На днях к Детективу обратились ошеломлённые знакомые и попросили посмотреть письмо, которое пришло им на электронную почту. В письме говорилось, что завтра наступит день, когда будет уничтожен личный кабинет на сервисе, на котором у знакомых якобы скопилось более 300 тысяч рублей!
Несмотря на выраженное желание перейти по ссылкам из письма и проверить, действительно ли где-то скопилась куча денег, знакомые всё же не рискнули этого сделать и обратились за разъяснениями к Детективу, так как предположили, что на почту пришло письмо от мошенников.
Детектив, изучив письмо, решил написать об этом небольшую статью. Далее мы вместе с Детективом рассмотрим, как выглядит типичное письмо от мошенников на электронной почте, какие признаки мошенничества можно обнаружить в подобных письмах, куда ведут ссылки. Прочитав статью, вы будете лучше понимать, как поступить и что делать, если получили письмо от мошенников на email.
Письмо от мошенников — Обзор письма
Если обычно письма с откровенным лютым мошенничеством автоматически попадают в папку «Спам», то с письмом, которое мы разбираем сегодня, есть определённые нюансы — оно попало не в спам, а в папку с нормальными входящими сообщениями. Начальное содержимое следующее:
Видим грозное предупреждение, что завтра наш аккаунт будет удалён. При этом нет ни слова о том, про какой аккаунт идёт речь и какой сервис прислал сообщение.
Несколько сбивает с толку заголовок Google Forms. Одно дело, когда отправители очевидно являются мошенниками и подписываются как «Грандиозное объединение мировых интернет-провайдеров», а другое дело, когда в заголовке прописан вызывающий доверие официальный сервис Google Forms.
Можно было подумать, что мошенники этот заголовок просто нарисовали, однако в письме есть ссылки, ведущие на заполнение форм и опросов от сервиса Google. С этим разберёмся чуть позже, а пока почитаем основной текст письма:
Как видите, названия платформы, на которой скопилось больше 300 тысяч рублей, не упоминается. Про адрес рабочего кабинета тоже ничего не говорится. Зато нагнетается напряжение, что через сутки аккаунт будет удалён, и несколько раз подчёркивается возможная халява, что деньги уже сами скопились на счету, и нужно просто взять и забрать себе всю огромную сумму. Расчёт на жадность, на боязнь потерять халяву, и на чувство ограниченного времени.
Чтобы забрать деньги, нам предлагают перейти на официальный сайт, нажав на ссылку очень странного вида.
Ссылки, которые выглядят подобным образом, созданы с помощью сервиса сокращения ссылок. Если по ней нажать, то произойдёт цепочка переадресаций. В процессе автоматических переходов может попасться ссылка, которая тоже ведёт на цепочку переадресаций. В общем, пользователя может хорошо покидать между разными ссылками, по некоторым из которых могут содержаться вредоносные скрипты, прежде чем он попадёт на окончательный сайт, на котором его ждут мошенники.
По ссылке мы перейдём и покажем, что там находится. Но сначала разберёмся, как нужно поступать с подобными письмами и на что в них надо обращать внимание.
Мошенническое письмо — Что делать с ним?
Что же делать при получении такого письма, не опасно ли это? Самый правильный ответ — игнорировать письмо и ничего с ним не делать. Если вы просто открыли письмо и не нажимали в нём ни на какие ссылки, то ничего страшного с вашим устройством не случится. Можете в почте нажать на кнопку «Это спам» или можете просто его удалить.
Если вас терзают сомнения, то…
- подумайте, было ли ожидаемо это письмо, делали ли вы какие-либо действия, после которых вам должно было поступить письмо;
- обратите внимание, содержит ли письмо необычную просьбу, требующую немедленных действий здесь и сейчас;
- если ссылка вызывает сомнения, проверьте, куда она ведёт (об этом напишем ниже);
- не открывайте вложения, которых вы не ждали, не устанавливайте никаких приложений из письма (особенно для удалённого управления устройством).
