FakeBoss и его команда: мошенники запустили новую схему

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, зафиксировала новый вариант мошеннической схемы FakeBoss, который получил название FakeTeam. Главные отличия нового сценария: атака на пользователя проводится не одним лже-руководителем, а целой «командой» фейковых аккаунтов, в которой, кроме фальшивого начальника жертвы, действуют еще несколько ложных коллег. Как стало известно F6, злоумышленники используют в схеме FakeTeam фейковые аккаунты в том числе высокопоставленных чиновников и руководителей крупных компаний.

Кадры решают за всех

Специалисты департамента компании F6 по расследованию высокотехнологичных преступлений обнаружили новую схему мошенничества, который используется для персонализированных атак.

В основе FakeTeam — распространенная схема FakeBoss. Главные отличия нового сценария: атака на пользователя проводится «командой» фейковых аккаунтов, в которой, кроме фальшивого руководителя жертвы, действуют еще несколько ложных коллег.

На первом этапе атаки злоумышленники создают в Telegram групповой чат, в который пользователя добавляет посторонний аккаунт под нейтральным псевдонимом «Отдел кадров», «Кадровая служба» или подобным. Название чата при этом связано с организаций, в которой пользователь работает на момент атаки или трудился ранее.

В этот же чат добавляются еще несколько участников — фейковые аккаунты бывшего либо нынешнего руководителя пользователя, а также его коллег. При создании таких аккаунтов-клонов злоумышленники используют реальные фотографии людей, под которых маскируются. Единственный реальный пользователь в таком чате — тот, на кого направлена атака.

В известных F6 случаях применения схемы FakeTeam злоумышленники использовали в том числе фейковые аккаунты высокопоставленных чиновников и руководителей крупных компаний.

Послали к боту

После добавления пользователя в чат фейковый руководитель под различными предлогами дает указание воспользоваться Telegram-ботом госсервиса, якобы для подтверждения данных, и сообщить шестизначный код, который выдаст бот. На самом деле замаскированная ссылка, по которой требует перейти фальшивый начальник, не имеет отношения к госсервису.

При переходе в бот у пользователя запрашивают номер телефона и просят поделиться своим контактом. В ответ бот выдает код, который требует сообщить фейковый руководитель.

Другие участники чата — фальшивые коллеги и сослуживцы пользователя — создают видимость активности. Некоторые пишут, что действительно слышали в новостях про необходимость связать свой Telegram-аккаунт с госсервисами, и вместе с другими присылают в чат результат выдачи бота. Если пользователь не реагирует на эти сообщения, фальшивый руководитель обращается к нему сначала в чате, а затем в личных сообщениях и настойчиво требует прислать код.

Если потенциальная жертва проявит бдительность, то заметит, что сообщения в чате появляются с очень высокой скоростью. Всего за несколько минут участники чата могут отправить десятки сообщений, каждое из которых состоит из нескольких предложений — в условиях чата с реальными пользователями такое маловероятно.

Схема FakeTeam строится на том, что злоумышленники пытаются повлиять на жертву от лица нескольких людей одновременно. Цель мошенников на первом этапе — спровоцировать пользователя сначала на использование бота, а затем — на передачу шестизначного кода в чат.

Эхо «Синего кита»

Важно отметить, что Telegram-бот, которым жертве предлагают воспользоваться, принадлежит злоумышленникам, они полностью контролируют сообщения и коды, которые бот присылает. Этот код формируется произвольно и ни на что не влияет. Его единственное предназначение — создать у пользователя впечатление, что он получил шестизначный код подтверждения от госсервиса.

Если жертва сообщит этот код фейковому руководителю, то преступники начинают следующий этап атаки с целью убедить пользователя, что его личный кабинет госсервиса взломан. Конечная цель злоумышленников — запугать пользователя и заставить его перевести деньги на якобы «безопасный счет», «досрочно погасить» кредит, который якобы взяли мошенники либо «задекларировать» свои сбережения и для этого передать их курьеру.

Специалисты департамента расследований F6 отмечают, что сценарий с коллективным давлением на жертву в групповом чате широко применялся злоумышленниками несколько лет назад в «группах смерти» — «Синих китах». Преступники создавали отдельный чат, в котором, кроме потенциальных жертв, также присутствовали фейковые пользователи. Их задачей которых было провоцировать участников чата на активные действия, которые могли создать угрозу для жизни и здоровья. Теперь киберпреступники адаптировали этот механизм под схему финансового мошенничества FakeBoss.

«Особая опасность атаки по схеме FakeTeam — в том, что злоумышленники могут одновременно атаковать нескольких сотрудников организаций. Все они могут состояться в аналогичных чатах со злоумышленниками и считать, что их коллеги действительно пересылают коды подтверждений. Поэтому мы рекомендуем руководителям служб безопасности организаций предупредить сотрудников о новой схеме и довести до них рекомендации по защите личных аккаунтов в мессенджерах», — подчеркивают специалисты департамента компании F6 по расследованию высокотехнологичных преступлений.

Рекомендации специалистов F6 по защите от мошеннических схем FakeBoss и FakeTeam для пользователей.

• Установите в мессенджерах запрет на звонки и сообщения от незнакомых пользователей.
• Установите в мессенджерах запрет на поиск по номеру телефона.
• Установите в мессенджерах запрет на приглашения в чаты от незнакомых пользователей.
• Измените или удалите свой username в Telegram, если есть подозрения, что в открытом доступе можно найти связь между ним и вашими личными данными (например, ФИО или местом работы).

Такой аккаунт фактически становится невидимым для злоумышленников. Однако, если мошенники прорвались через «фильтр», необходимо помнить следующее.

• Не вступайте в переписку, если вам написали в мессенджере от имени руководителя с незнакомого аккаунта. Проверьте достоверность аккаунта через непосредственного начальника или коллег — скорее всего, это клон. Для связи с руководством и коллегами используйте их проверенные аккаунты или другие способы общения.
• Если вас добавили в групповой чат без вашей просьбы или согласия, не реагируйте на сообщения в таком чате и не вступайте в переписку. Проверьте достоверность аккаунта по схеме выше.
• Не сообщайте никаких кодов в переписке или в разговоре по телефону. Запомните: кто спрашивает код — тот мошенник.
• Если вас пытаются запугать в телефонном разговоре или в переписке, сообщите об этом непосредственному руководителю или коллегам через проверенные аккаунты или другие способы общения. Даже если вам говорят, что «говорить никому нельзя» и все «совершенно секретно».
• Храните свою финансовую тайну. Если по телефону или в переписке вам предлагают совершить любые денежные операции или операции с недвижимостью, о которых вы не просили, сразу прекращайте разговор.
• Без паники! Преступники обычно торопят и запрещают кому-то рассказывать о разговоре. Сделайте все наоборот. Возьмите паузу. Посоветуйтесь с родными и коллегами. Главное — не торопиться.
• Если вы стали жертвой атаки мошенников либо если злоумышленники угнали ваш аккаунт в мессенджере, который вы используете для рабочего общения, сразу же сообщите об этом непосредственному руководителю и в службу безопасности организации. Если преступники похитили у вас деньги, срочно обратитесь в полицию.
• Если вас добавили в групповой чат, в котором есть участники с именами ваших коллег, а под названием чата вы видите надпись: «Сообщить о спаме и выйти», сразу сообщите об этом непосредственному руководителю и в службу безопасности организации.

Рекомендации специалистов F6 по защите от мошеннических схем FakeBoss и FakeTeam для организаций.

• Напоминайте сотрудникам о мерах защиты своих аккаунтов в мессенджерах.
• Проводите регулярное обучение сотрудников по действиям при типичных киберпреступных атаках, включая фишинговые письма, СМС и сообщения в мессенджерах, использовании схем FakeBoss и FakeТeam.