Темна сторона Чорної пʼятниці: як кіберзлочинці використовують ажіотаж (фішинг, підроблені сайти, витоки даних) | robot_dreams
Для отслеживания статуса заказа — авторизируйтесь
Введите код, который был выслан на почту Введите код с SMS, который был выслан на номер
 
Код действителен в течение 5 минут Код с sms действителен в течение 5 минут
Вы уверены, что хотите выйти?
Сеанс завершен
На главную
Темний бік Чорної пʼятниці: Як кіберзлочинці використовують ажіотаж, щоб вкрасти ваші гроші

Темний бік Чорної пʼятниці: Як кіберзлочинці використовують ажіотаж, щоб вкрасти ваші гроші

Фішинг, підроблені сайти й витоки даних

Історія з Чорною пʼятницею почалася з Філадельфії, де поліціянти стали називати п'ятницю після Дня подяки «чорною» через величезний хаос: масові затори, скупчення людей, наплив туристів та покупців. Це часто збігалося з проведенням щорічного футбольного матчу, що в комбінації робило місто нестерпним і збільшувало кількість крадіжок та аварій. Словом, для правоохоронців це був важкий, «чорний» день.

З часом маркетологи змінили посил цього виразу — і нині він асоціюється зі знижками, розпродажами та хаотичним шопінгом. Проте дещо буквально «чорне» залишилось — фішинг, підставні сайти, витоки даних та ще купа інших загроз. 

В цій статті подивимось саме на темний бік Чорної пʼятниці й те, як зловмисники використовують ажіотаж, щоби перетворити її на Black Fraud Day.

Основні методи атак

Кожен рік Чорної пʼятниці дивує новими видами скаму. Раніше продавці маніпулювали знижками та чергами. Зараз же існує цілий ряд загроз, які ще треба вміти розпізнати. Ось найпоширеніші.

Фішингові листи — «підсовування» вигідної пропозиції

Під час Чорної п’ятниці фішингові кампанії посилюються: шахраї надсилають листи, що імітують відомих ритейлерів або платіжні сервіси. Далі надають «унікальні пропозиції» чи повідомляють про нібито заблокований акаунт або «виграш» у якомусь розіграші.

Часто втілення дуже просте: виглядає як знайоме повідомлення, але веде на підроблену сторінку або прямо містить шкідливий софт у вкладенні. Підрахунки показують, що значна частка листів, пов’язаних із Black Friday, — це шахрайські повідомлення. Дані за останні сезони вказують, що до ~77% тематичного спаму — скам. 

Шахраї часто грають із FOMO (fear of missing out) — страхом втратити/пропустити/не купити щось. З гарною подачею такі повідомлення грають на людських почуттях, підвищують довіру і спонукають до імпульсивних покупок та поспішних кліків.

Підроблені сайти й рекламні оголошення

Сьогодні створити свій сайт можна за лічені хвилини. Це ще одна масштабна схема, де зловмисники створюють фейкові онлайн-магазини, майже ідентичні сторінкам справжніх брендів. Підробити можуть усе: відгуки, медіа, правила повернення та кнопки оплати. Далі для цих сайтів створюють рекламні оголошення в соцмережах та пошуковиках, щоб наростити трафік.

До прикладу, ще у 2023 році Netcraft фіксували значні сплески кількості підроблених магазинів під час сезону — зростання доходило до 135% порівняно з минулими роками та іншими сезонами.

Відрізнити такі сайти легко, головне — знати, куди дивитись. Найпростіший варіант — перевіряти домен. Зловмисники підбирають домен свого сайту так, щоб він був максимально схожим на оригінал. Так, можна зустріти сайти на кшталт waimart.com — фейковий Walmart, або allexpress.com, який дублює відомий китайський маркетплейс. 

Скімінг та Magecart — інжекція коду, що краде платіжні дані

Е-скімінг (Magecart-тип атак) — це поширена практика, коли спеціальний скрипт інжектується на сторінку оплати реального інтернет-магазину і «зчитує» дані карти в момент, коли покупець вводить їх у форму. 

Жертва бачить повністю нормальний сайт, але її реквізити відправляються також на сервер шахраїв. За останні роки кількість таких інфекцій та вкрадених записів значно зросла. Лише в США викрали близько 269 млн платіжних записів та 1,9 млн банківських чеків, які згодом продавали в даркнеті.

Так, якщо сторінка оплати підвантажує незнайомі зовнішні скрипти або домени з третіх сторін у ресурсах сторінки — це ризик. Бізнесам варто використовувати SRI, Content Security Policy та моніторинг змін фронтенд-коду.

Шкідливе ПЗ для фінансів

Кіберзлочинці активно поширюють не лише вебскрипти, але й банківські троянські програми та зловмисне мобільне ПЗ, здатне перехоплювати SMS, захоплювати дані через підроблені екрани введення або змінювати напрямок фінансових транзакцій. Зважаючи на зростання популярності мобільного браузингу та покупок, у 2024–2025 кількість інцидентів мобільних банківських троянів зросла в декілька разів порівняно з попередніми роками. 

Це хоч і common knowledge, але все ж усім потрібно памʼятати, що встановлювати програми з неперевірених джерел — це табу. Важливо уважно переглядати дозволи додатків, які дані вони моніторять, до чого просять доступ. Також у всіх додатках, які мають доступ до вашої чутливої інформації, потрібно встановити двофакторну аутентифікацію з ключами або токенами замість лише SMS.

