Фишинг с живым оператором: мошенники грабят в чатах под видом техподдержки

Фишинг с живым оператором: мошенники грабят в чатах под видом техподдержки

Представьте: вежливый сотрудник службы поддержки терпеливо объясняет каждый шаг, вы искренне благодарите за помощь, а спустя несколько минут обнаруживаете, что лишились и денег, и доступа к собственному аккаунту. Это не гипотетический сценарий, а реальная схема, которую всё чаще используют злоумышленники.

Традиционные фишинговые рассылки, копирующие письма крупных брендов, постепенно уходят в прошлое. Им на смену приходят многоступенчатые атаки, где жертву уводят не на поддельную страницу входа, а в интерактивный чат, стилизованный под настоящую службу поддержки. Исследователи из Cofense задокументировали именно такую кампанию: злоумышленники используют платформу LiveChat — легитимный инструмент для общения компаний с клиентами в реальном времени — и, прикрываясь брендами PayPal или Amazon, выманивают учётные данные, реквизиты банковских карт, коды двухфакторной аутентификации и личную информацию.

В основе кампании лежат два типа писем-ловушек. В первом случае жертве сообщают о предстоящем возврате 200 долларов и предлагают открыть детали транзакции. Второй вариант выглядит более размыто: письмо говорит о заказе, ожидающем подтверждения, а ссылка замаскирована под нейтральную фразу вроде «посмотреть обновление». Сценарии разные, но расчёт одинаков: первый давит на интерес к неожиданным деньгам, второй играет на срочности и неопределённости, когда получатель не может сразу понять, о каком именно заказе идёт речь.

Переход по ссылке ведёт не на типичный фишинговый сайт с формой авторизации, а на страницу, размещённую в инфраструктуре LiveChat на домене lc[.]chat. Такое решение снижает подозрительность: пользователь видит знакомый формат окна поддержки и с большей вероятностью решает, что общается с реальным представителем сервиса. Оформление страницы варьируется в зависимости от приманки — под PayPal или под Amazon.

Дальше сценарии расходятся. В варианте с PayPal чат, по наблюдениям Cofense, больше напоминает автоматизированный или основанный на искусственном интеллекте диалог. Сообщение появляется сразу после загрузки страницы и быстро подводит жертву к следующему шагу. После ответа пользователю присылают внешнюю ссылку, якобы необходимую для завершения процедуры возврата тех самых 200 долларов. Здесь начинается классическая фаза фишинга: жертву просят войти в учётную запись PayPal на стороннем ресурсе.

После ввода логина и пароля схема не останавливается. Пользователь получает код подтверждения на телефон, привязанный к аккаунту, и самостоятельно передаёт его мошенникам через поддельную форму. По сути, злоумышленник не просто крадёт пароль, а в реальном времени перехватывает второй фактор аутентификации, мгновенно обходя защиту входа. С точки зрения информационной безопасности это важный момент: атака не взламывает многофакторную защиту технически, а обходит её за счёт социальной инженерии и пошагового сопровождения жертвы.

После передачи кода жертву перенаправляют на следующую форму, где под предлогом безопасности запрашивают платёжные данные. Там собирают так называемую биллинговую информацию — сведения для выставления счетов и проверки владельца карты. Среди полей встречается и дата рождения, что нехарактерно для обычной проверки платежа, но чрезвычайно полезно злоумышленнику как дополнительный идентификатор личности. Такой набор позволяет не только попытаться списать средства, но и упростить захват самой учётной записи.

Далее появляется ещё одна форма, где просят подтвердить банковскую карту для завершения возврата. Пользователь вводит номер карты, срок действия и другие реквизиты, после чего мошенник получает полный комплект данных: пароль от аккаунта, код двухфакторной аутентификации, персональные сведения и платёжные реквизиты. В финале жертву могут попросить ввести ещё один код, отправленный на телефон — вероятно, для закрепления доступа к учётной записи или подтверждения операций, связанных с картой и обновлёнными данными профиля.

Вариант с Amazon устроен иначе и, пожалуй, выглядит ещё опаснее. Здесь злоумышленник, судя по описанию, общается с человеком вручную, а не по заготовленному сценарию. Перед началом диалога жертву просят указать адрес электронной почты, после чего в чате появляется сообщение о разблокировке ожидаемого возврата. Затем собеседник под видом сотрудника поддержки начинает поэтапно собирать данные: сначала просит подтвердить email, затем номер телефона, дату рождения и адрес.

Такая последовательность нужна не только для кражи информации, но и для создания иллюзии настоящей верификации. Человеку кажется, что сервис методично сверяет профиль перед выплатой. Cofense обращает внимание на неровный язык и ошибки в сообщениях — странные приветствия, лишние пробелы, двойные восклицательные знаки. Этот небрежный стиль может показаться мелочью, но в подобных атаках именно такие детали часто выдают живого оператора, который быстро ведёт разговор по шаблону, а не официальную службу поддержки с выверенными ответами.

После сбора базовых сведений фальшивый агент сообщает, что возврат на 200 долларов доступен, но данные карты якобы отсутствуют в системе. Начинается прямой сбор карточных реквизитов: номер карты, срок действия и код CVC запрашивают под видом проверки. Чтобы усыпить бдительность, собеседник отдельно заверяет, что информация будет обработана конфиденциально. Эта фраза призвана снять внутреннее сопротивление в момент, когда жертву просят сообщить самые чувствительные данные прямо в чате.

Выбор LiveChat в качестве площадки не случаен. Обычная фишинговая страница часто вызывает подозрение сразу: человек видит форму входа, незнакомый адрес и понимает, что перед ним может быть подделка. Чат поддержки работает иначе. Диалог в реальном времени создаёт ощущение легитимного сервиса, жертва меньше анализирует адресную строку и больше концентрируется на разговоре. Кроме того, злоумышленник может подстраиваться под ответы собеседника, дожимать его уточняющими вопросами и мгновенно менять тактику, если человек колеблется.

С технической точки зрения кампания объединяет сразу несколько классов угроз. В одной схеме соединены фишинг учётных данных, кража персональной информации, сбор реквизитов банковских карт, перехват кодов двухфакторной аутентификации и имитация легитимной клиентской поддержки. Такой набор делает атаку особенно опасной: злоумышленник получает не один фрагмент информации, а целую связку, достаточную и для захвата аккаунта, и для финансового мошенничества, и для последующих атак на ту же жертву.

Показательно, что во втором типе писем бренд изначально вообще не раскрывается. Получатель видит только сообщение о некоем заказе, который нужно подтвердить. Название Amazon появляется уже позже, на странице LiveChat. Такой приём снижает вероятность того, что человек сразу распознает несоответствие, особенно если у него действительно есть активные заказы в разных магазинах. В результате атака бьёт не по одной конкретной аудитории, а по широкой массе пользователей, привыкших к уведомлениям о доставке, возвратах и проверке платежей.

Этот сценарий наглядно демонстрирует, как эволюционирует современный фишинг. Вместо одной поддельной формы всё чаще используется целая цепочка: письмо, чат, внешняя страница входа, формы с дополнительными данными, повторный запрос кодов подтверждения и финальное возвращение в чат с обещанием, что деньги скоро поступят. Благодаря такой последовательности каждая отдельная просьба выглядит не слишком подозрительно, хотя в сумме жертва шаг за шагом отдаёт полный набор критически важных сведений.