Публикации

Спам-кредиторы: кража данных, троянцы и другие особенности «дешевых» займов

В наше время кредитные отношения стали одним из главных источников доходов банков и прочих кредитных организаций. Миллионы людей по всему миру предпочитают жить взаймы, приобретая в рассрочку товары и услуги и принимая на себя обязательства по выплате кредиторам немалых процентов.

Но получить кредит не всегда просто – как минимум, потенциальный заемщик должен доказать, что способен ежемесячно выплачивать часть запрошенной суммы. Прочие условия зависят от страны проживания и требований конкретной финансовой организации. Наиболее жесткие условия, как правило, выдвигают крупные банки. Небольшие организации и частные кредиторы зачастую более лояльны к потребителю, а дополнительные риски компенсируют более высокой процентной ставкой. Однако, неспособные конкурировать с известными банками по уровню и масштабу рекламных кампаний, они часто прибегают к помощи массовых электронных рассылок. Нередко за такими сообщениями скрываются непроверенные организации, чьи услуги на деле оказываются гораздо дороже, чем в обещаниях, а также типичные интернет-мошенники.

 

Чем опасны кредиты из спам-рассылок?

Попытка воспользоваться кредитным предложением из спам-рассылки может обернуться неприятностями еще на стадии прочтения электронного письма. Рассмотрим подробнее, какие именно угрозы могут нести незапрошенные письма этой тематики.

  1. Фишинг, т. е. кража финансовых данных пользователя с помощью поддельных веб-страниц, имитирующих официальные формы заявок от известных банков. Указав свои личные данные на фишинговом сайте, пользователь фактически сам передает их в руки мошенников. Те, в свою очередь, используя полученные данные, действительно могут оформить кредит на имя своей жертвы. Факт мошенничества вскроется лишь впоследствии, после получения пользователем повестки в суд за неуплату якобы принятых на себя кредитных обязательств.
  2. Получение персональных данных пользователя под благовидным предлогом. Пользователь может вполне добровольно передать мошенникам свои персональные данные, в том числе и финансовые, например, поверив обещаниям оказать всевозможную поддержку в оформлении кредита и решив воспользоваться предложенными услугами. И даже если в ответе на письмо авторы просят указать не пароль к системе онлайн-банкинга или трёхзначный код проверки подлинности карты (CVV), а всего лишь паспортные или контактные данные, эта информация может быть использована в мошеннических целях, например для оформления поддельных документов.
  3. Вредоносные программы во вложениях. Нередко во вложениях электронной почты под видом бланков заявлений на кредит или уже утвержденных кредитных договоров злоумышленники рассылают различные вредоносные программы. Как правило, зловреды запакованы в архив и замаскированы под безобидные файлы, например, с помощью двойного расширения. Попытка открыть присланный «договор» может обернуться заражением системы и потерей  данных, хранящихся на жестком диске.
  4. Значительное увеличение количества спама. Ответ на спамерское письмо, даже без намерения воспользоваться предлагаемыми в рекламе услугами, дает спамерам понять, что почтовый адрес существует и активно используется (некоторые спамеры рассылают сообщения наугад по списку сгенерированных адресов). В результате количество рекламных сообщений, отправляемых на «засвеченный» почтовый ящик, значительно увеличится.

Далее мы подробно рассмотрим, что представляют собой типичные спамерские сообщения с предложениями кредита, и проанализируем их основные компоненты.

 

Основные характеристики писем

Спам с предложением кредита рассылается по всему миру. Независимо от языка, на котором составлен текст, сообщения данной тематики очень схожи между собой. Конечно, спам, идущий из некоторых стран, имеет свои характерные особенности, но это связано прежде всего с особенностями экономики и законодательства, регулирующего кредитные отношения в этих странах.

Тема письма

Заголовок письма с рекламой кредита, как правило, четко указывает на его содержание. По сути, речь идет о деловом предложении, поэтому в тему письма попадает только краткая информация, но при этом – самая главная.

В русскоязычных сообщениях заголовок, как правило, содержит слово «кредит» (или «credit») и предлагаемую сумму. Иногда присутствует дополнительная краткая информация о преимуществах конкретного кредита: без залога, без поручителя, короткий срок оформления и т.д. При этом заявленные преимущества могут и не соответствовать действительности, главное для спамеров – привлечь клиента.

 

Поле отправителя From

«Кредитный» спам в основном приходит с адресов, зарегистрированных на бесплатных почтовых сервисах. Спамеры могут взламывать чужие почтовые ящики и подставлять взломанные адреса в поле отправителя, а также в большом количестве генерировать адреса автоматически, не переживая за возможное раскрытие своей личности или блокировку некоторых адресов антиспам-фильтрами.

