Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→Фишинговые письма от лица банка Wells Fargo | Блог Касперского

Фишинговые письма от лица банка Wells Fargo | Блог Касперского

Мошенники рассылают фишинговые письма клиентам Wells Fargo и под угрозой блокировки счета выманивают у них CVV-коды, пароли от почты и фото с ID.

Мошенники нередко прикрываются известными компаниями — онлайн-кинотеатрами, банками, интернет-магазинами. На этот раз злоумышленники действуют от имени Wells Fargo — одного из четырех крупнейших банков США, предоставляющего услуги более чем в 40 странах мира. Рассчитывая на доверие к банку, преступники не ограничиваются реквизитами банковских карт, а пытаются заодно завладеть доступом к почте жертвы и селфи с документом, удостоверяющим ее личность.

Фишинговая атака на клиентов Wells Fargo

Атака начинается с фишингового письма с тревожным уведомлением. В нем пользователю сообщают, что его банковский счет в Wells Fargo заблокирован — якобы из-за неподтвержденной электронной почты или ошибки в домашнем адресе. Чтобы восстановить доступ, в письме просят перейти по ссылке и подтвердить личность. Причем сделать это надо в течение 24 часов с того момента, как пришло письмо. В противном случае ни переводить деньги, ни снимать их со счета не получится — так пугают авторы сообщения.

Письмо выглядит вполне убедительно: аккуратная плашка с логотипом, текст в официально-деловом стиле и почти без ошибок. Даже имя и адрес отправителя очень похожи на настоящие из службы поддержки банка. Правда, у адреса очень необычный домен в несуществующей зоне wellsfargo-com (вместо привычной .com). Но для того чтобы это заметить, надо все-таки присмотреться.

Фишинговое письмо якобы от Wells Fargo

Фишинговое письмо якобы от Wells Fargo

Ссылка в письме ведет на посторонний сайт, а оттуда через переадресацию — на поддельную страницу входа в аккаунт Wells Fargo. Тут фишеры уже не так сильно старались: дизайн не совпадает с оформлением официальной страницы, да и URL-адрес никак не связан с банком, а почему-то повторяет название то ли песни Брюса Спрингстина The Ties That Bind, то ли одноименного сериала.

На первой же странице жертву просят ввести логин и пароль от своего аккаунта Wells Fargo. Но это только начало — впереди ждут еще два этапа «верификации».

Фишинговый сайт, имитирующий Wells Fargo

Фишинговый сайт, имитирующий Wells Fargo

Введя свои данные и нажав кнопку «Войти», жертва попадает на следующую страницу, где полей для заполнения уже намного больше. Тут просят указать и электронную почту с паролем от нее (!), и телефон с адресом, и дату рождения, и номер социального страхования (SSN). И, конечно, платежные данные — причем не только номер банковской карты и срок ее действия, но и секретный код с задней стороны карты (CVV), а также PIN.

Поля для ввода личных данных на фишинговом сайте

Поля для ввода личных данных на фишинговом сайте

Дальше самое интересное: пользователю предлагают загрузить на сайт свое фото с ID-картой — документом, удостоверяющим личность. На этой странице логотипов Wells Fargo целых три — наверное, для большей убедительности. Правда, впечатление несколько портят грамматические ошибки.

Мошенники просят загрузить фото с документом, удостоверяющим личность

Мошенники просят загрузить фото с документом, удостоверяющим личность

Выманив у жертвы всю важную информацию, мошенники сообщают, что аккаунт успешно восстановлен, и перенаправляют ее на настоящий сайт Wells Fargo. Этот маневр рассчитан на то, чтобы усыпить бдительность и заставить пользователя думать, что он все это время находился на легитимном ресурсе.

«Восстановление» аккаунта и переадресация на официальный сайт Wells Fargo

Для чего могут использоваться украденные данные

Обычно с помощью такого рода фишинга мошенники массово собирают информацию в базу данных и впоследствии выставляют ее на продажу в дарквебе. Товар получается ценный: с таким набором личных данных на руках можно не только списать деньги с карточки жертвы, но и обогатиться за ее счет другими способами. Например, зарегистрировать счет в банке или на криптобирже для отмывки украденных у других людей денег, получить кредитную карту и так далее. С фотографией ID-карты и номером социального страхования у злоумышленников есть все шансы пройти проверку безопасности KYC (Know Your Customer), необходимую для таких операций.

Таким образом, непосредственно после ввода данных, скорее всего, ничего не произойдет, а неприятности начнутся только через некоторое время. В этом есть дополнительная опасность: к тому моменту, когда украденные данные начнут использовать в преступных целях, пользователь уже и не вспомнит о том, что где-то вводил свои личные данные, так что ему будет сложно правильно ответить на вопросы сотрудников банка или правоохранительных органов.

Как не стать жертвой банковского фишинга

Чтобы не оказаться жертвой подобных фишинговых атак, следуйте нашим советам:

  • Внимательно изучайте внезапные уведомления на почту о блокировке аккаунтов, подозрительных списаниях, странных покупках и щедрых выигрышах — они часто бывают поддельными. Мы уже писали о том, почему такие письма, скорее всего, мошеннические и как распознать обман.
  • Не переходите на страницы банков по ссылкам из писем. Лучше наберите адрес официального сайта вручную, если вы его знаете его, или найдите через Google, Yandex или другой надежный поисковик.
  • Помните о том, что для восстановления аккаунта в банке, как правило, не требуются полные личные данные и фото с документом. И уж точно не надо вводить код безопасности с задней стороны карты, не говоря уже о PIN-коде! Если у вас просят такую информацию — это повод насторожиться и обратиться за подтверждением в банк по телефону, который указан на вашей карте.
  • Если вы пользуетесь услугами Wells Fargo и получили фишинговое письмо, сообщите о нем банку — это поможет ему принять меры и защитить других пользователей. Контакты можно найти здесь.
  • Установите надежное защитное решение — оно предупредит о мошеннических и фишинговых страницах и не позволит злоумышленникам украсть ваши данные.

Источник: Лаборатория Касперского

14.05.2022