Этот фишинг в Steam приманивает вас бесплатным Discord Nitro
Несколько недель назад мы рассказывали об одной эффективной приманке, которая может заставить пользователя Discord задуматься о переходе по мошеннической ссылке, которую ему великодушно дал случайный пользователь или легитимный собеседник, попавшийся на ту же уловку: бесплатная подписка на Discord Nitro.
И подобно тому, как мошенники неоднократно обманывали пользователей Discord, они также наживаются на пользователях Steam (Помните ту аферу «Я случайно сообщил о вас«?).
Однако здесь новизна в том, что мошенники охотятся на обоих пользователей одновременно. С таким обычно не сталкиваешься каждый день.
Это мошенничество в Discord не связано с вашими учетными данными в Discord
Сейчас в Discord циркулирует свежая, активная афера, распространяемая ботами или аккаунтами, контролируемыми мошенниками. Ниже приведен примерный скриншот того, что вы можете обнаружить в своих личных сообщениях:
Смотрите, здесь бесплатное нитро на 1 месяц, просто привяжите свой аккаунт Steam и наслаждайтесь —
Когда пользователи Discord нажимают на ссылку, они попадают на сайт, который выглядит и ощущается как легитимная страница Discord.
При нажатии на кнопку «Получить Nitro» открывается нечто, обманчиво напоминающее всплывающее окно Steam, хотя на самом деле это не отдельное окно, а часть самого сайта.
Эта тактика похожа на ту, которую мошенники использовали около двух лет назад, описанную здесь пользователем Reddit /Bangaladore. В посте он подробно описывает, как он (или его друг) выяснил, что всплывающее окно на самом деле не является таковым: «Если вы попытаетесь перетащить окно из родительского окна хрома, что произойдет? Вы не можете. Оно просто останавливается у края. Если вы прокручиваете подлинную страницу вверх и вниз, знак Steam в [цитата] окне перемещается вместе с ней. Обычное всплывающее окно так себя не ведет».
Как вы можете видеть выше, у этого конкретного всплывающего окна были некоторые проблемы с загрузкой элементов, поэтому оно выглядит не так, как обычно. Но мы хотели бы отметить, что, хотя сайты, которые мы посетили и проанализировали, связанные с этой аферой, используют один и тот же интерфейс, бывают случаи, когда код не работает, и поддельный URL в поддельной адресной строке не отображается так, как должен. Вот лучший пример с сайта, связанного с этой аферой, на котором все отлично загружается:
Когда пользователи Discord вводят свои учетные данные Steam в поддельном всплывающем окне, появляется сообщение об ошибке: «Имя учетной записи или пароль, которые вы ввели, неверны». Однако за кадром их учетные данные Steam уже сохранены на мошенническом сайте.
Ниже представлен ролик, демонстрирующий эту аферу в действии (благодарность Stefan Dasic, который проанализировал URL-адреса и записал этот ролик):
Malwarebytes уже блокирует 195[dot]133[dot]16[dot]40, IP этой аферы. Мы также обнаружили более сотни других мошеннических доменов, сидящих на этом IP. Вот выборка:
Оставайтесь там в безопасности! И, пожалуйста, не переходите по ссылкам, которые появляются неожиданно.
Материал подготовлен в рамках курса «Reverse-Engineering».
Всех желающих приглашаем на бесплатный двухдневный интенсив «Типовые алгоритмы работы файловых инфекторов». На первом занятии мы: разберём структуры PE формата, пройдёмся в них в HEX редакторе, добьёмся необходимых изменений для внедрения кода.
>> РЕГИСТРАЦИЯ
- Блог компании OTUS
- Реверс-инжиниринг
Как выглядит фальшивая ссылка на дискорд нитро
Злоумышленники стали рассылать сообщения в Discord и публиковать видео на YouTube, где говорится о раздаче подписки Discord Nitro на три месяца в Steam. Акция звучит правдоподобно, так как не так давно Epic Games раздавали подписку Discord Nitro на три месяца.
Мошенники предлагают перейти на фишинговый сайт, полностью копирующий дизайн официального сайта Discord, где якобы можно получить подписку, если ввести данные от Steam аккаунта. Такую же процедуру нужно было выполнять и в Epic Games Store, чтобы получить подписку Discord Nitro бесплатно.
реклама
Понять, что сайт не официальный можно по домену, который схож с оригинальным, но написан с ошибкой — «Disrcod». Впрочем, любители раздач могут не обратить на это внимание и спокойно ввести данные от своего аккаунта Steam, тем самым самостоятельно отдав его в руки злоумышленникам. Ещё один способ по которому можно убедится, что такой акции на самом деле нет, это зайти на официальный сайт Discord и ввести путь «/steam», тогда пользователю выдаст ошибку. Именно этот путь указан на мошенническом сайте для активации бесплатного Discord Nitro.
Развод криптотрейдеров в Discord
Мошенники заманивают пользователей Discord на сайт фальшивой криптобиржи, обещая им бесплатные биткойны или Ethereum.