В поле отправителя могут быть указаны: отдельное имя, скорее всего, неизвестное получателю (Николай, Елена), имя и фамилия (Саша Елисеев, Клара Новокшонова) или название финансовой организации, от которой пришло письмо. Нередко вместо имени отправителя подставляется слово «кредит» или содержащая его фраза (KREDIT, Да! Кредит!). Или же в поле отправителя указан лишь бессвязный набор букв и цифр, сгенерированный автоматически – это одна из черт спама вообще.

 

Содержание письма

Текст сообщения с рекламой кредитных услуг может быть как содержательным и подробным, так и очень коротким: всего лишь предложение ответить на указанный адрес в случае заинтересованности.

 

Но как бы то ни было, у всех писем есть общие черты, характерные как для этого вида нежелательной корреспонденции, так и для спама в целом.

Обращение

Чаще всего кредитный спам не содержит личных обращений, вместо них спамеры используют краткие обезличенные приветствия, например, «Добрый день», «Good day», «Guten Tag», «Hallo», «Ich grüße euch». Еще один распространенный вариант обращения – как к возможному будущему клиенту: «Уважаемый потенциальный клиент», «Dear Client», «Dear Valued Client», «Sehr geehrter Kunde». Настоящее имя получателя в спаме вряд ли встретится.

Обещания

Отправители кредитного спама пытаются привлечь потенциальных клиентов обещанием крупных сумм денег (иногда до нескольких миллионов наличными), предоставляемых в кратчайшие сроки (от нескольких часов до пары суток), без залога и поручителей, без справки о доходах и вообще с минимальным количеством документов. Причем некоторых кредиторов не волнует даже тот факт, что потенциальный клиент уже пытался официально оформить кредит в одном или даже нескольких известных банках, но при этом во всех случаях получил отказ.

В рекламе спамеры часто используют визуальные приемы, выделяя отдельные слова или фрагменты текста другим шрифтом или цветом и привлекая внимание пользователя броскими фразами, чтобы произвести определенный психологический эффект, например заставить получателя поверить в то, что кредит ему жизненно необходим и действительно полагается, а отказ предыдущего банка – ничем не обоснованная ошибка.

 

Зачастую авторы спам-писем сообщают, что сами не занимаются выдачей кредитов, а лишь выступают в роли посредников. Они обещают направить заявку пользователя сразу в несколько банков, где сотрудники уже с нетерпением ждут его обращения и готовы устроить жесткую конкурентную борьбу за данного клиента, предлагая самые выгодные условия, даже если тот задался целью всего-навсего приобрести новый диван.

Спамеры предлагают не только кредиты наличными, но и кредитные карты известных банков с большим лимитом денежных средств. Но за такими предложениями также нередко скрывается фишинг.

 

Иногда приходят и такие сообщения: «Ваш кредит уже одобрен, забрать деньги можно, отправив нам данные вашего счета, куда мы и переведем нужную сумму». Расчет их авторов таков: заинтересовавшись уже одобренным кредитом (который получатель, скорее всего, и не запрашивал), пользователь отправит мошенникам всю требуемую информацию о своем банковском счете.

 

Географические тонкости

Своя особенность есть у немецкоязычного кредитного спама. Дело в том, что в Германии существует специализированная финансовая организация – SCHUFA. Это одно из крупнейших в мире кредитных бюро, куда попадает информация обо всех открываемых на территории страны банковских счетах, полученных кредитах и прочих задолженностях. По этим данным SCHUFA выводит коэффициент благонадежности (кредитоспособности) человека. Именно в SCHUFA за специальной справкой (SCHUFA-Auskunft) обращаются немецкие финансовые организации перед принятием решения о выдаче очередного кредита. Поэтому если на человеке уже висит какой-либо крупный невыплаченный долг, получить новый заем вряд ли удастся.

 

Официально все решения по кредитам, все запросы и проверки должны проходить через эту организацию. Тем не менее, немецкоязычные спам-сообщения с предложениями кредита зачастую обещают предоставить заемщику любую сумму без получения справки от SCHUFA, т. е. минуя этап проверки на платежеспособность. Поэтому воспользоваться таким предложением может даже клиент, который уже обращался в банк и получил отказ. Дело в том, что такие предложения в основном поступают из-за границы и предполагают оформление кредита за пределами Германии и в соответствии с законами именно той страны, откуда поступило предложение. А там они, как правило, гораздо мягче.

 

Нередко спамеры стараются завуалировать предложение кредитов, выдаваемых без справки от SCHUFA. Например, письмо может быть оформлено в виде информационной или новостной рассылки, в которой одна из новостей посвящена информации о кредитах без справки от SCHUFA и их последствиях. Письмо содержит ссылку на новость, которая похожа на небольшую аналитическую статью. Однако ниже на той же странице красуется ссылка на оформление кредита без одобрения SCHUFA.