А если вы хотите не просто избавиться от письма, а убедиться, что оно точно от мошенников, то обратите внимание на следующие признаки:
- манипуляция со временем, то есть напирание на то, что срок действия чего-либо (действия письма, привязанного аккаунта…) скоро истекает;
- адрес отправителя вам не знаком, или знаком, но содержит ошибки, или отправитель тот, от кого вы не ожидали и не могли получить письмо (Илон Маск, компания Microsoft, министерство экономического развития РФ, Госдеп США…);
- приветствие слишком обезличенное, как раз как в разбираемом письме, которое начинается с «Срочное уведомление» и «Благодарим вас»;
- нет внятной информации о том, как связаться с адресатом. Сокращённая подозрительная ссылка на непонятный сайт не считается;
- отсутствие бренда, отсутствие логотипов, отсутствие какого-либо упоминания о том, кто это, что за сервис и с чего он вообще прислал письмо;
- безграмотность и ошибки. Организация или отправитель с хорошей репутацией просто не могут себе позволить рассылать безграмотные письма с ошибками и ужасной стилистикой;
- чрезмерная официальность письма, а также вставка номеров счетов, ИНН, всяких идентификаторов и реквизитов — всё якобы для доказательства подлинности и официальности. На деле крупные ведомства или интернет-магазины не станут в письме говорить о своей официальности или важности.
Но мы всё же рекомендуем не обращать пристального внимания на мошеннические письма и не весьтись на требования чего-либо или на сообщения, что вам полагается крупная сумма денег.
Давайте теперь посмотрим, куда ведёт ссылка из нашего письма, а также поймём, почему оно не попало в спам и пришло словно действительно от сервиса Google Forms.
Письмо от мошенников — Почему оно от Google Forms?
В нашем случае, если взглянуть на отправителя, то там указано, что письмо пришло от сервиса «Google Формы».
Как видите, домен в адресе отправителя — «google.com». И хотя сам отправитель «forms-receipts-noreply» может быть знаком далеко не всем, но это действительно отправлено сервисом Google Forms, адрес отправителя как раз относится именно к этому сервису.
Как же так получилось, не могли же мошенники подделать отправителя и указать там саму компанию Google? На самом деле мошенники поступили одновременно и хитрее и проще.
Данный способ используется мошенниками, чтобы обходить спам-фильтры и попадать именно в папку «Входящие» вместо спама у всех получателей. И для рассылки действительно используется вполне штатная функциональность сервиса Google Forms. Делается это следующим образом:
- Мошенник заходит на сервис Google Forms и создаёт там опрос. Особенность этих опросов такая, что в них можно указать адрес электронной почты, на который автор опроса получит результаты с ответами. На сервисе это называется «Результат заполнения формы», который автоматически отправляется автору.
- Далее мошенник пишет текст опроса и делает оформление. Но текстом опроса мошенник делает как раз сообщение, которое мы видели на изображениях выше — про сгорание аккаунта и накопление бонуса.
- Мошенник сам «проходит опрос» и заполняет форму, после чего результаты заполнения формы автоматически отправляются на указанный в форме email-адрес, а там уже мошенником подставлен email того, кому нужно отправить спам. С точки зрения сервиса всё выглядит так, будто мошенник ответил на ваш опрос, а вам отправились результаты. В качестве результатов мы видели письмо выше, при этом оно не попадает в спам, ведь не будет google-почта блокировать письма от собственных сервисов.
Если вчитаться в полученное письмо, то видно, что там есть фраза «Благодарим за заполнение формы».
Вот так мошенники придумали новый способ обходить спам-фильтры. Как ни крути, невозможно отрицать, что мозги у мошенников работают очень хорошо. Видимо, проработка и реализация таких идей у них с лихвой окупается.
Письмо от мошенников — Куда ведёт ссылка?
Прежде чем нажимать по ссылке, чтобы узнать, куда она ведёт, можно воспользоваться сервисом, который раскрывает цепочки переадресаций сокращённых ссылок. Мы для примера воспользуемся сервисом Majento, его возможностей как раз хватит для наших скромных целей.
