Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, предупреждает о новой схеме мошенничества, которая нацелена на жителей России, находящихся в поиске работы. Под предлогом заполнения резюме злоумышленники угоняют аккаунты пользователей Telegram, а затем рассылают по списку контактов сообщения с предложением за деньги пройти опрос от имени партии «Единая Россия». Для этого предлагается скачать фейковое мобильное приложение с Android-трояном, после его установки преступники получают возможность вывести деньги со счетов жертвы. С 20 февраля по 15 марта от действий мошеннической группы, которая использует эту схему, пострадали 770 пользователей, у которых мошенники похитили почти 6 млн рублей.
Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 в ходе исследования механизмов угона аккаунтов пользователей Telegram обнаружили новую комбо-схему: похищенный под предлогом фейкового трудоустройства аккаунт автоматически начинает распространять мошеннические ссылки на опрос от имени «Единой России». Такая схема зафиксирована впервые.
Организаторы преступной схемы похищают аккаунты пользователей Telegram, которые ищут работу. Цель злоумышленников на первом этапе – убедить потенциальную жертву оставить резюме.
Для этого мошенники размещают объявления о поиске сотрудников с высокой зарплатой и другими привлекательными условиями. Преступники могут указать любую должность: курьера, строителя, разнорабочего или топ-менеджера крупной компании. Для публикации фейковых вакансий злоумышленники используют все возможные площадки: популярные платформы бесплатных объявлений и сервисы поиска работы, профильные Telegram-чаты и группы в социальных сетях. Фейковые вакансии в крупных группах участники преступной схемы продвигают с помощью рекламы.
Открывая охоту на пользователей Telegram-чатов, мошенники стремятся создать образ рекрутера, вызывающий максимальное доверие: покупают для своего аккаунта Premium, используют для аватара изображения в деловом стиле, в описании указывают рабочие часы, настраивают автоответчик.
Если пользователь откликнется на фейковую вакансию на сайте бесплатных объявлений или сервисе поиска работы, мошенники спрашивают номер его телефона и сразу же предлагают перевести общение в WhatsApp или Telegram. На этом этапе распознать обман сложно: подобная практика при общении с кандидатами применяется повсеместно. Затем в переписке соискателя просят заполнить резюме и присылают ссылку на фишинговый ресурс. На первой странице предлагается указать личную информацию, включая имя, фамилию, адрес проживания и e-mail, на второй странице – опыт работы и навыки. На третьей странице пользователь видит надпись: «Резюме готово! Для подтверждения отправки резюме вам нужно пройти авторизацию через Telegram». Если пользователь введёт в открывшейся форме номер своего телефона, а в следующей – код подтверждения из смс от Telegram, то злоумышленники моментально получают доступ к его аккаунту.