 

Ссылки

Часто в сообщениях содержатся короткие ссылки на страницы, где получатель может заполнить заявку на желаемый кредит. Вскоре после этого, если верить обещанию в письме, по указанному в заявке телефону с потенциальным клиентом свяжется менеджер и лично продолжит процесс оформления документов. Как правило, такие ссылки меняются от письма к письму и перенаправляют пользователя на недавно созданные в рекламных целях сайты.

 

Ссылки также могут вести на известные и посещаемые большим количеством пользователей сервисы. Например, популярный во всем мире видеохостинг YouTube содержит огромное количество подобной рекламы. Нередко заказчики спам-рассылок специально снимают ролики с рекламой своих услуг, загружают их на YouTube, а ссылки на видео рассылают  в письмах большому количеству адресатов. В размещенном на YouTube рекламном ролике из примера ниже подробно рассказывалось о компании, предоставляющей финансовые займы, а также о выгодных условиях их получения.

 

Обратная связь

Для обратной связи и получения более детальной информации об услугах получателю рассылки, как правило, предлагается один из следующих вариантов:

  • ответить на полученное письмо;
  • ответить на другой адрес (якобы личный и, как правило, расположенный на бесплатном почтовом сервисе: Yahoo Mail, Hotmail, Gmail и т.д.);
  • заполнить онлайн-заявку, указав в ней свой контактный телефон (а иногда и другие личные данные, такие как фамилия и имя, дата рождения);
  • самостоятельно позвонить по указанному в письме телефону, нередко мобильному.

Второй пункт списка не прибавляет доверия присланному письму, а последний и вовсе может свидетельствовать об отсутствии у потенциального кредитора постоянного офиса, что ставит под сомнение качество предлагаемых им услуг.

Вложения

Часто письма с предложениями кредита содержат дополнительные вложения. Это может быть файл формата Adobe PDF или Microsoft Word с рекламой кредитной организации, от имени которой пришло письмо, подробным описанием предложения и условий кредита, а также с данными для обратной связи. Нередко такие вложения представляют собой бланк заявки на кредит, в котором получателя просят указать свои персональные данные, такие как телефон, электронную почту и даже номер паспорта.

 

Нужно помнить, что открывать текстовые документы, присланные незнакомым отправителем, рискованно, так как они могут содержать вирус, исполняемый при помощи макроса (так называемые макровирусы). Поэтому перед открытием любого неизвестного файла обязательно следует проверить его антивирусом.

Еще меньше доверия вызывает вложенный в письмо ZIP-архив. Очень часто такие архивы содержат вредоносное ПО, замаскированное под текстовый или графический документ. Особенно должны настораживать письма, которые кроме архива не содержат ничего, даже рекламного текста, и на то, что это предложение кредита, указывает только заголовок. Авторы таких сообщений ограничиваются лишь предложением открыть вложение для получения подробной информации.

 

Выше представлен пример одного из писем с вложенным архивом, содержащим зловред, который «Лаборатория Касперского» детектирует как Trojan-PSW.Win32.Tepfer.pate. Он предназначен для кражи конфиденциальной информации, в частности данных для управления банковским аккаунтом. При запуске зловред ищет необходимую информацию в системных файлах и реестре, и в случае успеха отсылает найденные данные своему «хозяину».

Кто предлагает кредит?

Кредитный спам можно дифференцировать по типу отправителя, от имени которого исходит предложение:

  1. Фирма, якобы официальная кредитная организация.

Такие сообщения содержат яркую рекламу с логотипом компании. Для связи отправители указывают юридический адрес, контактные телефоны, электронную почту (в основном зарегистрированную на хостингах доменов-однодневок). Часто к письму в виде вложения прилагается брошюра, дублирующая контактную информацию и более подробно описывающая предлагаемые компанией услуги. Получатель такого письма может подать заявку на получение кредита, позвонив по указанным телефонам или отправив письмо на указанный электронный адрес (который может и не совпадать с адресом отправителя самого рекламного письма).

 

  1. Кредитные брокеры.

Нередко отправители незапрошенных писем представляются посредниками, оказывающими помощь в получении кредита. Такие фирмы берут на себя всю бумажную работу и, скорее всего, находятся в договорных отношениях с определенными организациями, предоставляющими кредиты. Они активно ищут потенциальных клиентов для своих партнеров и работают за проценты от сделок, которые, без сомнения, будут заложены в предлагаемые ставки по кредиту. Потенциального клиента сознательно могут вводить в заблуждение, и, согласившись на такое предложение, вы рискуете значительно переплатить по кредиту.

 

  1. Частные лица.

