Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Înșelătoriile de pe WhatsApp, extinse în mai multe țări și la mai multe mărci

2016-04-06

Frauda WhatsApp la scară largă – multiple țări, limbi și mărci folosite

În urma unei analize efectuate pe mai multe campanii înșelătoare care au compromis o varietate de magazine internaționale, precum ZaraStarbucks sau McDonald’s, s-a ajuns la concluzia că acestea constau dintr-o serie de sondaje false personalizate care se adaptează la orașul de proveniență și la limba utilizatorului care le primește.

Totul începe cu un mesaj pe WhatsApp care poate fi în engleză, spaniolă, franceză, germană, portugheză, printre altele, funcție de adresa IP a utilizatorului. Prin mesaj, se oferă un voucher utilizabil în orice magazin corespondent, iar moneda se modifică, de asemenea, în funcție de cine primește acest sondaj.

mc

Vom evidenția, în acest articol, câteva instrumente neobișnuite folosite de infractorii cibernetici din spatele acestui sistem, ce pare a fi o tendință în curs de dezvoltare pentru escrocheriile cibernetice.

Ingineria Socială (Social Engineering)– arta de a manipula oameni pentru un anumit scop – este unul dintre pilonii pentru acest tip de fraudă. Împreună cu tehnicile de geolocalizare, infractorii din domeniul informaticii au obținut rate de propagare mai mari, prin transformarea unui utilizator nu numai într-o victimă, dar și într-un complice la răspândirea acestui tip de înșelătorie.

Trebuie remarcat, de asemenea, faptul că aceste amenințări folosesc numele de magazine de renume și mărcile de încredere ale consumatorilor, care nu sunt în mod normal asociate cu fraude digitale și nu manipulează informații sensibile – cum ar în cazul instituțiilor financiare, care au fost afectate de-a lungul timpului de malware și de site-uri phishing. Astfel, infractorii cibernetici încearcă să inducă în eroare utilizatorii prin exploatarea încrederii inerente față de acele brand-uri, care nu au fost niciodată compromise sau asociate cu incidente de securitate în trecut.

O altă caracteristică importantă este numărul de brand-uri folosit în generarea a diferitelor template-uri – este dificil să identifici o țară unde aceste mărci nu există.

Prin urmare, care sunt companiile folosite drept momeală?

În urma cercetării serverelor implicate, s-a descoperit că acestea sunt găzduite în Republica Moldova, iar alte dovezi găsite în adresele DNS au arătat că au fost vizate și mai multe companii decât cele care au ieșit inițial la suprafață.

Această fraudă a implicat magazine prezente în mai multe țări, care au fost alese pentru popularitatea ridicată și pentru sucursalele pe care le dețin în cât mai multe țări posibile.

IKEA

IKEA este o corporație multinațională din Suedia, cu sediul în Olanda, având 238 de magazine în 44 de țări. Una dintre campaniile principale, folosită doar pentru prima parte a înșelătoriei, a folosit 5 subdomenii asociate, incluzând numele și logo-ul companiei:

  • ike**mo.com
  • ike***-promotions.com
  • nl-wa**en.com
  • ike****-cards-promo.com
  • ike******tions.com

ikea

H&M

H&M este o companie suedeză care operează în 44 de țări din Europa, Asia, Africa și America. Infractorii cibernetici au profitat de diversitatea mare a locațiilor magazinelor de îmbrăcăminte. Aceștia au folosit două domenii pentru acest brand, așa cum se arată mai jos:

  • hm-voucher.giftca***-***mo.com
  • hm-voucher.nl-wa*****en.com

Așa cum putem vedea mai jos, modelul se potrivește cu cel de la IKEA, dar este personalizat în funcție de culorile de la H&M.

hm

KFC

KFC, un lanț de restaurante fast-food foarte cunoscut, are mai mult de 18,000 de locații, distribuite în 144 de țări și, așa cum se întâmplă și cu McDonald’s, este o victimă a acestei campanii masive de fraudare.

Următoarele imagini corespond versiunii acestei înșelătorii, care s-a folosit de numele KFC:

kfc

Pe urmele înșelătoriei

Așa cum se poate observa, modelele folosite sunt similare în toate exemplele – au fost doar personalizate în conformitate cu logo-urile și culorile fiecărui brand.

Toate au același model de sondaj, determinat în mod automat de adresa IP a vizitatorului. Această adresă IP oferă infractorilor cibernetici informații legate de țara de proveniență și limba vorbită ale victimei.

Se folosește o metodă GET pentru a prelua parametrii, precum se poate observa mai jos:

cod

În acest fel, este evident, că aceste campanii sunt flexibile, din moment ce pot schimba valoarea parametrului de limbă – șablonul pentru sondajul fals își schimbă în mod automat limba.

Următorul pas este de a face utilizatorii să împărtășească link-ul inițial către 10 contacte de pe WhatsApp. Prin limitarea timpului pentru această “promoție“, infractorii împiedică victima să devină suspicioasă, de o posibilă fraudă, neavând destul timp la dispoziție.

Această tehnică nu este cea mai comună, dar este una eficientă și probabil va mai fi folosită frecvent în viitor.

kfc-ik

Ultima parte a campaniei include diferite tipuri de fraudă pentru a induce utilizatorul în eroare, precum abonarea la numere SMS Premium sau instalarea de aplicații potențiale nedorite.

 

În concluzie

Este interesant de subliniat numărul mare de resurse utilizate în aceste operațiuni, considerînd faptul că sunt vizate diferite țări, monede de schimb sau chiar limbi.

Având în vedere flexibilitatea și automatizarea acestor atacuri, precum și tipul companiilor implicate și faptul că nu au existat prea multe situații precedente similare, este normal că un număr mare de  utilizatori au devenit victime.

Acest tip de înșelătorie arată de ce educația reprezintă primul nivel în cazul protecției.

 

LUCAS PAUS

CORESPONDENT INDEPENDENT



Leave a Reply

Your email address will not be published. Required fields are marked *