Czytałeś o ataku na “rekrutację Comarch”? Zobacz jak wyglądał od środka odświeżony atak na pranie brudnych pieniędzy

TL;DR – Pojawił się nowy wariant oszustwa na muła finansowego. Prześledziliśmy zmiany.

Jakiś czas temu pisaliśmy o phishingu na tzw. muła finansowego. Dla przypomnienia idąc za definicją z Europolu:

muł finansowy to osoba, która przekazuje pieniądze innej osobie (cyfrowo lub w gotówce), otrzymane od osoby trzeciej, za co uzyskuje prowizję. (…) Jeśli ktoś poprosi Cię o transfer pieniędzy za pośrednictwem konta bankowego w zamian za gotówkę, to oznacza, iż jesteś nakłaniany do zostania mułem finansowym.

Okazuje się, że pojawiła się nowa wersja tego ataku, a tak naprawdę co najmniej trzy jednocześnie. Pierwsza kampania jest związana z oszustwem wykorzystującym wizerunek firmy Comarch i jest realizowana w języku polskim. Druga również dotyczy Comarchu, jednak operator posługuje się językiem angielskim. Trzecia dotyczy firmy BrainHub. Jak możemy dostrzec, przestępcy tym razem skupiają się na firmach IT o podobnych profilach. W trakcie rozmowy z przestępcami profil związany z oszustwem BrainHub zmienił logotypy i domenę na fałszywy wizerunek firmy Quarticon, a następnie SoftwareMill.

Rys. 1. Skradzione wizerunki scammerów

Rys. 2. Trzy różne kampanie na fałszywą rekrutację jednocześnie

Jak wynika z naszej analizy OSINT zdjęcia profilowe kobiet zostały skradzione z kilku popularnych portali.

Uwagę od razu przykuwa fakt, że dla kampanii dotyczącej Comarch w języku polskim oraz BrainHub, zdjęcie profilowe przedstawia tę samą osobę. Maska numeru telefonu też jest bardzo zbliżona (+48 780 909 XXX). Można zatem przypuszczać, że mamy do czynienia z jedną grupą i być może z tym samym operatorem scamu. Dlatego postanowiliśmy rozmawiać jednocześnie z trzema celem sprawdzenia czy operator zauważy. Nie zauważył ;-), więc prawdopodobnie w ataku uczestniczy kilka osób, które nie mają ze sobą bezpośredniego kontaktu, ale wykorzystują ten sam prawdziwy, skradziony wizerunek. Forma kontaktu jest zbliżona do poprzedniej. Polega na zarejestrowaniu się na specjalnym portalu i wykonywaniu tam zadań w postaci “optymalizacji” produktów. Jest to złudne “klikanie” które powoduje, że na naszym profilu pojawia się zarobek w postaci kryptowaluty Tether (USDT).

Rys. 3. Reguły scamu (np. Comarch w wersji angielskiej)

Różnica względem poprzedniej kampanii jest taka, że zwiększona jest wartość “wynagrodzenia” ale także “czas pracy”. Co za tym idzie oferta wydaje się być bardziej realna, ale także bardziej lukratywna. Tym razem ofiara musi klikać co najmniej 40 razy w “produkty” na swoim profilu jednym ciągiem przez 5 kolejnych dni w celu uzyskania marzenia o 800 USDT. Poprzednim razem wystarczył jeden dzień i 20 kliknięć.

Rys. 4. Przykładowe konto testowe otrzymane od scammera.

Otrzymane linki do portali (publikowane w tabeli na dole tego artykułu) prowadzą do identycznych stron scamowych w których użyty jest ten sam szablon graficzny. Jedyna różnica to logotyp. W trakcie przeprowadzania analizy, logotyp uległ zmianie z firmy BrainHub na Quarticon, a następnie na SoftwareMill.

Rys. 5. Ten sam szablon graficzny i silnik

Po chwili rozmowy z dowolnym scammerem, gdzie wypowiedzi są zbliżone ze wszystkimi trzema, otrzymuje się linka razem z danymi profilu do zapoznania się ze sposobem pracy na koncie tymczasowym, zasilanym dużą wartością USDT. Tam klikamy, klikamy i nagle okazuje się, że na tym profilu za każde kliknięcie pojawia się więcej pieniędzy.

Rys. 6. Przykładowy “zysk” per kliknięcie

Po udanym wyklikaniu całości następuje kolejna nowość. Mianowicie ofiara musi skontaktować się ze “wsparciem technicznym” i poprosić o zwiększenie środków na koncie. Na profilu są podane trzy numery telefonu jako kontakt WhatsApp. Numery telefonów mają podobną maskę jak poprzednio.

Rys. 7. Kontakt do “wsparcia technicznego”

Po co realnie trzeba się kontaktować z innym numerem telefonu? Po co scammer narażałby się na dodatkową ekspozycję? Przychodzi nam do głowy scenariusz w którym napastnicy podzieleni są na trzy linie “wsparcia”. Tj. pierwsza linia to osoby które reklamują rekrutację phishingiem, próbując pozyskać nowe ofiary. Na kolejnym etapie czekają operatorzy rozmawiający na WhatsApp z ofiarą. Na trzecim etapie, gdy okaże się, że ofiara “rokuje” prawdopodobnie następuje kontakt z potencjalnym koordynatorem danej kampanii, co mu pokazuje, że operator z drugiego etapu doprowadził ofiarę głęboko w przekonaniu, że faktycznie zarabia. Być może taki operator z drugiej linii otrzymuje za to prowizję w przypadku udanych przelewów gdy ofiara stanie się ostatecznie mułem.

Pozostała komunikacja jest bez zmian względem poprzedniej wersji ataku. Prośba o przelewy za pomocą konta bankowego z pozostawieniem sobie prowizji. Co ostatecznie dla ofiary ma konsekwencje prawne (branie udziału w praniu brudnych pieniędzy) oraz finansowe (trafienie na czarną listę informacji kredytowej i bankowej). Nie jest tak prosto się później z tego wszystkiego wytłumaczyć, a dodatkowo ofiary podały swoje dane / telefon / ustawiły hasło i te dane trafiły do scammerów. W szczególności być może część osób poda hasło, które ma ustawione w innych serwisach.

Co ciekawsze, podczas pisania tego artykułu pojawiła się kolejna wariacja. Tym razem chodzi o firmę Asseco.

Zatem sprawa jest dynamiczna i rozwojowa. Roześlijcie to info do znajomych i rodziny by nie stali się mułami finansowymi.

Identyfikatory zagrożeń

~TT