Спам-предложение от частного лица, как правило, начинается с представления отправителя, и выглядит примерно так: «Я мистер такой-то, частный инвестор, выдаю деньги под очень низкий процент всем желающим. Если интересно, пишите вот на этот адрес с указанием подробной информации о себе, а также желаемой суммы кредита и процентной ставки». Это один из самых распространенных видов кредитного спама, и независимо от языка, на котором он написан, создатели писем придерживаются вышеописанного шаблона.

 

Лица, предоставляющие кредит частным образом, рассылают свои предложения по всему миру, дублируя текст письма на различных иностранных языках. В таких случаях текст письма, как правило, представляет собой кривой перевод, в основном, с английского языка, выполненный с помощью Google Translate или аналогичного сервиса. В результате слова и предложения в тексте не согласуются грамматически и стилистически, но его смысл можно понять по отдельным фразам, таким как «кредита любому, кто может нуждаться в кредит на любые финансовые беспокойства«. Способ связи с потенциальным кредитором также ясен из контекста: «Вам необходимо сотворить запрос к нам для дальнейшего разбирательства через ххххх@live.com» или «Просьба почта назад с ниже информация, если интересно«.

  1. Благотворительные организации.

Некоторые отправители представляются благотворительными или христианскими организациями, помогающими всем нуждающимся. В таких сообщениях для большей убедительности могут цитироваться отрывки из Библии.

 

  1. Анонимный отправитель.

Нередко мы встречаем и совершенно безличные сообщения с текстом наподобие «даем деньги» или «МЫ предлагаем кредит«. Кто такие «мы» и каковы условия предоставления кредита, получатель, по-видимому, узнает, если рискнет ответить на это довольно сомнительное предложение.

 

  1. Известные банки.

Спам, присланный якобы представителем одного из известных банков, должен особенно настораживать: уважаемые банки не станут портить свою репутацию, рекламируя услуги с помощью спама, и рассылать предложения кредита людям, которые никогда не были их клиентами. Как правило, такие сообщения – это фишинг. Мошенники размещают в письме форму для подачи онлайн-заявки на кредит или дают ссылку на нее. Если получатель письма клюет на удочку и заполняет форму, вся введенная им информация попадает не в банк, а напрямую к мошенникам. При этом фишинговая страница может содержать логотип банка, от имени которого пришло письмо, и выглядеть, как раздел официального сайта банка. Но стоит обратить внимание на адрес отправителя письма и адрес в адресной строке браузера на страничке подачи заявки — скорее всего, они не будут иметь ничего общего с официальными данными банка.

 
Пример фишинговой страницы

  1. Предложения, поступающие через соцсети

Отдельно хочется упомянуть о спаме, распространяемом с помощью популярных социальных сетей, таких как Facebook, LinkedIn и других. В таких случаях незапрошенная реклама направляется пользователю в виде личного сообщения от неизвестного контакта, а на почтовый адрес получателя, привязанный к аккаунту в социальной сети, приходит уведомление о новом сообщении. Содержание таких личных сообщений – типичный спам, обладающий всеми обозначенными в данной статье признаками.

 

Меры предосторожности

Избежать неприятных последствий, связанных с кредитным спамом, несложно.

Во-первых, не следует оставлять свои личные данные на сомнительных сайтах или вводить их в присланные по почте от неизвестных отправителей HTML-формы. Особенно при отсутствии на компьютере антивируса, который сможет вовремя опознать мошенническую ссылку и заблокировать её. Не следует передавать никакие личные данные, вступая в переписку с неизвестными людьми. Особенно когда они просят отвечать на адрес, отличный от того, с которого пришло письмо, объясняя это конфиденциальностью информации и прочими причинами.

Во-вторых, не следует запускать присланные исполняемые файлы и открывать вложения, особенно архивы и офисные документы (в крайнем случае, только после проверки антивирусом и выдачи им безопасного вердикта). Ничего действительно полезного в спаме вы не получите, а вот вредоносную программу под видом офисного документа – вполне вероятно.

Наконец, вступать в переписку по денежным вопросам с неизвестными фирмами и частными лицами – тоже далеко не лучшая идея. Вряд ли предложения, рассылаемые с целью «хоть кто да откликнется», полностью легальны. Компаниям и частным лицам с легальными доходами попросту невыгодно давать деньги под «сверхнизкий процент», если можно, например, положить эту же сумму в банк и получить более высокую прибыль плюс гарантию возврата вложенных денег в любой момент времени. Скорее всего, на практике низкий процент обернется значительной переплатой, о которой получатель кредита узнает только после получения желанной суммы, если вообще её получит.

Спам-кредиторы: кража данных, троянцы и другие особенности «дешевых» займов

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Алексей

    Я не беру кредиты

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике