Мошенники имитируют сбой Windows для обмана через фейк-поддержку
3 мин
110
Исследователь безопасности нашёл новую схему мошенничества. Через форму обратной связи на своём сайте специалист получил ссылку, которая выглядела обычной. Но при открытии в тестовой среде оказалась частью продуманной схемы с имитацией системных сбоев Windows, которая была рассчитана на выманивание денег через фальшивую техподдержку.
Механика кибератаки работает следующим образом: при переходе по ссылке запускается цепочка редиректов через несколько доменов. Сначала трафик уходит на домен в зоне my.id, затем на случайно сгенерированный поддомен. После этого он перенаправляется на легитимном сервисе для сбора информации о посетителях ipwho.org. Система снимает цифровой отпечаток: IP-адрес, браузер, операционную систему, user-agent. Потом происходит редирект на страницу с длинным base64-параметром, который продолжает атаку.
Далее загружается страница с поддельным уведомлением об обновлении Windows. Стандартное окно с таймером на 5 минут до перезагрузки. Для большинства пользователей оно выглядит абсолютно привычно. Следом появляется всплывающее окно псевдо-Windows Security с якобы обнаруженными вирусами Petya и Emotet, а также сообщением, что доступ заблокирован и нужно срочно звонить в поддержку Microsoft. Номер телефона показан крупно и отчётливо. Браузер при этом нельзя закрыть нормальным способом, и пока жертва находится в стрессовом состоянии, её пытаются заставить сделать звонок.
Механизм атаки нацелен на стрессовое состояние и неопытность пользователей. Многие не знают, что Microsoft никогда не рассылает предупреждения через браузер и не указывает телефоны поддержки во всплывающих окнах.
После сообщения о звонке запускается имитация командной строки. Текст прокручивается по экрану, изображая сканирование. Также выводятся сообщения об инициализации модулей, проверке процессов, обновлениях, мелькают названия процессов и показатели использования памяти. На самом деле ничего не сканируется.
Финальный этап — появляется псевдо-BSOD с кодом ошибки вроде CRITICAL_PROCESS_DIED. Для многих пользователей он выглядит окончательным подтверждением полного выхода из строя.
Как отмечает исследователь кибербеза, вся техническая часть атаки держится на использовании JavaScript, на котором написаны скрипты. Эти скрипты для атаки захватывают браузер в полноэкранный режим при любом клике, отключают ввод с клавиатуры, блокируют контекстное меню. Кнопка возврата перестаёт работать из-за манипуляций с историей браузера. Кроме того, отдельный скрипт очищает загруженные теги и удаляет сторонние компоненты по заданному шаблону. То есть никакого вредоносного ПО в схеме нет: вся атака построена на браузерных возможностях и социальной инженерии.