Соціальна інженерія в рекламі та соцмережах

Шахраї створюють фейкові сторінки брендів, оплачують таргетовані оголошення або захоплюють коментарі під реальними рекламними публікаціями та вставляють посилання на підроблені лендинги. Користувачі часто довіряють видимому оформленню реклами, особливо якщо вона таргетована під їхні інтереси. Такі кампанії можуть бути масово автоматизовані та персоналізовані. 

Не попастися на такий фокус легко: важливо перевіряти офіційні акаунти брендів та не переходити за короткими посиланнями з невідомих коментарів, постів тощо. 

Використання AI — автоматизація фейків та персоналізація атак

Генеративні моделі сильно полегшують життя зловмисників. Вони допомагають у створенні якісних фішинг-листів, правдоподібних оголошень та навіть підроблених документів чи аудіо/відео, тобто діпфейків

Спеціалісти, інституції та журналісти попереджають, що зловживання генеративним ШІ робить шахрайства масштабнішими та важчими для виявлення. Для цього використовують усе: від автоматизованих LLM-скриптів — до deepfake-імперсонацій в соцмережах та дзвінках.

курсы по теме:

Penetration Testing

Лыба Максим

Senior Security Testing Engineer в EPAM Systems

О курсе
0g6a4019-1-68c919c118ece648061520.png

AI для тестирования

Вишневская Евгения

Senior QA Engineer в Google

О курсе
frame-1073713591-1-68f7328add438298465565.webp

Чому традиційні поради інколи не працюють (корупція ланцюга постачання)

Традиційні поради типу «перевіряйте URL», «не клікайте на підозрілі лінки» — хороші та потрібні. Але багато успішних атак взагалі обходять ці правила, бо вектор знаходиться не в кінцевого користувача, а в ланцюзі постачання: сторонні провайдери, плагіни, віджети, підрядники з доступом до систем. Коли довірений компонент скомпрометовано, навіть обережний користувач ризикує, а бізнес втрачає контроль. 

  • Доступ через стороннього постачальника. Хакери можуть обрати ціллю зламу саме підрядника, в якого є логіни або VPN-доступ до мережі клієнта, і далі рухатися всередині інфраструктури. Класичний приклад — Target (2013) і найбільший витік даних в історії. В цьому випадку зловмисники отримали доступ через HVAC-підрядника і потім вразили POS-системи мережі.
  • Компрометація стороннього скрипту/віджета (web supply). Magecart-атаки та інші скрипт-скімери фокусуються на вразливих сторонніх бібліотеках або віджетах, через які впроваджують скрипти у сторінки оплати. Відомі випадки — British Airways і Ticketmaster, де проблемний або модифікований сторонній код дозволив красти платіжні дані.
  • Непрозора відповідальність і слабкий контроль. Компанії часто перекладають відповідальність на постачальника, але їхні контракти рідко вимагають регулярних аудитів, оновлень або сповіщень про інциденти. Приклад SolarWinds чітко показав, якими руйнівними можуть бути наслідки, коли тисячі організацій використовують програмне забезпечення, інфіковане шкідливим кодом.

Через ці причини традиційні підходи до кібербезпеки вже є застарілими — і бізнесам необхідно терміново знаходити нові стратегії захисту. Блокування посилань або перевірка домену стають марними, якщо атака походить від легітимного ресурсу, на якому розміщено інжектований шкідливий скрипт.

Навчання співробітників допомагає лише проти простого фішингу, але не захищає від атак, які використовують довіру до сторонніх постачальників. До того ж контроль та відповідальність розпорошені: маркетинг купує, ІТ підключає, а юристи не мають можливості провести технічний аудит.

статьи по теме:
Post cover Рet-проекты для тестировщиков: как QA самостоятельно придумать себе задачу для портфолио

Колонка Сергея Могилевского, QA Automation Lead в IT-команде NIX

Post cover Никаких заданий «на дом»: как компании оценивают знания джуниор-тестировщиков

Рассказывают хайринг-менеджеры и тимлиды из N-iX, Uklon, Infopulse и Uptech

На завершення

На Чорну п’ятницю можна дивитися по-різному:

Якщо для вас це передусім Black Fraud Day — знати своїх ворогів потрібно в лице. Якщо ви знаєте, чого очікувати й що може вам загрожувати, вберегти себе стає легше. Базові правила безпеки, вміння аналізувати й можливість оцінювати гарячі пропозиції критично — незамінні речі в полюванні за знижками.

Якщо ж для вас це все-таки свято покупок, варто критично подивитись на потреби. В цій ситуації дамо пораду: фізичні речі псуються та постійно замінюються, а вам не потрібен особливий день для купівлі нових. Натомість спіймати знижку й вкластись у знання, які не мають терміну придатності, — завжди гарна ідея. 

Тому (не) тонко натякаємо: всі актуальні курси від robot_dreams можна знайти тут.

Автор: Павло Кірноз
Ещё статьи
Vibecoding: Чи дійсно AI вміє кодити краще за вас?
Порівнюємо швидкість, якість і відповідальність за результат
8 SQL-запитів, які розв’язують 80% робочих завдань
З прикладами коду
Все материалы