Специалисты «Доктор Веб» предупреждают о новой и весьма оригинальной тактике мошенников. Злоумышленники используют формы подписки на рассылки от известных иностранных компаний (например, Audi, Austrian Airlines и S-Bahn Berlin) для распространения ссылок на фишинговые сайты.
Такие письма, действительно отправленные с официальных почтовых адресов компаний, вызывают доверие пользователей и легко минуют спам-фильтры почтовых сервисов. Заголовок и само письмо, как правило, написаны на английском или немецком языках, но среди текста выделяются слова на русском: «ВАМ ДЕНЬГИ».
Для рассылки таких посланий используются официальные формы подписки на рассылки компаний. Так как в полях ввода текста этих форм можно использовать различные символы, атакующие получают возможность отправлять от лица крупных компаний письма с вредоносными ссылками. Для этого в графе «Имя» указывается «ВАМ ДЕНЬГИ», а вместо фамилии добавляется ссылка на фишинговый сайт. В результате на почту жертвы приходит письмо для подтверждения подписки на рассылку с официальной почты компании, содержащее ссылку на фишинговый ресурс.
Если пользователь не заметил подвоха и перешел по ссылке преступников, он перенаправляется на страницу на сайте знакомств. Затем, за счет вредоносного кода, встроенного в эту страницу-заглушку, через цепочку редиректов жертва попадает на фишинговый ресурс.
В итоге пользователь видит сообщение о том, что его электронный почтовый адрес выиграл возможность участвовать в международной акции «Счастливый e-mail». После чего предлагается пройти опрос и получить денежное вознаграждение в размере от 10 до 3000 евро. Для убедительности на сайт добавлены отзывы людей, якобы уже получивших деньги, в том числе и отзывы недовольных низкой суммой выигрыша.
После нескольких заданных вопросов отображается информация об акции, сумма выигрыша и условия вывода средств. Одно из условий – необходимость оплатить комиссию за перевод валюты в рубли. Для ее оплаты пользователя переводят на страницу, где ему предлагается ввести данные банковской карты. После ввода данных жертву также просят указать проверочный код из SMS. Когда все указанные действия выполнены, со счета пользователя списываются средства, а данные банковской карты остаются у владельцев мошеннического сайта. При этом никакого выигрыша жертва, разумеется, не получает.