Вы можете при желании воспользоваться любым другим сервисом, благо их много бесплатных даже на первой странице поисковой выдачи. Иногда цепочки могут быть такими запутанными, что сервис уже не в состоянии их расшифровать. В нашем случае отобразилась вот такая цепочка:
Интересно, что на конечном сайте (если зайти на основной домен cclick.xyz) находится полная копия сайта по продаже цветов Флорист Ру. Скорее всего мошенники создали копию и обманывают людей, которые попадают на эту копию и пытаются заказать цветы. А если перейти по полной итоговой ссылке со всеми параметрами, то произойдёт переадресация на лохотрон. Причём, мы заметили интересную особенность, что если перейти по этой ссылке несколько раз, то переадресация будет происходить на разные лохотроны. Например, переходим первый раз:
Сразу попали на лохотрон «Банк в кармане» с уведомлением, что нам одобрен денежный перевод на сумму свыше 150 тысяч рублей. В интернете есть отзывы, что это лохотрон, да и так понятно, что никто не станет нам отправлять такие деньги просто за открытие странички в интернете.
Если перейти по ссылке ещё раз, то уже попадаем на другую страничку, не имеющую ничего общего с предыдущей.
Данный сайт Web Sms тоже является лохотроном со смыслом, похожим на предыдущий — здесь тоже говорят, что нам хотят отправить кучу денег, и что сумма уже готова к отправке на счёт.
Переходим по ссылке третий раз — попадаем на очередной, уже третий сайт:
Данный сайт также является лохотроном. Во-первых, в интернете можно найти отзывы, которым уже несколько месяцев, о том, что Mail Roulette — это лохотрон. Во-вторых, если всё-таки поверить, что это действительно некий ежегодный розыгрыш призов для пользователей электронной почты, то, если «поучаствовать» в нём, нажав пару кнопок, то попадаешь на страницу, где говорят про большое везение и крупный выигрыш, но, чтобы его получить, нужно произвести реквизитное списание:
Другими словами — вас просят заплатить 375 рублей, чтобы вы могли получить 215 тысяч рублей. На самом деле тут всё является обманом, вы просто отправите деньги мошенникам. Обманом является даже онлайн-чат. Можно видеть, что в углу отображается надпись, будто сейчас онлайн находится 63 человека, и периодически эта цифра меняется, словно люди заходят в чат и выходят. На самом деле никого там нет, это просто работает скрипт:
Этот скрипт по таймеру случайным образом подставляет какое-либо количество человек из заданных заранее.
И, самое главное, если пользователь заплатит за реквизитное списание, ожидая получение выигрыша, то он перейдёт на следующий шаг, где с него снова попросят заплатить деньги уже по другому поводу:
Здесь уже просят заплатить за комиссию. Если заплатить — потом снова будет новый предлог, чтобы вы заплатили деньги, и так далее.
Таким образом, сервисы, которые открываются при переходе по ссылке из письма, являются лохотронами, что полностью подтверждает мошенническое происхождение письма.
Выводы, отзывы, итоги
Теперь вы гораздо лучше будете знать, как быть, если вам действительно пришло письмо от мошенников, и будете знать, что с этим делать и что не следует переживать и тревожиться.
Главное, не спешите и не делайте опрометчивых действий, особенно если вы не ждали письма и не делали предварительно никаких действий, из-за которых подобное письмо могло придти, и не переходите по ссылкам из него, а то попадёте на лохотрон, где вам пообещают кучу денег, а потом будут с вас по-немного просить заплатить деньги.
Напоследок хотим вам порекомендовать хороший сервис для саморазвития и самообразования. Если интересно получить новые знания, узнать, как заработать в интернете с помощью ваших хобби и увлечений, то жмите на кнопку. И не переживайте, речь идёт про хороший известный сервис Нетология.
Также подпишитесь прямо в форме ниже, чтобы получать статьи про новые виды мошенничества в интернете, и получать советы по заработку с компьютера или смартфона.
гугл мировой it гигант, а дырок больше чем в дуршлаке. задрали письма, только уже от сервиса гугл презентации. как избавиться непонятно.
Отличная подача текста и понятные примеры.
Большое спасибо за интересную статью!
Спасибо большое что подсказали! Сегодня мне такое же письмо пришло.
С плеч долой! Скатертью дорога! Тем лучше!