Group-IB, международная компания, специализирующаяся на предотвращении кибератак, обнаружила новую мошенническую схему с использованием бренда Zoom. Под видом получения денежной компенсации «в связи с COVID-2019» или за подписку на сервис, пользователей заманивают на мошеннические сайты, где похищают деньги и данные банковских карт. 

Group-IB предупредила Zoom об угрозе, говорится в сообщении, полученном редакцией Sk.ru. 

С начала 2020 года сколковская компания зафиксировала появление около 15 300 доменов, содержащих название Zoom — всплеск регистрации пришелся именно на период дистанционной работы. Опасность в том, что на схожих доменных именах могут размещаться фишинговые страницы, использующиеся для кражи персональной информации — логинов, паролей и т.д, и весной в даркнете появились объявления о продаже учетных записей 4000 аккаунтов пользователей Zoom.  Однако злоумышленники на этом не остановились и в новой мошеннической схеме, которую обнаружила Group-IB, использовался не фейковый, а оригинальный сервис Zoom. 

Иллюстрация: Group-IB.

Дело в том, что при регистрации Zoom предлагает пользователю заполнить профиль – указать «Имя» и «Фамилию», предоставляя возможность вставить до 64-х символов в каждое поле.  Мошенники используют эту возможность, вставляя фразу: «Вам положена компенсация в связи с COVID-19» и указывают ссылку на мошеннический сайт.  

Сама рассылка мошеннических сообщений также происходит с использованием возможности сервиса. После регистрации Zoom предлагает новому клиенту пригласить до десяти новых пользователей, указав их почтовый адрес. Мошенники вводят адреса потенциальных жертв, которым приходит официальное уведомление от имени команды сервиса видеоконференций (no-reply@zoom[.]us), но с содержанием, которое сгенерировали интернет-аферисты. 

В одной из рассылок, которую проанализировала Group-IB, говорилось, что денежную компенсацию можно забрать сайте  http://uglava.com (в настоящее время он заблокирован). В случае перехода по ссылке пользователей перекидывали на другие мошеннические ресурсы:  “Официальный компенсационный центр”, “Экспресс-лотерея”, “Банк-онлайн (Вам поступил денежный перевод)”, “Гранд опрос” и “Фонд финансовой поддержки потребителей” и др.

«В этой схеме мошенники эксплуатируют популярность бренда сервиса Zoom, — предупреждает Ярослав Каргалев, заместитель руководителя CERT-GIB. — Так как письмо отправлено с официального сервиса, злоумышленники не только получают гарантию доставки писем до адресатов, но и то, что часть  обманутых пользователей кликнут на ссылку, указанную в профиле и перейдут на мошеннический сайт. Сервису Zoom необходимо внедрить более тщательную проверку данных, которые вводит пользователь при регистрации аккаунта, а также полностью запретить использование сторонних ссылок в профиле».