Технически этот способ мошенничества мало чем отличается от обычного спама — но в отличие от почты, в календаре нет спам-фильтров по умолчанию, а пользователь не ждет подвоха. The Bell разобрался, как действуют мошенники и можно ли обезопасить себя от них.
Как это работает. Мошенники добавляют в Google-календарь пользователя сообщение о том, что ему «согласован возврат денежных средств», пришла «компенсация за участие в опросе» или «перевод», либо произошло «очередное увеличение его баланса». Сама по себе идея не нова, но с недавнего времени «календарный» спам и фишинг стали массовыми, писала в своем блоге «Лаборатория Касперского».
Внедриться в чужой календарь просто: мошенники «назначают пользователю встречу», в описание которой добавляют ссылку на сайт для выкачивания денег. Встреча добавится в календарь, а в смартфоне пользователь получит о ней уведомление.
Специальных знаний для того, чтобы внедриться в календарь, не нужно — для этого достаточно знать имейл жертвы. Их мошенники находят так же, как и обычные спамеры, например с помощью сайтов с тестами, где надо оставить почту, или покупают готовые базы в даркнете. С точки зрения Google ничего подозрительного тут нет: календарь устроен так, что встречу может назначить и незнакомый человек.
Главная причина популярности такой формы спама — его высокая доставляемость, говорит старший спам-аналитик «Лаборатории Касперского» Мария Вергелис. Обычное письмо из массовой рассылки попадет в папку «спам», и пользователь его проигнорирует, а уведомление в Google-календаре увидит в любом случае, объясняет замруководителя лаборатории криминалистики Group-IB Сергей Никитин. Объем спам-контента для календаря небольшой, поэтому спам-фильтру трудно его распознать.
Если календарь синхронизирован с телефоном, пользователь по умолчанию получает уведомления и в почту, и на телефон, поэтому шанс, что он их увидит, выше, говорит Вергелис из «Лаборатории Касперского».
Точно так же мошенники могут использовать практически любой сервис Google. Например, Google Photos — в нем злоумышленники делятся с пользователями фотографиями чеков с информацией о «вознаграждении», и даже отчеты Google Analytics: pdf-документ с отчетом можно снабдить сообщением, в которое мошенники и помещают свою ссылку. Но эти методы менее популярны.
Как крадут деньги. При переходе по ссылке из Google-календаря возможны два сценария. В первом мошенники попробуют выманить у пользователя данные карты, чтобы потом расплатиться ею на сайтах, которые не требуют смс-подтверждения транзакции. Во втором пользователю предложат оплатить «комиссию» в размере нескольких сотен рублей, чтобы затем получить более значительное «вознаграждение».
В одной из таких схем пользователю сообщают, что на его счет «не завершен перевод средств», о чем система якобы узнала «по его IP-адресу». Чтобы завершить транзакцию, надо указать номер банковской карты или электронного кошелька. После этого деньги придут пользователю «двумя равными частями в течение 10 минут». Но сначала он должен оплатить комиссию — 0,28% от суммы операции. Корреспонденту The Bell предлагали «вернуть» чуть больше 105 тысяч рублей с комиссией около 300 рублей. За отказ завершить перевод сайт грозился заблокировать счет, а деньги «аннулировать как невостребованные». Для убедительности на странице мошенников стоит логотип Kaspersky Lab (в компании навали это мошенничеством).
Другой сайт предлагает пройти опрос и получить за это около 100 тысяч рублей. На сайте под названием «самый грандиозный опрос» пользователя спрашивают о любимых марках автомобилей и часов (предлагается выбрать из брендов вроде Breguet и Tissot), после чего называют сумму вознаграждения. Получить его можно, только выполнив «закрепительный платеж». От «заработавшего» 130 тысяч рублей корреспондента The Bell портал потребовал платеж около 300 рублей. Это якобы было нужно для «подтверждения личности».
В пользовательском соглашении создатели сайта признаются, что выплаты получают «не все участники — а выборочно», на усмотрение администрации сайта. При этом суммы «выигрышей» — «всего лишь предположения по поводу заработков». Если пользователь считает их гарантированными, то все риски он берет на себя. Вся «продукция» сайта создана с образовательными целями, и пользоваться ей нужно «вдумчиво, опираясь на опыт наставников и тренеров», говорится в соглашении.
Оценить, какая доля от получателей спама в Google-календарь переходит по ссылкам и действительно переводит деньги мошенникам, невозможно, говорят собеседники The Bell в «Касперском» и Group-IB.
Массовая атака. В соцсетях пик сообщений о мошенничестве через Google-календарь пришелся на июнь 2019 года, оценила по просьбе The Bell «Медиалогия». В апреле сообщений о нем было чуть меньше 200, в мае — вдвое больше, а в июне мошенничество упоминалось почти тысячу раз. В июне-июле «Медиалогия» зафиксировала примерно по 700 таких сообщений. Пики могут быть связаны с июньским сообщением «Лаборатории Касперского» и с июльским сюжетом о новой схеме мошенничества на РЕН-ТВ, отмечают в «Медиалогии».
«Сервисы Google давно эксплуатируются для доставки спама, но рассылка именно с помощью Google-календаря переживает настоящую взрывную волну», — говорит старший спам-аналитик «Лаборатории Касперского» Мария Вергелис. По ее словам, рунет столкнулся с бумом таких атак с начала года, пик пришелся на начало лета.
«Внедрение в Google-календарь — действительно популярный вариант рассылки спама, назвать новым его нельзя, но с начала лета мы зафиксировали новую волну», — говорит и замруководителя лаборатории криминалистики Group-IB Сергей Никитин.
Как защититься. Самый простой и радикальный способ — изменить настройки Google-календаря, чтобы в него попадали только те события, которые вы одобрили, а также отключить импорт мероприятий из Gmail (это можно сделать в графах «мероприятия» и «режим просмотра» раздела «настройки» календаря). После этого придется смириться с тем, что календарем станет менее удобно пользоваться: есть риск пропустить рабочую встречу, а напоминания о брони отеля или авиаперелете нужно будет добавлять вручную.
Даже после этого надо сохранять бдительность — по такой схеме спам может проникнуть в любые платформы, которые позволяют приглашать любого пользователя. Так, в 2016 году пользователи англоязычных Twitter и Facebook жаловались на появление странных встреч в календаре на iOS-устройствах.