Фишинг для пользователей Wise

Рассказываем, как злоумышленники выманивают номера телефонов и учетные данные у пользователей сервиса Wise.

Как фишеры охотятся на пользователей Wise / TransferWise

Злоумышленники часто рассылают фишинговые письма от имени известных компаний, чтобы выманить у их клиентов логины и пароли от личных кабинетов, номера телефонов или другую информацию. Конечно же, одна из наиболее привлекательных целей для фишеров — клиенты финансовых организаций, например банков, криптобирж, платежных систем и так далее.

В этот раз мы обнаружили фишинг от лица финансового онлайн-сервиса Wise (в недавнем прошлом — TransferWise), услугами которого пользуются миллионы людей. Разбираемся в фишинговой схеме и рассказываем, как не стать жертвой обмана и защитить свои данные.

Немного о Wise

Почему именно Wise? Дело не только в том, что сервису доверяют деньги. Еще совсем недавно компания называлась иначе — TransferWise — и занималась в основном денежными переводами между странами. В 2021 году она расширила набор своих услуг — ее клиенты теперь могут не только отправлять деньги за рубеж, но и хранить их на счету, оформлять мультивалютные дебетовые карты и так далее.

Чтобы название лучше отражало деятельность организации, ее руководство решило отказаться от слова Transfer («денежный перевод») и выбрало более лаконичный вариант — Wise. Связанной с ребрендингом неразберихой и решили воспользоваться в своих целях злоумышленники.

Как работает схема

Атака начинается с фишингового письма якобы от службы поддержки Wise. Жертве сообщают, что компания сменила название, поэтому нужно перенести аккаунт на новую платформу.

Письмо якобы от TransferWise предупреждает о необходимости переноса аккаунта на новую платформу

Письмо якобы от TransferWise предупреждает о необходимости переноса аккаунта на новую платформу

Если не читать текст, сообщение можно принять за настоящее: в строке с именем отправителя значится wise.com, в теле письма — логотип компании с фирменным голубым флажком. Однако присмотревшись внимательнее, можно заподозрить неладное: адрес, с которого пришло уведомление, состоит из случайного набора цифр и слов, никак не связанных с Wise, а в домене почему-то название кенийской технической школы Moringa. Сам текст письма составлен с ошибками и опечатками — крупный сервис такого себе точно не позволит.

Еще в письме есть две ссылки: одна якобы для перехода на новый сайт, другая — для связи с отправителями. На самом деле обе ведут на одну и ту же страницу, с которой жертву автоматически перенаправляют уже на другой, фишинговый ресурс.

Фишинговый сайт выглядит правдоподобнее, чем письмо — он действительно очень похож на настоящий сайт Wise. Здесь та же приветственная надпись, тот же дизайн… Отличается только картинка в левой части страницы и URL-адрес, в котором неожиданно появилось название приложения для поиска ресторанов и услуг со скидками. Тут киберпреступники просят пользователя Wise ввести электронную почту и пароль для входа в аккаунт.

Фишинговая страница входа в личный кабинет Wise

Фишинговая страница входа в личный кабинет Wise

Однако на логинах и паролях сбор личной информации не заканчивается: «приняв» учетные данные — причем неважно, реальные они или нет, — сайт просит жертву ввести еще и номер телефона. Для входа в настоящий аккаунт на официальном сайте он, кстати, не нужен.

Напоследок злоумышленники просят клиента Wise ввести номер телефона

Напоследок злоумышленники просят клиента Wise ввести номер телефона

Когда пользователь нажимает кнопку «Продолжить», сайт будто бы зависает: пока данные отправляются преступникам, жертва видит лишь крутящийся логотип и надпись «Загрузка».

Фишинговая страница

Фишинговая страница «задумалась»

Если жертва в нетерпении несколько раз нажмет на кнопку «Продолжить», ее перенаправят на официальный сайт Wise. Вероятно, расчет злоумышленников в том, что клиент Wise, почувствовав неладное и посмотрев на адрес сайта на этом этапе, даже не догадается, что его данные попали в руки злоумышленников, и просто продолжит заниматься своими делами.

В конце концов происходит переадресация на официальный сайт Wise

В конце концов происходит переадресация на официальный сайт Wise

Куда попадут данные

Скорее всего, главная цель преступников — именно номера телефонов, которые они собирают в базы данных и продают телефонным мошенникам. А из скомпрометированных аккаунтов преступники смогут узнать дополнительную информацию о пользователях — в частности, имя, фамилию и адрес проживания. С такими сведениями обман будет выглядеть для жертвы еще убедительнее.

Как защититься

Чтобы не попасть в ловушку злоумышленников и защитить свои данные, достаточно помнить о простых правилах кибербезопасности.

  • Получив письмо от известной компании, первым делом обращайте внимание на реальный адрес электронной почты отправителя. Если там — бессмысленный набор цифр и букв, случайные слова или необычный домен, то, скорее всего, вас пытаются обмануть.
  • Не переходите по ссылкам из писем и сообщений, даже если кажется, что их отправил знакомый вам сервис, — сайты всегда лучше открывать из «Избранного», через поисковик или вводить адрес вручную, если вы его помните.
  • Если вы подозреваете, что столкнулись со злоумышленниками, напишите в поддержку компании, от имени которой пришло письмо, — она точно сообщит, верны ли факты в письме или это фейк. И, если будет нужно, примет меры и оповестит других клиентов.
  • Установите надежный антивирус с защитой от фишинга и онлайн-мошенничества, который вовремя предупредит об опасности.
  • На смартфоне используйте специальное приложение, защищающее от голосового спама и телефонного мошенничества, например Kaspersky Who Calls. Если вам звонят спамеры или телефонные мошенники, приложение вас об этом предупредит. А можно и вовсе заблокировать подобные звонки, чтобы они вас не беспокоили.
Советы