Уж сколько раз твердили миру, что если вы в явном виде, здравом уме и трезвой памяти не писали кому-либо какой-либо запрос и не заполняли никаких неизвестных вам онлайн-форм, то вам совершенно точно не могут прийти электронные письма, тема которых начинается с «Re:» (это безусловный признак ответа на вами ранее посланное письмо) или отбивка об успешном заполнении формы.
В новой мошеннической рассылке используется механизм Google-форм, когда после заполнения некой формы Google присылает на заранее указанный адрес почты отбивку-уведомление о том, что введённые вами данные успешно учтены.
Злоумышленники заранее создают Google-форму на подложном Google-аккаунте, в одном из полей формы предусматривают ввод адреса электронной почты (это и будет в дальнейшем адрес жертвы), а в настройках формы указывают необходимость отправки подтверждения на этот адрес в том, что форма заполнена успешно.
Подвох для спам-фильтров заключается в том, что отбивка приходит с одного из легальных почтовых адресов корпорации Google — к примеру, forms-receipt-noreply@google.com, что даёт возможность такому письму беспрепятственно попасть во входящие.
Типичный текст одного из таких писем выглядит вот так:
Как видно, мошенники особенно не «парятся» — форма нехитро названа «Поздравляем!» и содержит всего два поля — адрес получателя, якобы заполнившего её, и текстовое поле с гиперссылкой, содержащее мотивирующий для клика по ссылке текст.
В условиях безденежья, постигшего многих в 2020 году, любопытство может запросто пересилить здравый смысл и жертва-таки нажмёт на ссылку…
Ну что ж, давайте кликнем по ссылке вместо незадачливого юзера и после целых трёх редиректов, идущих друг за другом, попадаем на адрес (при следующем заходе имя может быть и другим) https://bporini.xyz/mcv_736/
Доменная зона .xyz — уже тревожный звонок, даже для искателей приключений и острых ощущений: «намотать на винт» на сайтах этой зоны проще простого. Но наши мошенники, скорее всего, имеют другую цель — деньги пользователя. Для этого его (и нашему) вниманию предлагается целая «простыня», которая должна внушить нешуточное уважение к месту, которое посещено:
Как видим, это не просто фейк-страничка, а ловушка с элементами интерактива — несложный скрипт уже собрал ip-адрес посетителя и по таблице провайдеров «вычислил» город будущего «пострадавшего». И «система» под названием Многофункциональный Центр Возмещений (международная служба — значит, работают и аферисты-иностранцы) уже по вашему ip знает, сколько денег вам причитается. Если отбросить грамматические ошибки, тонкий юмор «разработчиков» насчёт «более 5 счастливых (читай — обманутых) клиентов каждый день» и мифического адреса на Петровке, 10 (там находится ТЦ «Петровский Пассаж»), то вся суть этой «простыни» в том, чтобы доверчивый посетитель нажал одну из ссылок: «Узнайте её сумму прямо сейчас» или «Узнайте сумму» вкупе со вводом 4 последних цифр банковской карты или «Вернуть деньги» либо «Воспользоваться случаем». Что бы из кнопок вы ни нажали, результат будет один — фокусирование страницы на блоке «Рассчитайте выплату», где предлагается ввести 4 последних цифры номера банковской карты (это на данном этапе не имеет никакого значения — данная информация не может никому помочь украсть с неё деньги) и нажать-таки финальную кнопку «Узнайте сумму». На самом деле, до нажатия этой кнопки дело даже не дойдёт: как только вы введёте последнюю цифру из четырёх — вводить можно что угодно, разумеется, — начинается магия! На экране начинают мелькать надписи типа «подключение к базам данных», «запрос начислений», «связь с сервером» и тому подобные, чтобы пользователь видел, что работа идёт серьёзная! Далее начинают генерироваться пяти- и даже шестизначные суммы, выделенные крупным красным шрифтом — не заметить невозможно. В нашем случае сумма «выплат» составила аж 231.928 рублей! Шутка ли! Отдельно сообщается, что вышеуказанная сумма состоит из «неполученной выплаты» в 181.700 рублей и «страховой компенсации» в 50.228 рублей. Тут же будущего потерпевшего начинают мотивировать на дальнейшие действия: начинает мигать кнопка «Связаться с юристом для получения выплаты» и ниже появляется нешуточное предупреждение о том, что если не получить эти суммы в течение 24 часов, то всё будет возвращено организаторам. Организаторам чего, текст умалчивает. Видимо, этого лохотрона. Ну что ж, «свяжемся с юристом»…
Вы думали, дальше будет форма, где сразу надо будет вводить данные вашей карты для «получения средств» или оплаты «сервисного сбора»? Нет, мошенники так быстро не хотят вас разочаровать. Надо придать значимости ещё больше! Поэтому «связь с юристом» — всего лишь прокрутка страницы в подвал, где рядом с адресом «Петровка, 10» вам предлагается написать самостоятельно письмо в службу поддержки на адрес mcvsupport@mail.ru. Удивительно, что «международная служба» довольствуется бесплатным сервисом, но mail.ru ведь признанный лидер на рынке почтовых услуг… Что ж, надо сделать почтовый ящик «доверчивой бабушки» и написать им письмо…
Продолжение — в следующих постах.