„Am găsit contul tău furat”: culisele escrocheriei de recuperare Rambler.ru

Contul tău de pe platforma preferată de jocuri a fost compromis brusc. Atacatorul schimbă adresa de email cu una de pe Rambler.ru. Cererile către suportul platformei nu duc nicăieri. După ceva timp, câteodată și săptamâni, un necunoscut apare pe Discord sau pe altă platformă online cu un mesaj neașteptat:

„Ți-am găsit contul.”
„Te pot ajuta să îl recuperezi.”
„Am chiar și datele de autentificare.”

Pentru victime, interacțiunea pare ciudată, dar nu neapărat periculoasă. Necunoscutul știe deja detalii despre contul furat și, uneori, cunoaște chiar și credențialele corecte. În cazuri rare, victima își recapătă temporar accesul.

Acea aparentă cooperare este exact ceea ce face această escrocherie eficientă.

A început să apară un nou tip de atacuri în care infractorii cibernetici vizează victimele de două ori: mai întâi prin furtul contului, apoi prin exploatarea disperării victimei de a-l recupera.

La prima vedere, întreaga discuție nu arată ca o tentativă tradițională de phishing. Nu există pagini false de autentificare sau linkuri evidente către malware. În schimb, escrocheria se bazează pe ceva mai puternic: adevărul parțial.

Idei principale

· Escrocheriile de recuperare vizează tot mai des persoane ale căror conturi au fost deja furate.
· Atacatorii oferă uneori acces parțial pentru a câștiga încrederea victimei sau pentru a obține plăți.
· Adresele de email Rambler.ru apar frecvent în preluările de conturi de gaming.
· Un „străin binevoitor” poate fi, de fapt, atacatorul inițial.
· Chiar dacă victimele își recapătă temporar accesul, atacatorii păstrează adesea control ascuns asupra recuperării contului.
· Suportul oficial al platformei rămâne cea mai sigură cale de recuperare.

De ce aceste escrocherii par credibile

Phishingul tradițional se bazează, în general, pe înșelăciune. Escrocheriile de recuperare funcționează diferit deoarece atacatorul are adesea acces la contul furat.

O victimă care primește un email de phishing aleatoriu va fi probabil sceptică, dar o victimă care vorbește cu cineva care știe deja adresa de email furată, conturile conectate, istoricul achizițiilor sau detaliile de recuperare s-ar putea să nu fie la fel de suspicioasă.

În realitate, există o probabilitate foarte mare ca atacatorul să fie aceeași persoană care a furat contul de la bun început.

Atacul se desfășoară, de obicei, în etape. Mai întâi, contul este compromis prin phishing, credential stuffing, amenințări informatice sau inginerie socială. Apoi, victima postează public, cerând ajutor pe Reddit, Discord, comunități Steam sau pe rețelele sociale. La scurt timp, cineva o contactează în privat, susținând că a localizat contul sau că știe cum să-l recupereze.

Această succesiune contează deoarece atacatorul nu trebuie să convingă pe victima că i-a fost furat contul. Victima știe deja că această parte este adevărată.

Rolul adreselor de email Rambler

Multe victime care raportează furtul conturilor de gaming menționează conturi de email Rambler.ru asociate compromiterii.

Rambler este un furnizor legitim de email din Rusia, dar apare frecvent în cazurile de preluare a conturilor deoarece atacatorii folosesc căsuțe poștale de unică folosință pentru a înlocui adresa de email originală a victimei în timpul compromiterii. După ce atacatorul controlează căsuța poștală asociată, controlează resetările de parolă, fluxurile de verificare și cererile de recuperare.

Pentru victimele care nu cunosc serviciul, interfața în limba rusă adaugă încă un strat de confuzie.

Merită subliniat că Rambler.ru este doar unul dintre multele servicii de email folosite în acest tip de escrocherie. Atacatorii ar putea folosi Mail.ru, Yandex.ru și multe altele. Ei nu trebuie neapărat să fie din Rusia. Indiferent de serviciul de email folosit, orice email de acest tip trebuie sa fie suspicios.

De ce ar returna un atacator un cont furat?

Aceasta este, de obicei, partea pe care victimele se chinuie să o înțeleagă. Dacă infractorii controlează deja contul, de ce ar ajuta la recuperarea lui?

Răspunsul depinde de ceea ce își dorește, de fapt, atacatorul.

Uneori, scopul este extorcarea directă. Atacatorul se oferă să „returneze” contul în schimbul unei plăți, pretinzând adesea că acționează ca intermediar sau hacker etic.

Un scenariu probabil este ca victima să plătească, să primească acces temporar și apoi să piardă din nou contul, deoarece atacatorul a păstrat în tăcere controlul asupra recuperării prin emailuri conectate, dispozitive de încredere, conexiuni OAuth sau tokenuri de sesiune active.

Alteori, contul în sine nu mai este ținta principală.

Atacatorul poate dori, în schimb, acces la:

• contul principal de email al victimei
• platforme suplimentare de gaming
• metode de plată salvate
• portofele de criptomonede
• documente de identitate folosite în timpul verificării pentru recuperare.

Compromiterea inițială devine o momeală pentru a doua etapă a atacului.

Atacatorii știu că multe victime își folosesc parolele pe mai multe servicii. Dacă victima se conectează la căsuța poștală controlată de atacator, salvează credențialele în browser sau urmează instrucțiunile de recuperare oferite de escroc, compromiterea se poate extinde mult dincolo de contul de gaming inițial.

Există și un alt scenariu: atacatorul vrea să ștergă istoricul contului. Dacă poate convinge utilizatorul să se autentifice din nou, în funcție de serviciu, acest lucru ar putea șterge semnalele de fraudă sau slăbi sistemele anti-abuz care ar putea fi active.

Ce ar trebui să facă utilizatorii

Victimele preluărilor de conturi ar trebui să trateze implicit ofertele nesolicitate de recuperare drept ostile, chiar și atunci când persoana pare să dețină informații legitime.

Cea mai sigură abordare este folosirea exclusivă a suportului oficial al platformei, în timp ce se securizează ecosistemul de identitate din jurul contului compromis.

Asta înseamnă schimbarea parolelor pentru conturile principale de email, verificarea serviciilor conectate, revocarea sesiunilor suspecte și activarea autentificării multifactor puternice, folosind aplicații de autentificare sau passkey-uri ori de câte ori este posibil.

Utilizatorii ar trebui să evite și interacțiunea cu căsuțele poștale controlate de atacatori și atașate compromiterii. Chiar dacă datele de autentificare par legitime, conectarea la acele conturi poate expune informații suplimentare sau poate adânci compromiterea.

Cel mai important, victimele ar trebui să reziste presiunii de a continua conversațiile în privat pe Telegram, Discord sau platforme similare, unde moderarea și supravegherea dispar.

În cele din urmă, folosirea unei soluții de securitate precum Bitdefender Ultimate Security îi va ajuta pe utilizatori să evite paginile de phishing, malware-ul care fură credențiale, emailurile periculoase și toate celelalte tipuri de amenințări prezente constant în lumea online, mai ales în comunitățile de gaming.