FakeBoss и его команда

Специалисты департамента компании F6 по расследованию высокотехнологичных преступлений обнаружили новую схему мошенничества, который используется для персонализированных атак.

В основе FakeTeam – распространенная схема FakeBoss. Главные отличия нового сценария: атака на пользователя проводится командой фейковых аккаунтов, в которой, кроме фальшивого руководителя жертвы, действуют еще несколько ложных коллег.

На первом этапе атаки злоумышленники создают в «Телеграме» групповой чат, в который пользователя добавляет посторонний аккаунт под нейтральным псевдонимом «Отдел кадров», «Кадровая служба» или подобным. Название чата при этом связано с организаций, в которой пользователь работает на момент атаки или трудился ранее.

В этот же чат добавляются еще несколько участников – фейковые аккаунты бывшего либо нынешнего руководителя пользователя, а также его коллег. При создании таких аккаунтов-клонов злоумышленники используют реальные фотографии людей, под которых маскируются. Единственный реальный пользователь в таком чате – тот, на кого направлена атака.

В известных F6 случаях применения схемы FakeTeam злоумышленники использовали в том числе фейковые аккаунты высокопоставленных чиновников и руководителей крупных компаний.

После добавления пользователя в чат фейковый руководитель под различными предлогами дает указание воспользоваться телеграм-ботом госсервиса, якобы для подтверждения данных, и сообщить шестизначный код, который выдаст бот. На самом деле замаскированная ссылка, по которой требует перейти фальшивый начальник, не имеет отношения к госсервису.

При переходе в бот у пользователя запрашивают номер телефона и просят поделиться своим контактом. В ответ бот выдает код, который требует сообщить фейковый руководитель.

Другие участники чата – фальшивые коллеги и сослуживцы пользователя – создают видимость активности. Некоторые пишут, что действительно слышали в новостях про необходимость связать свой телеграм-аккаунт с госсервисами, и вместе с другими присылают в чат результат выдачи бота. Если пользователь не реагирует на эти сообщения, фальшивый руководитель обращается к нему сначала в чате, а затем в личных сообщениях и настойчиво требует прислать код.

Если потенциальная жертва проявит бдительность, то заметит, что сообщения в чате появляются с очень высокой скоростью. Всего за несколько минут участники чата могут отправить десятки сообщений, каждое из которых состоит из нескольких предложений – в условиях чата с реальными пользователями такое маловероятно.

Схема FakeTeam строится на том, что злоумышленники пытаются повлиять на жертву от лица нескольких людей одновременно. Цель мошенников на первом этапе – спровоцировать пользователя сначала на использование бота, а затем – на передачу шестизначного кода в чат.

Важно отметить, что телеграм-бот, которым жертве предлагают воспользоваться, принадлежит злоумышленникам, они полностью контролируют сообщения и коды, которые бот присылает. Этот код формируется произвольно и ни на что не влияет. Его единственное предназначение – создать у пользователя впечатление, что он получил шестизначный код подтверждения от госсервиса.

Если жертва сообщит этот код фейковому руководителю, то преступники начинают следующий этап атаки с целью убедить пользователя, что его личный кабинет госсервиса взломан. Конечная цель злоумышленников – запугать пользователя и заставить его перевести деньги на якобы безопасный счет, досрочно погасить кредит, который якобы взяли мошенники, либо задекларировать свои сбережения и для этого передать их курьеру.

Специалисты департамента расследований F6 отмечают, что сценарий с коллективным давлением на жертву в групповом чате широко применялся злоумышленниками несколько лет назад в «группах смерти» – «Синих китах». Преступники создавали отдельный чат, в котором, кроме потенциальных жертв, также присутствовали фейковые пользователи. Их задачей которых было провоцировать участников чата на активные действия, которые могли создать угрозу для жизни и здоровья. Теперь киберпреступники адаптировали этот механизм под схему финансового мошенничества FakeBoss.

Рекомендации специалистов F6 по защите от мошеннических схем FakeBoss и FakeTeam для пользователей:
установите в мессенджерах запрет на звонки и сообщения от незнакомых пользователей;
установите в мессенджерах запрет на поиск по номеру телефона;
установите в мессенджерах запрет на приглашения в чаты от незнакомых пользователей;
измените или удалите свой username в «Телеграме», если есть подозрения, что в открытом доступе можно найти связь между ним и вашими личными данными (например, ФИО или местом работы).

Такой аккаунт фактически становится невидимым для злоумышленников. Однако если мошенники прорвались через фильтр, необходимо помнить следующее:
не вступайте в переписку, если вам написали в мессенджере от имени руководителя с незнакомого аккаунта. Проверьте достоверность аккаунта через непосредственного начальника или коллег – скорее всего, это клон. Для связи с руководством и коллегами используйте их проверенные аккаунты или другие способы общения;
если вас добавили в групповой чат без вашей просьбы или согласия, не реагируйте на сообщения в таком чате и не вступайте в переписку. Проверьте достоверность аккаунта по схеме выше;
не сообщайте никаких кодов в переписке или в разговоре по телефону. Запомните: кто спрашивает код, тот мошенник;
если вас пытаются запугать в телефонном разговоре или в переписке, сообщите об этом непосредственному руководителю или коллегам через проверенные аккаунты или другие способы общения. Даже если вам говорят, что «говорить никому нельзя» и все «совершенно секретно»;
храните свою финансовую тайну. Если по телефону или в переписке вам предлагают совершить любые денежные операции или операции с недвижимостью, о которых вы не просили, сразу прекращайте разговор;
без паники! Преступники обычно торопят и запрещают кому-то рассказывать о разговоре. Сделайте все наоборот. Возьмите паузу. Посоветуйтесь с родными и коллегами. Главное — не торопиться;
если вы стали жертвой атаки мошенников либо если злоумышленники угнали ваш аккаунт в мессенджере, который вы используете для рабочего общения, сразу же сообщите об этом непосредственному руководителю и в службу безопасности организации. Если преступники похитили у вас деньги, срочно обратитесь в полицию;
если вас добавили в групповой чат, в котором есть участники с именами ваших коллег, а под названием чата вы видите надпись: «Сообщить о спаме и выйти», сразу сообщите об этом непосредственному руководителю и в службу безопасности организации.

Рекомендации специалистов F6 по защите от мошеннических схем FakeBoss и FakeTeam для организаций%
напоминайте сотрудникам о мерах защиты своих аккаунтов в мессенджерах;
проводите регулярное обучение сотрудников по действиям при типичных киберпреступных атаках, включая фишинговые письма, СМС и сообщения в мессенджерах, использовании схем FakeBoss и FakeТeam.