Imperva: за крупнейшим мошенничеством в интернете стоят российские хакеры, выдающие себя за украинцев

Специалисты израильской компании Imperva, предлагающей услуги в области кибербезопасности, обнаружили, что за фишинговыми атаками по всему миру стоят россияне. Создав крупную модульную платформу для фишинга, хакеры пытаются выдавать себя за украинцев.

Расследование было начато сотрудниками Imperva Сарит Йерушалми и Йоханном Силламом после того, как один из их коллег попытался продать детское автокресло на сайте Yad2, популярной в Израиле доске объявлений. Вскоре он получил сообщение в WhatsApp от потенциального покупателя, который просил подробнее рассказать о продаваемом кресле, а затем прислал ссылку на платежный сервис с фирменным логотипом сайта Yad2. Сарит Йерушалми, рассказывающая в своем блоге о проведенном расследовании, пишет, дизайн поддельной страницы не только был идентичным сайту Yad2, но на нем был чат со службой поддержки, при этом чат-бот работал и отвечал на запросы.

Автор популярного блога, посвященного кибербезопасности, пишет, что в качестве "наживки" была использована пустая предоплаченная кредитная карта. После ввода ее данных пришло СМС-уведомление от украинского сервиса MONODirect с запросом о снятии 4581 гривны. Исследователи отмечают: "хотя создатели фишинговой кампании были русскими, объекты угрозы, создаваемые ею, выдавали себя за украинцев".

Специалисты Imperva обнаружили, что фишинговая платформа генерирует страницы на 40 языках, ими были подделаны сайты 340 известных компаний и брендов, в том числе компаний Facebook, FedEx, DHL, Booking.com, а также сайт Почты Израиля. Каждые несколько дней их система генерировала новые домены для их сайтов.

Изучая код вредоносных сайтов, исследователи обнаружили рядом с украинским языком на одной из сайтов, была строка юникода "\u0445\u04tar40\u044e\u0448\u0430\u0447\u0438\u0439", что читается как "хрюшка". Исследователи сделали вывод, что создатели платформы намеренно выбрали уничижительный термин, чтобы продемонстрировать свое отношение к гражданам страны, с которой Россия ведет войну.

Сарит Йерушалми подробно шаг за шагом описывает, как проводилось расследование, а также отмечает, что они продолжают следить за фишинговой платформой, в надежде, что это поможет прекратить ее функционирование.