Встреча с мошенниками

Спамеры начали красть деньги через Google-календарь

С начала лета в России — волна нового интернет-мошенничества: злоумышленники добавляют запись со вредоносной ссылкой в Google-календарь жертвы. Технически этот способ мошенничества мало чем отличается от обычного спама — но в отличие от почты, в календаре нет спам-фильтров по умолчанию, а пользователь не ждет подвоха. The Bell разобрался, как действуют мошенники и можно ли обезопасить себя от них.

Как это работает. Мошенники добавляют в Google-календарь пользователя сообщение о том, что ему «согласован возврат денежных средств», пришла «компенсация за участие в опросе» или «перевод», либо произошло «очередное увеличение его баланса». Сама по себе идея не нова, но с недавнего времени «календарный» спам и фишинг стали массовыми,  в своем блоге «Лаборатория Касперского».

• Внедриться в чужой календарь просто: мошенники «назначают пользователю встречу», в описание которой добавляют ссылку на сайт для выкачивания денег. Встреча добавится в календарь, а в смартфоне пользователь получит о ней уведомление.
• Специальных знаний для того, чтобы внедриться в календарь, не нужно — для этого достаточно знать имейл жертвы. Их мошенники находят так же, как и обычные спамеры, — например, с помощью сайтов с тестами, где надо оставить почту, или покупают готовые базы в даркнете. С точки зрения Google ничего подозрительного тут нет: календарь устроен так,  что встречу может назначить и незнакомый человек.
• Главная причина популярности такой формы спама – его высокая доставляемость, говорит старший спам-аналитик «Лаборатории Касперского» Мария Вергелис. Обычное письмо из массовой рассылки попадет в папку «спам», и пользователь его проигнорирует, а уведомление в Google-календаре — увидит в любом случае, объясняет замруководителя лаборатории криминалистики Group-IB Сергей Никитин. Объем спам-контента для календаря небольшой, поэтому спам-фильтру трудно его распознать.
• Если календарь синхронизирован с телефоном, пользователь по умолчанию получает уведомления и в почту, и на телефон – поэтому шанс, что он их увидит, выше, говорит Вергелис из «Лаборатории Касперского».
• Точно так же мошенники могут использовать практически любой сервис Google. Например, Google Photos – в нем злоумышленники делятся с пользователями фотографиями чеков с информацией о «вознаграждении» – и даже отчеты Google Analytics: pdf-документ с отчетом можно снабдить сообщением, в которое мошенники и помещают свою ссылку. Но эти методы менее популярны.

Как крадут деньги. При переходе по ссылке из Google-календаря возможны два сценария. В первом мошенники попробуют выманить у пользователя данные карты, чтобы потом расплатиться ею на сайтах, которые не требуют смс-подтверждения транзакции. Во втором пользователю предложат оплатить «комиссию» в размере нескольких сотен рублей, чтобы затем получить более значительное «вознаграждение».

• В одной из таких  пользователю сообщают, что на его счет «не завершен перевод средств», о чем система якобы узнала «по его IP-адресу». Чтобы завершить транзакцию, надо указать номер банковской карты или электронного кошелька. После этого деньги придут пользователю «двумя равными частями в течение 10 минут». Но сначала он должен оплатить комиссию — 0,28% от суммы операции. Корреспонденту The Bell предлагали «вернуть» чуть больше 105 тысяч рублей с комиссией около 300 рублей. За отказ завершить перевод сайт грозился заблокировать счет, а деньги «аннулировать как невостребованные». Для убедительности на странице мошенников стоит логотип Kaspersky Lab (в компании навали это мошенничеством).
• Другой сайт предлагает пройти опрос и получить за это около ста тысяч рублей. На  под названием «самый грандиозный опрос» пользователя спрашивают о любимых марках автомобилей и часов (предлагается выбрать из брендов вроде Breguet и Tissot), после чего называют сумму вознаграждения. Получить его можно, только выполнив «закрепительный платеж». От «заработавшего» 130 тысяч рублей корреспондента The Bell портал потребовал платеж в размере около 300 рублей. Это якобы было нужно для «подтверждения личности».
• В пользовательском соглашении создатели сайта , что выплаты получают «не все участники – а выборочно», на усмотрение администрации сайта. При этом суммы «выигрышей» – «всего лишь предположения по поводу заработков». Если пользователь считает их гарантированными, то все риски он берет на себя. Вся «продукция» сайта создана с образовательными целями, и пользоваться ей нужно «вдумчиво, опираясь на опыт наставников и тренеров», говорится в соглашении.
• Оценить, какая доля от получателей спама в Google-календарь переходит по ссылкам и действительно переводит деньги мошенникам невозможно, говорят собеседники The Bell в «Касперском» и Group-IB.

Массовая атака.  В соцсетях пик сообщений о мошенничестве через Google-календарь пришелся на июнь 2019 года, оценила по просьбе The Bell «Медиалогия». В апреле сообщений о нем было чуть меньше 200, в мае – вдвое больше, а в июне мошенничество упоминалось почти тысячу раз. В июне-июле «Медиалогия» зафиксировала примерно по 700 таких сообщений. Пики могут быть связаны с июньским сообщением «Лаборатории Касперского» и с июльским  о новой схеме мошенничества на РЕН-ТВ, отмечают в «Медиалогии».

• «Сервисы Google давно эксплуатируются для доставки спама, но рассылка именно с помощью Google-календаря переживает настоящую взрывную волну», – говорит старший спам-аналитик «Лаборатории Касперского» Мария Вергелис. По ее словам, рунет столкнулся с бумом таких атак с начала года, пик пришелся на начало лета.
• «Внедрение в Google-календарь – действительно популярный вариант рассылки спама, назвать новым его нельзя, но с начала лета мы зафиксировали новую волну», – говорит и замруководителя лаборатории криминалистики Group-IB Сергей Никитин.

Как защититься. Самый простой и радикальный способ – изменить настройки Google-календаря, чтобы в него попадали только те события, которые вы одобрили, а также отключить импорт мероприятий из Gmail (это можно сделать в графах «мероприятия» и «режим просмотра» раздела «настройки» календаря). После этого придется смириться с тем, что календарем станет менее удобно пользоваться: есть риск пропустить рабочую встречу, а напоминания о брони отеля или авиаперелете нужно будет добавлять вручную.

• Подробную инструкцию, как поменять настройки Google-календаря и других сервисов можно найти .
• Даже после этого надо сохранять бдительность — по такой схеме спам может проникнуть в любые платформы, которые позволяют приглашать любого пользователя. Так, в 2016 году пользователи англоязычных Twitter и Facebook  на появление страных встреч в календаре на iOS-устройствах.

Анастасия Стогней

Источник: