Фишинг обрел человеческий голос. Мошенники заманивают жертв в чаты и грабят в прямом эфире под видом техподдержки
Оператор такой вежливый, всё объясняет, вы благодарите за помощь — а через 5 минут у вас нет ни денег, ни аккаунта.
Фишинговые рассылки давно научились копировать письма от крупных брендов, но теперь мошенники все чаще уводят жертву не на обычную поддельную страницу, а в чат, который выглядит как настоящая служба поддержки. Исследователи Cofense описали именно такую схему: злоумышленники используют платформу LiveChat, через которую компании обычно общаются с клиентами в реальном времени, и под видом PayPal или Amazon выманивают учетные данные, реквизиты банковских карт, коды многофакторной аутентификации и персональные данные.
Кампания строится на двух типах писем-приманок. В первом варианте жертве сообщают, что на счет якобы должен поступить возврат на 200 долларов, и предлагают открыть детали транзакции. Во втором случае письмо выглядит более расплывчато: в нем говорится о заказе, который ожидает подтверждения, а ссылка скрыта под нейтральной формулировкой вроде просмотра обновления. Подходы разные, но расчет одинаковый. Один сценарий давит на интерес к неожиданным деньгам, другой играет на срочности и неясности, когда получатель не может сразу понять, о каком именно заказе идет речь.
После нажатия на ссылку пользователь попадает не на типичный фишинговый сайт с формой входа, а на страницу, размещенную через инфраструктуру LiveChat на домене lc[.]chat. За счет такого перехода атака выглядит менее подозрительно. Человек видит знакомый формат окна поддержки и с большей вероятностью решает, что общается с реальным представителем сервиса. При этом оформление зависит от конкретной приманки: в одном случае страница маскируется под PayPal, в другом под Amazon.
Дальше сценарии расходятся. В варианте с PayPal чат, по наблюдению Cofense, больше похож на автоматизированный или основанный на ИИ диалог. Сообщение появляется сразу после загрузки страницы и быстро подводит жертву к следующему шагу. После ответа пользователю присылают внешнюю ссылку, якобы необходимую для завершения процесса возврата тех самых 200 долларов. Уже там начинается более привычная фаза фишинга: жертву просят войти в учетную запись PayPal на стороннем ресурсе.
После ввода логина и пароля схема не останавливается. Пользователь получает код подтверждения на телефон, привязанный к аккаунту, а затем сам передает этот код мошенникам через поддельную форму. По сути, злоумышленник не просто крадет пароль, а в реальном времени перехватывает второй фактор аутентификации, чтобы сразу обойти защиту входа. Для ИБ-практики момент особенно важен: атака не ломает MFA технически, а обходит механизм за счет социальной инженерии и пошагового сопровождения жертвы.
После кода подтверждения жертву переводят к следующей форме, где уже под предлогом безопасности запрашивают платежные данные. Там собирают так называемую billing information, то есть сведения для выставления счетов и проверки владельца карты. Среди полей встречается и дата рождения, что нетипично для обычной проверки платежа, но полезно для злоумышленника как дополнительный идентификатор личности. Такой набор позволяет не только попытаться списать деньги, но и упростить захват самой учетной записи.
Следом появляется еще одна форма, где просят подтвердить банковскую карту для завершения возврата. Пользователь вводит номер карты, срок действия и другие реквизиты, после чего мошенник получает уже полный комплект данных: пароль от аккаунта, код MFA, персональные сведения и данные платежного средства. В конце жертву могут попросить ввести еще один код подтверждения, отправленный на телефон. Вероятно, речь идет о повторной попытке закрепить доступ к учетной записи или подтвердить операции, связанные уже с картой и обновленными данными профиля.
Вариант с Amazon устроен иначе и в каком-то смысле выглядит даже опаснее, потому что там злоумышленник, судя по описанию, общается с человеком вручную, а не через заготовленный сценарий. Перед началом диалога жертву просят указать адрес электронной почты, после чего в чате появляется сообщение о разблокировке ожидающего возврата. Затем собеседник под видом сотрудника службы поддержки начинает поэтапно собирать данные: сначала просит подтвердить email, потом номер телефона, дату рождения и адрес.
Такой порядок нужен не только для кражи информации, но и для создания ощущения настоящей верификации. Человеку кажется, что сервис последовательно сверяет профиль перед выплатой. Cofense обращает внимание на грубый язык и ошибки в сообщениях, например странные приветствия, лишние пробелы и двойные восклицательные знаки. Неровный стиль может выглядеть мелочью, но в подобных атаках именно такие детали часто выдают живого оператора, который быстро ведет разговор по шаблону, а не официальную службу поддержки с выверенными ответами.
После сбора базовых сведений фальшивый агент сообщает, что возврат на 200 долларов доступен, но данные карты якобы отсутствуют в системе. Дальше начинается прямой сбор карточных реквизитов: номер карты, срок действия и код CVC запрашивают под видом проверки. Чтобы усыпить бдительность, собеседник отдельно заверяет, что информация будет обработана конфиденциально. Подобная фраза как раз и должна снять внутреннее сопротивление в тот момент, когда жертву просят сообщить самые чувствительные данные прямо в чате.
Выбор LiveChat в качестве площадки здесь не случаен. Обычная фишинговая страница нередко вызывает подозрение сразу: человек видит форму входа, незнакомый адрес и понимает, что перед ним может быть подделка. Чат поддержки работает иначе. Диалог в реальном времени создает ощущение легитимного сервиса, а жертва меньше анализирует адресную строку и больше концентрируется на разговоре. Заодно злоумышленник может подстраиваться под ответы собеседника, дожимать его уточняющими вопросами и мгновенно менять тактику, если человек колеблется.
С технической точки зрения кампания сочетает сразу несколько классов угроз. В одной схеме соединены фишинг учетных данных, кража персональных данных, сбор реквизитов банковских карт, перехват кодов многофакторной аутентификации и имитация легитимной клиентской поддержки. Такой набор делает атаку особенно неприятной: злоумышленник получает не один фрагмент информации, а целую связку, достаточную и для захвата аккаунта, и для финансового мошенничества, и для дальнейших атак на ту же жертву.
Отдельно показательно, что бренд во втором письме сначала вообще не раскрывается. Получатель видит только сообщение о некоем заказе, который нужно подтвердить. Название Amazon появляется уже позже, на странице LiveChat. Такой прием снижает шанс, что человек сразу распознает несоответствие, особенно если у него действительно есть активные заказы в разных магазинах. В результате атака бьет не по одной конкретной аудитории, а по широкой массе пользователей, которые привыкли к уведомлениям о доставке, возвратах и проверке платежей.
Сценарий хорошо показывает, как меняется современный фишинг. Вместо одной поддельной формы все чаще используется целая цепочка: письмо, чат, внешняя страница входа, формы с дополнительными данными, повторный запрос кодов подтверждения и финальный возврат в чат с обещанием, что деньги скоро поступят. За счет такой последовательности каждая отдельная просьба выглядит не слишком подозрительно, хотя в сумме жертва шаг за шагом отдает полный набор критически важных сведений.