Дослідники з Cyjax опублікували звіт з великою ймовірністю про китайського зловмисника, який спеціалізується на видачі себе за відомі і надійні бренди. Нині імітується понад 400 організацій. З цієї причини фішингова група отримала назву Fangxiao (зі спрощеного китайського – «наслідування»). Дослідники знайшли кілька доказів до того, що група працює з Китаю, у тому числі відкриту панель управління мандаринським діалектом китайської мови.
Незважаючи на те, що WhatsApp заборонено в Китаї, Fangxiao використовує цей додаток як основний засіб для досягнення цілей. Вони обіцяють фінансові або фізичні стимули для обдурення жертв і подальшого поширення кампанії через WhatsApp. Посилання в повідомленнях WhatsApp веде одержувачів на сайт, який контролює Fangxiao. Ці веб-сторінки видають себе за сайт відомого бренду.
Цільові сторінки Fangxiao
Цільові сторінки уособлюють локалізовану версію відомого та довіреного бренду, наприклад Coca Cola, FlyEmirates, McDonalds або Knorr. Щоб не потрапити до чорних списків, група перебирає величезну кількість доменів. Дослідники відзначили до 300 нових унікальних доменних імен за день.
Спосіб обрання імені для цих доменів часто містить у собі 2 випадкових слова зі списку імен доменів першого рівня (top-level domains) у пулі імен .top. Таким чином, найімовірнішими будуть імена на кшталт “preventprecending[.]top.
Перенаправлення
Цільові сторінки перенаправляють відвідувачів на шкідливі ресурси, наприклад фейкові опитування, сторінки, що завантажують шкідливе програмне забезпечення тощо. Але опитування завжди на першому місці. Відвідувачеві пропонується заповнити опитування, оснащені таймером, щоб додати невідкладності, а також значними за цінністю призами у випадку виграшу. Після того, як на всі запитання надано відповіді та сайт «підтвердив» отримання цієї інформації, учасникам повідомляють, що вони можуть виграти призи, і просять натиснути на певне поле. Це поле запустить анімацію, щоб тримати відвідувача у напрузі про те, чи виграли вони, і якщо так – що саме. Сайт може вимагати до трьох натискань для виграшу, причому зазвичай другий або третій клік повідомляє їм, що вони виграли подарункову карту високої вартості або будь-який інший привабливий приз. Щоб отримати приз, їм пропонується поділитися фішинговою кампанією через WhatsApp із п’ятьма групами або 20 друзями.
Реферальне поширення
Наступним кроком після добровільного спаму є завантаження програми за посиланням. Шахраї просять залишити її відкритою на 30 секунд після встановлення. Це, ймовірно, дозволяє групі збирати реферальну плату з видавців програми – за кожне встановлення сплачується невелика сума коштів. Наступний крок у ланцюжку перенаправлення відправляє відвідувача на сайт рекламної компанії з менш ніж гарною репутацією під назвою ylliX. При натисканні на банери на цих сайтах користувачі перенаправляються через кілька доменів. Кінцева точка редиректингу залежить як від розташування, так і від браузер-агента. Відправлення жертви на рекламну сторінку, мабуть, є ще одним джерелом доходу для Fangxiao. І з цього моменту жертва опиняється у руках рекламної компанії. На даний момент неясно, чи це пов’язана особа або «клієнт» Fangxiao.
Як не стати жертвою Fangxiao
Цей тип схеми зазвичай грає на тому факті, що чим більше зусиль ви доклали, тим більше ви готові ризикувати, щоб дістатися обіцяного Грааля. Будь то величезна подарункова карта, новенький iPhone або інші приємні несподіванки. У цій схемі достатньо моментів, що є звичними для шахрайства. Ось як не стати жертвою:
- Не натискайте на небажані посилання у повідомленнях WhatsApp (або будь-яких інших повідомленнях), навіть якщо вони походять від друга.
- Уникайте опитувань, навіть якщо інформація, яку вони запитують, здається тривіальною
- Ніколи не допомагайте шахраям, розсилаючи більше посилань іншим користувачам
- Не завантажуйте та не встановлюйте програми за посиланнями з сумнівних сайтів.