуальность данных и прикрепление к конкретному медицинскому учреждению, дополнили новые мошеннические схемы. Теперь пациентам предлагают записаться на прием к врачу или получить документы на фишинговых ресурсах, имитирующих сервис «Мое здоровье» на портале Госуслуг.

«Многочисленные утечки персональных данных, в том числе из различных медицинских организаций, позволяют мошенникам сформировать подробные базы данных о гражданах. Это дает возможность использовать персонализированные сценарии социальной инженерии, — отмечает Яков Филевский, эксперт по социотехническому тестированию Angara Security. — Популярны схемы, в которых потенциальную жертву включают в чат «Поликлиника» в одном из мессенджеров и от имени некого «Регистрационного отдела» или «ЕМИАС медицинские услуги» просят подтвердить актуальность персональных данных и прикрепление к определенному медучреждению. Для актуализации информации требуется указать код из СМС. Также мошенники начали регистрировать домены и создавать сайты, копирующие сервис «Мое здоровье» на портале Госуслуг. Под предлогом записи на прием к врачу жертву просят ввести номер телефона и код».

Смена сценария вызвана прежде всего эффектом привыкания к старой схеме: о ней много писали в СМИ, банки и компании неоднократно предупреждали клиентов, поэтому уровень бдительности потенциальных жертв вырос. В ответ мошенники снижают риски преждевременного разоблачения. Если раньше человека прямо просили назвать код из сообщения, что часто вызывает подозрения, то теперь жертве предлагают самостоятельно ввести номер телефона и код на сайте-двойнике. Люди охотнее идут на такие действия, поскольку им кажется, что они сами инициируют полезную и рутинную операцию — запись к врачу.

Кроме того, злоумышленники активно используют поведенческие триггеры: тема здоровья эмоционально значима, а ожидание возможности быстро попасть на прием снижает критическое мышление. Дополнительным драйвером изменений стало то, что старые базы с прикреплением к поликлиникам частично «выгорели» (использованы в предыдущих атаках), а новые утечки позволяют строить более персонализированные и убедительные сценарии.

Наконец, переход на фишинговые сайты под видом «Госуслуг» усложняет обнаружение для систем безопасности: такие домены регистрируются быстро, живут недолго и могут маскироваться под разные регионы.

Одно остается неизменным — после получения номера телефона и кода доступа тактика остается прежней: на жертву обрушивается шквал звонков от имени «специалистов» банка, техподдержки «Госуслуг» или правоохранительных органов с сообщениями об утечке данных и противоправных действиях от имени человека. Задача звонящих — путем запугивания вынудить жертву передать мошенникам материальные ценности и денежные средства, в реальности совершить преступления, подчеркивает Яков Филевский.

Эксперты Angara Security напоминают, что все изменения в персональные данные вносятся организациями исключительно по личному заявлению граждан. Всю информацию можно проверить самостоятельно на государственном или региональном сервисах госуслуг. Представители различных ведомств и госструктур не общаются с гражданами в мессенджерах и не просят уточнить персональные данные, номера телефонов и коды подтверждений.