Aktywne kampanie oszustw subskrypcyjnych zalewają Internet

Badacze Bitdefender odkryli wzrost liczby oszustw subskrypcyjnych, zarówno pod względem skali, jak i wyrafinowania. Przyczyną była ogromna kampania z udziałem setek fałszywych stron internetowych. Cechą charakterystyczną tej kampanii oszustw subskrypcyjnych są znaczne inwestycje, jakie poczynili cyberprzestępcy, aby te fałszywe strony wyglądały przekonująco i legalnie.

Minęły czasy, gdy podejrzany e-mail, SMS lub podstawowy link phishingowy mógł łatwo oszukać użytkowników. W miarę jak internauci stają się bardziej ostrożni i świadomi cyberprzestrzeni, oszuści także się rozwijają. Zaczęli już tworzyć bardziej złożone i przekonujące schematy, aby ominąć sceptycyzm i zwabić ofiary do przekazania poufnych informacji, zwłaszcza danych kart kredytowych.

Nowe kampanie oszustw subskrypcyjnych – kluczowe zagadnienia

• Niesamowicie przekonujące strony internetowe, sprzedające wszystko od butów i ubrań po różnorodną elektronikę nakłaniając użytkowników do płacenia miesięcznych abonamentów i dobrowolnego podawania danych kart kredytowych.
• Wiele stron internetowych jest powiązanych z jednym adresem na Cyprze, prawdopodobnie siedzibą zagranicznej firmy.
• Oszustwo dotyczyło ponad 200 różnych stron internetowych, z których wiele nadal działa.
• Przestępcy tworzą strony na Facebooku i wykupują całe reklamy, aby promować klasyczne już oszustwo z „tajemniczym pudełkiem” i jego inne warianty.
• Oszustwo z „tajemniczym pudełkiem” rozwinęło się i teraz obejmuje niemal ukryte cykliczne płatności, a także linki do stron internetowych różnych sklepów.
• Główną platformą dla tych nowych i ulepszonych oszustw z tajemniczymi pudełkami jest Facebook
• Twórcy treści są podszywani pod osoby promujące tajemnicze pudełka lub oszuści tworzą nowe strony, które bardzo przypominają oryginały.

Oszuści próbują wykorzystać brak uwagi ludzi

Cyberprzestępcy wiedzą, że jeśli ofiara dotarła do etapu płatności, to mało prawdopodobne, że się wycofają z transakcji. W tym momencie wahanie jest niewielkie, a krytyczne myślenie wyłączone.

Wtedy cyberprzestępcy uderzają ponownie, wykorzystując drugie oszustwo tuż przed tym, jak ofiara przekaże pieniądze. Nie chodzi tylko o zamknięcie transakcji w tym momencie, ale raczej o ułożenie oszustwa.

Czym jest oszustwo typu „tajemnicza skrzynka”?

W prawdziwym życiu, urok tajemniczego pudełka z przedmiotami na półce, czekającego tylko, aż ktoś je podniesie za kilka złotych, wydaje się oszustwem, które nigdy nie zadziała. Ale w Internecie to naprawdę działa – w przeciwnym razie oszuści nie wkładaliby tyle wysiłku w ich promowanie.

Istnieje wiele odmian tych oszustw, od pudełek pozostawionych na poczcie po torby pozostawione na lotnisku, a nawet wyprzedaże w dużych centrach handlowych. Wszystkie mają ten sam charakterystyczny znak: ofiara musi jedynie zapłacić minimalną kwotę pieniędzy.

Celem jest oczywiście zebranie danych osobowych i finansowych. Ofiary chętnie podają wszystkie te cenne informacje, wierząc, że dokonały fantastycznego zakupu. Oto przykład z jednej z takich kampanii oszustw, której celem byli użytkownicy Facebooka w Rumunii:

Oszustwo Mystery Box ewoluuje

Podobnie jak większość oszustw, te niebezpieczne schematy tracą na atrakcyjności, gdy ludzie się do nich przyzwyczajają. Skłania to przestępców do wymyślania nowych sposobów na zdobycie pieniędzy lub informacji finansowych.

Pierwszym krokiem w tej drabinie ewolucyjnej był moment, w którym oszuści dodali ankiety, „aby upewnić się”, że jesteś prawdziwą osobą, a nie botem. Kiedy użytkownicy widzą, że firma podejmuje takie kroki, przedsiębiorstwo wydaje się bardziej legalne.

Teraz oszustwo z tajemniczym pudełkiem rozwinęło się w nowy sposób. Tuż przed wyrażeniem zgody na przekazanie im pieniędzy i informacji finansowych, zgadzasz się również na model subskrypcji (napisany drobnym drukiem), obecną przygodę z zakupami w ramach tajemniczego pudełka w płatności cykliczne.

Oczywiście, inne kraje również są celem. Oto jeden z przykładów oszustw zaobserwowanych na terenie Kanady i Stanów Zjednoczonych.

Jak pokazują wcześniejsze badania zespołu Bitdefender, oszustwa te zalały media społecznościowe, a wszystko to jest możliwe dzięki sponsorowanym reklamom.

Zauważysz, że strona płatności odwołuje się również do witryny o nazwie naillr[.]com, gdzie otrzymujesz kartę członkowską, która daje Ci zniżki i korzyści. Jednak to właśnie tutaj badania skierowały nas w innym kierunku.

Oszustwo z tajemniczymi pudełkami rozszerza się na nowe terytoria

Niektóre z reklam z tajemniczymi pudełkami wskazują na różne sklepy internetowe oferujące różnorodne produkty, takie jak ubrania, sprzęt elektroniczny, kosmetyki i wiele innych. W pewnym momencie Bitdefender zidentyfikował około 140 stron internetowych, które miały ten sam model biznesowy. Oto tylko jeden przykład:

„Kupuj w cenie członkowskiej i uzyskaj BEZPŁATNY dostęp do najlepszych cen w Europie po doładowaniu konta kwotą 44,00 EUR/co 14 dni. Pomiń doładowanie lub zrób zakupy” – głosił drobny druk w tej ofercie.

Sklep internetowy wydaje się oferować wiele poziomów z różnymi dodatkami. Śledząc adresy URL powiązane według identyfikatora trackera, badacze Bitdefender znaleźli ponad 200 witryn w tej kampanii, z których wiele jest obecnie nadal online.

Zasadniczo internauci mogą być kuszeni, aby zapłacić jedną z tych subskrypcji, wierząc, że zapewni im to zniżki na całej stronie internetowej. Właściciele sklepów oferują nawet różne poziomy subskrypcji, ale kwoty różnią się w zależności od strony internetowej.

Oto, czego oczekujesz od poziomu VIP na jednej z tych stron internetowych:

Oferowane rabaty są oparte na kredytach sklepowych, które są przekształcane przy użyciu współczynnika 1:1. Tak więc, jeśli zainwestujesz 68 €, otrzymasz 68 kredytów. Jeśli chcesz kupić coś takiego jak mebel, na przykład, tak to będzie wyglądać.

Wszystko to jest bardzo skomplikowane do zrozumienia, z kredytami sklepowymi, rabatami, kredytami, które można doładować co 14 dni itd. Zamiarem oszusta jest, aby proces był tak zawiły, jak to możliwe, a jednocześnie sprawiał wrażenie dobrego pomysłu. Kiedy ofiara faktycznie zapłaci za subskrypcję, będzie to już wyglądało jak inwestycja.

Cyberprzestępcy często obiecują wszystkie najlepsze produkty, jakie można kupić za pieniądze, ale ich oferty są niepoważne. Ten jeden sklep elektroniczny sprzedawał stare kable, przestarzałe technologie i inne urządzenia, które można było kupić za ułamek ceny w chińskich sklepach.

Warto również wspomnieć, że adres kontaktowy podany na większości z tych setek stron internetowych (Andrea Kalvou 13, 3085 Limassol), które nadal działają, pojawia się również w cypryjskim zapisie w bazie danych Offshore Leaks Database prowadzonej przez Międzynarodowe Konsorcjum Dziennikarzy Śledczych (ICIJ), który jest powiązany z wyciekiem afery Paradise Papers.

Pokusa subskrypcji jest zbyt silna

Przestępcy inwestują pieniądze w reklamy promujące podszywających się pod twórców treści, korzystając z tego samego modelu subskrypcji, który najwyraźniej stanowi obecnie główne źródło przychodów w tych oszustwach.

Oszuści często zmieniają marki, pod które się podszywają i zaczęli wychodzić poza istniejące pudełka tajemnic. Teraz próbują sprzedawać produkty niskiej jakości lub imitacje artykułów, fałszywe inwestycje, suplementy i wiele więcej.

Zespół Bitdefender zaobserwował kilka technik stosowanych w celu uniknięcia automatycznego wykrycia:

• Wiele wersji reklamy, z których tylko jedna jest złośliwa, a pozostałe wyświetlają losowe zdjęcia produktów.
• Przesyłanie obrazów bezpośrednio z Dysku Google (dzięki czemu można je później zastąpić).
• Wykorzystanie przyciętych obrazów w celu zmiany wzorców wizualnych.
• Poleganie wyłącznie na obrazach w reklamach, bez żadnego tekstu w opisie (tekst pojawia się tylko na samym obrazie).
• Klasyczne techniki homoglificzne.

Niektóre ze stron kont mogły zostać utworzone od podstaw, a ich nazwy zostały wygenerowane przez algorytmy. Czasami zostały zhakowane i przejęte, a następnie przemianowane.

Zbliżenie ekranu może nie odzwierciedlać rzeczywistych danych.

Te sklepy mogą się na pierwszy rzut oka nie łączyć, ale w większości korzystają z tego samego projektu, tych samych motywów, tych samych agentów AI i podobnych informacji rejestracyjnych, co wskazuje na Cypr.

Chociaż trudno jest znaleźć bezpośrednie powiązanie między oszustwami Mystery Box a tą masą stron internetowych, fakt, że ekrany płatności niektórych Mystery Boxów zawierają linki do zarejestrowanych na Cyprze sklepów oferujących subskrypcję, jest co najmniej podejrzany, zwłaszcza że oszustwa te opierają się na tej samej idei subskrypcji.

Kampanie oszustw subskrypcyjnych – wnioski

Choć wiele z tych oszustw wydaje się mieć związek z tymi samymi operatorami, wielu innych oszustów również odkryło, że subskrypcja stała się nową normą. Biorąc pod uwagę, że pieniądze są inwestowane w reklamy, strony internetowe wyglądające na realne, podszywanie się pod ludzi i marki oraz w inne rodzaje ataków, możemy być pewni, że tego rodzaju oszustwa zaleją świat online.

Dlatego niezwykle istotne jest to, aby zadbać o skuteczną ochronę antywirusową. Programy antywirusowe Bitdefender zostały wyposażone nie tylko w skuteczne silniki antywirusowe, lecz także w moduł antyphishingowy, który wykryje wszelkie niebezpieczne i nielegalne strony internetowe

IOC:

• ’bestsoundclub[.]com’,
• ’egadgets[.]club’,
• ’betrendy[.]site’,
• ’allbuysport[.]com’,
• ’alltv[.]store’,
• ’allgamesinone[.]com’,
• ’allmakeup[.]vip’,
• ’dom.attentiontamers[.]com’,
• ’bol.bluedeutsch[.]com’,
• ’d.strideoflife[.]com’,
• ’bestkitchens[.]store’,
• ’aul.hyperhorizon[.]org’,
• ’click.purebudgets100[.]com’,
• ’decorstore[.]club’,
• ’amazitech[.]com’,
• ’decorhome[.]vip’,
• ’abeautybuffet[.]com’,
• ’buygadgets[.]site’,
• ’decorsolutions[.]online’,
• ’devicesair[.]com’,
• ’aul.honeymusic[.]org’,
• ’allfree[.]me’,
• ’aul.stellafromvalhalla[.]org’,
• ’dealmeon[.]club’,
• ’clicks.dyslexicsonfire[.]com’,
• ’aul.intothestory[.]org’,
• ’alljewellery[.]store’,
• ’cosykitchen[.]store’,
• ’apps.risetotheoccasions[.]org’,
• ’accelredirect[.]com’,
•  'clicks.ahauntedcastleuponahill[.]com’,
•  'dom.highoctaneavenger[.]com’,
• ’afterhourshobby[.]com’,
• ’click.maestrolanding[.]com’,
• ’beoutdoors[.]site’,
• ’beachitem[.]com’,
• ’brandclothesshop[.]site’,
• ’bestcosmetic[.]club’,
• ’best-dealclub[.]com’,
• ’email.all4tech[.]site’,
• ’clicks.sightseeingdragon[.]com’,
• ’bestlook[.]store’,
• ’alltoys[.]store’,
• ’altaprotect[.]com’,
• ’beoutdoors[.]club’,
• ’decorworld[.]shop’,
• ’clicks.feelthesummervibe[.]com’,
• ’designerhome[.]store’,
• ’0dgwn.bemobtrcks[.]com’,
• ’aul.twotearsandamoon[.]com’
• ’aul.magneticstormcatcher[.]com’,
• ’cookskitchen[.]club’,
• ’clicks.offtheworld[.]org’,
• ’bestylish[.]club’,
• ’cosmeticshop[.]store’,
• ’clicks.hellobatchsix[.]com’,
• ’craftcraze[.]shop’,
• ’coolgarden[.]club’,
• ’d.snowflakepipeline[.]com’,
• ’clickgadgets[.]club’,
• ’agamingportal[.]com’,
• ’bestclothes[.]club’,
• ’alldaysgift[.]co’,
• ’cooltv[.]shop’,
• ’allyours[.]vip’,
• ’clotheszone[.]club’,
• ’beauty365[.]site’,
• ’daysgiftrewards[.]com’,
• ’clicks.stalingradrailstation[.]com’,
• ’belovedaroma[.]com’,
• ’electronicsgo[.]club’,
• ’allelectronics[.]club’,
• ’electronicshop[.]store’,
• ’allincosmetics[.]club’,
• ’cuteclothes[.]club’,
• ’aromascent[.]club’,
• ’alltechinone[.]com’,
• ’decor-muse[.]com’,
• ’bechic[.]club’,
• ’amazingfashion[.]club’,
• ’artifactenergy[.]org’,
• ’buzzok[.]com’,
• ’d.crossingthesummers[.]com’,
• ’allgifts[.]site’,
• ’allclothes[.]club’,
• ’clothesday[.]com’,
• ’electriz[.]club’,
• ’clicks[.]clubmastersrecordsartist[.]com’,
• ’adstrikers[.]com’,
• ’amazingtttt[.]com’,
• ’cheapluxery[.]com’,
• ’direct.newchiefdandy[.]com’,
• ’email.bechic[.]club’,
• ’allkitchen[.]shop’,
• ’alittledonation[.]com’,
• ’customer.mammothdandy[.]com’,
• ’sporty-you[.]club’,
• ’aprilhasteplus[.]com’,
• ’click.cookingbeasts[.]com’,
• ’allthegiftsforthewhole.world’,
• ’d.stockingfillers.net’,
• ’beautybuys[.]store’,
• ’elitesportshouse[.]com’,
• ’email.allclothes[.]club’,
• ’alladventure[.]club’,
• ’befantastic[.]club’,
• ’185[.]142[.]236[.]187′,
• ’bigstoregaming[.]com’,
• ’crazygames[.]shop’,
• ’clothesontherun[.]club’,
• ’decorinterior[.]club’,
• ’echo.bluehornet[.]com’,
• ’clicks.frenchcanadianspacemermaid[.]com’,
•  'dom.thecakewasdelicious[.]com’,
• ’bestwear[.]club’,
• ’alldaysgifts[.]club’,
• ’cutepets[.]site’,
• ’dreamwardrobe[.]online’,
• ’bestprogift[.]com’,
• ’buyjewellery[.]club’,
• ’bloomszone[.]com’,
• ’bestmakeup[.]club’,
• ’buyclothes[.]vip’,
• ’all4me[.]cc’,
• ’clubbestdeal[.]com’,
• ’dom.mirrormirroronthewall[.]net’,
• ’allpetstore[.]club’,
• ’cosmeticcareclub[.]com’,
• ’best-onlinedeal[.]club’,
• ’adventureactivities[.]club’,
• ’decorationdeal[.]com’,
• ’dom.icanseeforever[.]org’,
• ’accessories-world[.]club’,
• ’bebeautiful[.]club’,
• ’activestore[.]club’,
• ’allbeactive[.]com’,
• ’all4tech[.]site’,
• ’buypresents[.]store’,
• ’coolgifts[.]shop’,
• ’bestoutfit[.]store’,
• ’aul.onlineworkshopsandevents[.]org’,
• ’allgadget[.]club’,
• ’designdecor[.]store’