В компании Group-IB зафиксировали рассылку мошеннических писем, отправленных от имени Zoom. Пользователям предлагалась компенсация «в связи с COVID-2019», для получения которой нужно перейти по ссылке, уточнили в Group-IB. Жертва перенаправлялась на мошеннический сайт, где у нее похищали деньги и данные банковской карты.
Аналитики CERT-GIB установили, что письма были отправлены не с фейкового домена, а с официального. При заполнении профиля при регистрации Zoom предлагает пользователю указать имя и фамилию, предоставляя возможность вставить до 64 символов в каждое поле. Мошенники вставляют в эти поля фразу «Вам положена компенсация в связи с COVID-19» и указывают ссылку на мошеннический сайт. После регистрации Zoom предлагает новому клиенту пригласить до десяти новых пользователей, указав их почтовый адрес. Мошенники вводят адреса потенциальных жертв, которым приходит официальное уведомление от имени команды сервиса (no-reply@zoom.us), но с содержанием, которое сгенерировали злоумышленники.
Злоумышленники эксплуатируют популярность сервиса Zoom в связи с переходом на дистанционную работу: с начала 2020 года CERT-GIB зафиксировал появление около 15,3 тыс. доменов с названием Zoom, а весной предупреждал о появлении в даркнете объявления о продаже учетных записей 4 тыс. аккаунтов пользователей сервиса.