Mikhail Sytnik
Discord изначально создавался для геймеров, но благодаря удобной системе серверов, каналов и личных сообщений в нем уже давно собираются различные сообщества, от учебных групп до клубов по интересам. Есть здесь и серверы для адептов криптовалют. Пока трейдеры обсуждают на них хайповые альткойны, а инвесторы делятся прогнозами, мошенники думают, как бы нажиться и на тех, и на других. Рассказываем, какую схему сейчас используют жулики и как не попасться на их удочку.
Подарок от фальшивой криптобиржи
Мошенники ищут жертв на криптовалютных серверах Discord и рассылают личные сообщения от имени «перспективной торговой площадки», которая якобы разыгрывает криптовалюту. Причины для аттракциона невиданной щедрости разнятся от сообщения к сообщению: иногда криптобиржа хочет поддержать трейдеров в непростые времена, иногда — привлечь новых пользователей. Но суть всегда одна: адресат по воле фортуны был выбран получателем внушительной суммы в биткойнах или Ethereum!
Сообщение, в котором мошенники обещают Ethereum бесплатно, выглядит примерно так
В сообщении, изобилующем эмодзи, содержится подробная инструкция, чтобы «забрать подарок» было как можно проще. Здесь же — ссылка для регистрации на криптобирже и код, по которому можно получить «выигранные» биткойны или Ethereum.
По ссылке открывается сайт, который действительно очень напоминает криптобиржу. Сделано все вполне достойно: тут и адаптивная верстка, и грамотный дизайн, и разные привычные криптотрейдеру элементы торговой площадки — курсы валют, графики, биржевые стаканы, история торгов. Есть разделы техподдержки и справки, портал доступен на нескольких языках. По всем признакам фирма серьезная.
Главная страница поддельной криптобиржи, где пользователям Discord раздают биткойны и Ethereum
Мошенники подошли к созданию портала настолько ответственно, что даже позаботились о безопасности аккаунтов. Жертвам предлагают настроить двухфакторную аутентификацию, чтобы никто не украл их монеты (в данном случае — кроме авторов сайта). Можно включить и защиту от фишинга — такую же, как на настоящих биржах: в личном кабинете задается уникальный код, который затем будет указан во всех письмах от площадки в подтверждение того, что письмо пришло не от взломщика. Здесь, конечно, эта функция нужна только для того, чтобы убедить посетителей в подлинности сайта.
Мошеннический сайт предлагает включить двухфакторную аутентификацию и защиту от фишинга
Чтобы закончить регистрацию и получить статус «Пользователь», жертве предлагают либо внести небольшой депозит в криптовалюте (сразу или позже), либо пройти проверку личности (она же Know Your Customer, или KYC). Процедура устроена совсем как на сайтах некоторых легитимных криптобирж: нужно указать контактные данные и загрузить селфи, где будет виден удостоверяющий личность документ и листочек с адресом биржи, датой регистрации и подписью.
Скорее всего, мошенники собирают базу данных на продажу: такие пакеты из личных данных, фото документов и селфи действительно используются для подтверждения личности в совершенно разных сервисах, в том числе и финансовых, поэтому в дарквебе продаются за очень неплохие деньги. Еще один довод в пользу этого предположения — жертве строго-настрого запрещают оставлять на фото пометки и посторонние надписи.
Страница проверки личности пользователя на поддельной бирже криптовалют предлагает ввести личные данные, загрузить фото документов и сделать подтверждающее селфи
После регистрации настает пора активировать заветный ключ из сообщения в Discord и получить приз. Система принимает код, и на счету жертвы высвечиваются обещанные биткойны или Ethereum. Но самое интересное начинается, если жертва пытается вывести их с биржи на свой кошелек.
Мошенники напоминают, что этого нельзя сделать без пользовательского статуса, и просят пополнить баланс аккаунта, в нашем случае — на 0,02 биткойна или примерный эквивалент этой суммы в Ethereum или долларах США. Очевидно, жертва эти деньги больше не увидит, как и обещанный приз.
Фейковая криптобиржа просит пополнить баланс, чтобы жертва могла вывести выигранные монеты
В Интернете работают несколько таких поддельных криптобирж. На форумах и сайтах с отзывами уже можно найти немало предостережений от тех, кто с этими биржами успел столкнуться.
Как защититься от мошенников
Вот несколько простых правил:
- Будьте осторожны и не доверяйте незнакомцам, особенно если те предлагают что-либо бесплатно в сообщениях, сдобренных смайликами.
- Не делитесь личными данными с сайтами, которым не доверяете на 100%.
- Особенно это касается фотографий документов — это ценная добыча для любого злоумышленника, берегите их и никому не высылайте.
- Чтобы вас не забрасывали заманчивыми предложениями в мессенджере, правильно настройте конфиденциальность в Discord.
- Используйте надежное защитное решение. Например, Kaspersky Internet Security не только предупредит о фишинговых сайтах, но и обезопасит ваш компьютер от вредоносного ПО.