Мошенники переквалифицировались в финансовых агентов

Олеся Афанасьева 17 Мая 2023 - 12:15

...

Мошенники переквалифицировались в финансовых агентов

Аферисты теперь представляются не банками, а специальными агентами инвестиционных компаний. Чтобы обмануть клиента, им даже не нужно подделывать сайт известной организации. Они ведут переговоры в мессенджерах, уговаривая жертву вложиться в раскрученный бренд.

О новом ампула мошенников РИА Новости рассказал директор департамента противодействия недобросовестным практикам ЦБ Валерий Лях.

"Часть мошенников-финансовых пирамид стали маскироваться под крупные финансовые организации, — сообщил чиновник. — Если раньше они мимикрировали под цвет, название компании, то сейчас они часто предлагают свои псевдоуслуги якобы от бренда”.

Раньше аферисты делали сайт, похожий на известный финансовый бренд, а сейчас рассказывают, что являются агентами либо представителями финансовой организации, чаще банков, объяснил Лях.

Такие преступники предлагают перевести деньги для "пополнения торгового счета" на карту физического лица, а результаты "инвестирования" сообщаются в электронном письме, мессенджере, или по телефону.

"Мошенники используют новую схему, чтобы не вызвать подозрения, что что-то не так. При этом к самому процессу инвестирования они клиентов не допускают”, — добавил Лях.

Задача аферистов — “вытащить” деньги сразу, пока жертва не стала проверять агента финорганизации.

“Пока схема только появилась как инструмент "выкачивания" денег, она будет работать, и весьма успешно”, — комментирует новость аналитик компании SoftWell Мария Веремьева.

Сейчас о ней еще мало говорят. А именно растиражированность сценария и информированность граждан становятся главными способами борьбы с такими преступлениями, подчеркивает эксперт.

Любая мошенническая схема будет популярной и найдет своих жертв, пока люди верят в легкие деньги. Основная профилактическая работа — осведомленность о подобных махинациях, считает Веремьева.

Новые схемы подтвердили накануне и аналитики компании “РТК-Солар”. На конференции по ключевым внешним цифровым угрозам упоминались случаи, когда аферисты выдумывали несуществующие банки и брокерские компании. По-прежнему работают и старые схемы с легендами о правительственных выплатах от нефтегазовых доходов.

“РТК-Солар” также привел свежие данные по утечкам уже за 2023 год. За первые 4 месяца года в открытый доступ попали 300 млн строк или 1,1 ТБ информации о российских пользователях и организациях. В даркнете часто перепродают уже отработанные логи с троянов-стилеров, добавили ИБ-специалисты. В “second-hand данных” ищут корпоративные следы или используют ПДн для преступлений с применением социальной инженерии.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.