Авторские материалы "Совместное фото": как "безобидные" рассылки заражают смартфон

Мошенники рассылают сообщения якобы от друзей и коллег с "совместными фото" с подписью "Смотрю на фото, вспоминаю тебя". За безобидными ссылками и файлами скрываются трояны, которые дают злоумышленникам полный доступ к устройству. О том, как работает схема, и почему она так опасна расскажет Александр Ельшевский.

Жертве приходит сообщение от самого обычного контакта – друга, соседа по работе или одноклассника, с которым человек давно не переписывался. Короткая подпись: "Смотрю на фото – вспоминаю тебя". Под ней – ссылка. Внешне всё выглядит естественно, а сама формулировка похожа на сотни безобидных переписок.

Но по факту ссылка ведёт на фишинговую страницу, с которой скачивается заражённый файл. После его открытия на смартфон устанавливается троян, способный собирать данные о финансовых операциях, перехватывать и отправлять СМС, читать уведомления и получать доступ практически ко всему содержимому устройства.

Подобные атаки не новы. Пять лет назад пользователям массово приходили сообщения: "Посмотри, это ты на видео?" или "Вот фото с вечеринки". Тогда вирусы маскировались под архивы и короткие ролики, но внутри содержали вредоносный код, который позволял мошенникам полностью контролировать телефон.

Самая заметная волна пришлась на 2021 год: вирус под видом "Фото со дня рождения" заразил тысячи смартфонов, а ущерб оценили в десятки миллионов рублей.

В 2022-м появилась новая версия трояна Mamont – она крала не только деньги, но и личные документы. Полученные данные потом использовались для оформления микрокредитов на имя жертв.

Сейчас схемы стали значительно изощрённее. Мошенники клонируют аккаунты друзей, коллег, популярных блогеров и начинают рассылку знакомых, почти бытовых фраз: "держи фото", "вот тебе подарок", "посмотри, что я нашёл".

Вместо фото – вредоносный .apk для Android или .exe для компьютеров. Вирус перехватывает push-уведомления и подтверждения операций, после чего деньги уходят со счетов, а троян автоматически рассылает ссылку новым жертвам из адресной книги.

Отдельная категория атак – рассылки "подарочных курсов" от лица известных психологов, тренеров, финансовых консультантов. Люди получают сообщения из поддельных аккаунтов: благодарность за подписку, обещание эксклюзивного материала, ссылку на "курс по саморазвитию" или "премиум-гайд".

Файлы выглядят безобидно: документ в формате .xls или .xlsx, презентация, PDF или архив. Но всё чаще мошенники используют маскировку под Excel-надстройку – скрытый файл с расширением .xll. Открывая его, человек видит привычный интерфейс таблицы и нажимает "разрешить выполнение надстройки". В этот момент запускается вредоносная библиотека, которую Excel воспринимает как доверенный компонент.

С этого момента злоумышленники получают доступ к компьютеру: могут читать переписку, красть документы, перехватывать пароли и входы в банковские сервисы.

Иногда схема развивается по многоходовке. Сначала в почту приходит письмо от "HR-отдела": "Вам начислена премия, проверьте расчёт в таблице". После открытия файла запускается троян. Через несколько часов – новое письмо, уже от "службы безопасности": "Ваш аккаунт был взломан, требуется подтверждение личности". Далее – звонок "из банка" с убеждением перевести деньги на "резервный счёт". Жертва оказывается полностью в руках злоумышленников – у них уже есть и доступ к устройству, и психологическое преимущество.

Похожим способом рассылаются и фальшивые таблицы "оценки KPI", "графики отпусков", "реестры поставок", "бонусы сотрудникам". Мы не раз рассказывали о таких атаках: злоумышленники используют служебный тон, корпоративный стиль письма и поддельные подписи руководства.

Так же работают и мошенники, рассылающие "эксклюзивные материалы" от имени блогеров. Вместо полезного файла человек получает троян, который перехватывает данные входа в банковские приложения, крадёт токены авторизации и буквально за минуты обнуляет счета.

По данным МВД, только за последний год количество подобных атак выросло более чем на 40 процентов. Особенно активно злоумышленники охотятся в периоды массовых акций, праздничных распродаж и корпоративных выплат – когда люди чаще пересылают друг другу ссылки и документы.

Чтобы защититься, не следует открывать ссылки, пока не убедились, что пишет именно ваш знакомый; не стоит устанавливать программы вне официальных магазинов; проверяйте расширение файлов – настоящие фото и таблицы не требуют запуска надстроек; обновляйте систему и использовать антивирус с защитой в реальном времени; включите двухфакторную аутентификацию во всех сервисах.

И главное – предупреждайте тех, кто менее уверен в цифровой среде. Пожилые люди и подростки чаще всего становятся жертвами таких рассылок. Иногда одного телефонного звонка или короткого напоминания близким достаточно, чтобы уберечь человека от потери всех накоплений.

Если хотите знать больше о схемах обмана и том, что готовят мошенники, то читайте и подписывайтесь на канал "Без обмана", в Телеграм и Макс. Следите вместе с нами и будьте на шаг впереди мошенников. Пишите в поисковике "Без обмана", и мою фамилию, канал будет в первых строчках выдачи.