Встреча с мошенниками: спамеры начали красть деньги через Google-календарь

С начала лета в России — волна нового интернет-мошенничества: злоумышленники добавляют запись со вредоносной ссылкой в Google-календарь жертвы. Технически этот способ мошенничества мало чем отличается от обычного спама — но в отличие от почты, в календаре нет спам-фильтров по умолчанию, а пользователь не ждет подвоха. The Bell разобрался, как действуют мошенники и можно ли обезопасить себя от них.

Как это работает. Мошенники добавляют в Google-календарь пользователя сообщение о том, что ему «согласован возврат денежных средств», пришла «компенсация за участие в опросе» или «перевод», либо произошло «очередное увеличение его баланса». Сама по себе идея не нова, но с недавнего времени «календарный» спам и фишинг стали массовыми, писала в своем блоге «Лаборатория Касперского».

  • Внедриться в чужой календарь просто: мошенники «назначают пользователю встречу», в описание которой добавляют ссылку на сайт для выкачивания денег. Встреча добавится в календарь, а в смартфоне пользователь получит о ней уведомление.
  • Специальных знаний для того, чтобы внедриться в календарь, не нужно — для этого достаточно знать имейл жертвы. Их мошенники находят так же, как и обычные спамеры, например с помощью сайтов с тестами, где надо оставить почту, или покупают готовые базы в даркнете. С точки зрения Google ничего подозрительного тут нет: календарь устроен так,  что встречу может назначить и незнакомый человек.
  • Главная причина популярности такой формы спама — его высокая доставляемость, говорит старший спам-аналитик «Лаборатории Касперского» Мария Вергелис. Обычное письмо из массовой рассылки попадет в папку «спам», и пользователь его проигнорирует, а уведомление в Google-календаре увидит в любом случае, объясняет замруководителя лаборатории криминалистики Group-IB Сергей Никитин. Объем спам-контента для календаря небольшой, поэтому спам-фильтру трудно его распознать.
  • Если календарь синхронизирован с телефоном, пользователь по умолчанию получает уведомления и в почту, и на телефон, поэтому шанс, что он их увидит, выше, говорит Вергелис из «Лаборатории Касперского».
  • Точно так же мошенники могут использовать практически любой сервис Google. Например, Google Photos — в нем злоумышленники делятся с пользователями фотографиями чеков с информацией о «вознаграждении», и даже отчеты Google Analytics: pdf-документ с отчетом можно снабдить сообщением, в которое мошенники и помещают свою ссылку. Но эти методы менее популярны.

Как крадут деньги. При переходе по ссылке из Google-календаря возможны два сценария. В первом мошенники попробуют выманить у пользователя данные карты, чтобы потом расплатиться ею на сайтах, которые не требуют смс-подтверждения транзакции. Во втором пользователю предложат оплатить «комиссию» в размере нескольких сотен рублей, чтобы затем получить более значительное «вознаграждение».

  • В одной из таких схем пользователю сообщают, что на его счет «не завершен перевод средств», о чем система якобы узнала «по его IP-адресу». Чтобы завершить транзакцию, надо указать номер банковской карты или электронного кошелька. После этого деньги придут пользователю «двумя равными частями в течение 10 минут». Но сначала он должен оплатить комиссию — 0,28% от суммы операции. Корреспонденту The Bell предлагали «вернуть» чуть больше 105 тысяч рублей с комиссией около 300 рублей. За отказ завершить перевод сайт грозился заблокировать счет, а деньги «аннулировать как невостребованные». Для убедительности на странице мошенников стоит логотип Kaspersky Lab (в компании навали это мошенничеством).
  • Другой сайт предлагает пройти опрос и получить за это около 100 тысяч рублей. На сайте под названием «самый грандиозный опрос» пользователя спрашивают о любимых марках автомобилей и часов (предлагается выбрать из брендов вроде Breguet и Tissot), после чего называют сумму вознаграждения. Получить его можно, только выполнив «закрепительный платеж». От «заработавшего» 130 тысяч рублей корреспондента The Bell портал потребовал платеж около 300 рублей. Это якобы было нужно для «подтверждения личности».
  • В пользовательском соглашении создатели сайта признаются, что выплаты получают «не все участники — а выборочно», на усмотрение администрации сайта. При этом суммы «выигрышей» — «всего лишь предположения по поводу заработков». Если пользователь считает их гарантированными, то все риски он берет на себя. Вся «продукция» сайта создана с образовательными целями, и пользоваться ей нужно «вдумчиво, опираясь на опыт наставников и тренеров», говорится в соглашении.
  • Оценить, какая доля от получателей спама в Google-календарь переходит по ссылкам и действительно переводит деньги мошенникам, невозможно, говорят собеседники The Bell в «Касперском» и Group-IB.

Массовая атака. В соцсетях пик сообщений о мошенничестве через Google-календарь пришелся на июнь 2019 года, оценила по просьбе The Bell «Медиалогия». В апреле сообщений о нем было чуть меньше 200, в мае — вдвое больше, а в июне мошенничество упоминалось почти тысячу раз. В июне-июле «Медиалогия» зафиксировала примерно по 700 таких сообщений. Пики могут быть связаны с июньским сообщением «Лаборатории Касперского» и с июльским сюжетом о новой схеме мошенничества на РЕН-ТВ, отмечают в «Медиалогии».

  • «Сервисы Google давно эксплуатируются для доставки спама, но рассылка именно с помощью Google-календаря переживает настоящую взрывную волну», — говорит старший спам-аналитик «Лаборатории Касперского» Мария Вергелис. По ее словам, рунет столкнулся с бумом таких атак с начала года, пик пришелся на начало лета.
  • «Внедрение в Google-календарь — действительно популярный вариант рассылки спама, назвать новым его нельзя, но с начала лета мы зафиксировали новую волну», — говорит и замруководителя лаборатории криминалистики Group-IB Сергей Никитин.

Как защититься. Самый простой и радикальный способ — изменить настройки Google-календаря, чтобы в него попадали только те события, которые вы одобрили, а также отключить импорт мероприятий из Gmail (это можно сделать в графах «мероприятия» и «режим просмотра» раздела «настройки» календаря). После этого придется смириться с тем, что календарем станет менее удобно пользоваться: есть риск пропустить рабочую встречу, а напоминания о брони отеля или авиаперелете нужно будет добавлять вручную.

  • Подробную инструкцию, как поменять настройки Google-календаря и других сервисов, можно найти здесь.
  • Даже после этого надо сохранять бдительность — по такой схеме спам может проникнуть в любые платформы, которые позволяют приглашать любого пользователя. Так, в 2016 году пользователи англоязычных Twitter и Facebook жаловались на появление странных встреч в календаре на iOS-устройствах.
Скопировать ссылку
Бери или беги. Что делать инвесторам в ожидании коррекции
13 декабря 2021

На правах рекламы

В российской торговле появятся два новых рынка по 1 трлн руб. Какие форматы будут расти, пока весь рынок замедляется?
Invalid date

«Понадобится еще парочка серьезных обострений». Чем продолжатся переговоры России с США

На этой неделе Москва ждет встречных предложений от Вашингтона и НАТО на неприемлемые для Запада российские проекты договоров о безопасности в Европе. Атмосфера накалена до предела: российский МИД предупреждает о «конфронтации, которая может иметь необратимые последствия». Два главных вопроса — какой ответ от США и НАТО мог бы  удовлетворить Кремль, и каким будет военно-политический ответ России, если удовлетворительного ответа не будет. Мы изучили, что об этом думают самые осведомленные о настроениях в Кремле международники, и задали те же вопросы независимым экспертам. 

6 млн транспортных средств в России принадлежат компаниям. Как бизнес может эффективно управлять автопарком?

В России почти 60 млн транспортных средств, каждое десятое из которых зарегистрировано на юридическое лицо — им принадлежит две трети автобусов, половина грузовиков, четверть легких коммерческих автомобилей и 4% легковых автомобилей (процент небольшой, но в штуках это 1,85 млн), подсчитал «Автостат».

Отказ от доллара и русский SWIFT. Готова ли Россия к новым санкциям?

Неделя переговоров России с США и НАТО в Женеве и Брюсселе предсказуемо не принесла осязаемых результатов — и теперь мы ждем «встречных предложений» Запада на следующей неделе. Российскому рынку этого уровня неопределенности хватило для сильнейшего обвала с весны 2020 года. Новый уровень эскалации и, как следствие, новые мощные санкции США — вопрос далеко не решенный, но на всякий случай мы решили оценить, насколько успешно российское правительство и ЦБ подготовились к отключению от SWIFT и другим санкционным рискам. Единственным результатом переговоров с США и НАТО стал обвал российского рынка. Оцениваем, готова ли Россия к санкциям.

Авиакомпании США предупредили о «катастрофе» из-за развертывания сетей 5G

Топ-менеджеры крупных пассажирских и грузовых авиаперевозчиков США предупредили об угрозе «катастрофического кризиса» в авиационной отрасли. Их обеспокоенность связана с инфраструктурой сотовых сетей 5G, которую операторы AT&T и Verizon готовятся развернуть в ближайшее время.

В сетях «Пятерочка» и «Перекресток» сменилось руководство

X5 Group сменила руководство «Пятерочки» и «Перекрестка». Об этом говорится в сообщении компании, пишет Forbes.

Всемирный банк предупредил о дефолтах беднейших стран из-за накопленных в пандемию долгов

Беднейшие страны мира в этом году столкнутся с резким ростом выплат по долгам - на $10,9 млрд - поскольку в пандемию брали деньги не у международных организаций, а на рынках капитала, пишет FT. Некоторые страны уже приблизились к дефолту.

Спрос на квартиры и дома в Турции среди россиян вырос на 75%

Россияне за 2021 год купили в Турции почти 5,4 тысячи квартир и домов — на 75% больше, чем годом ранее. Об этом свидетельствуют данные Института статистики Турции, пишет РБК. Как отмечает издание, это рекорд по крайней мере с 2015 года, когда россияне купили в этой стране две тысячи лотов жилой недвижимости.

Россия вывозит родственников дипломатов из представительств на Украине - NYT

Жен и детей работников российских представительств на Украине начали вывозить в Россию, самим дипломатам предписано готовиться к выезду, пишет The New York Times со ссылкой на украинских силовиков. Российский МИД уверяет, что посольство в Киеве работает в штатном режиме.