Мошенники запустили фишинговую кампанию, нацеленную на франкоязычных пользователей. Злоумышленники создали поддельный сайт в корпоративном стиле Avast и обманом заставляют посетителей передавать полные данные кредитных карт, включая номер, срок действия и CVV-код. Легенда строится вокруг фиктивного возврата средств в размере 499.99 евро. Для повышения убедительности мошенники применяют онлайн-чат поддержки и жестко заданную сумму транзакции.
Имитация списания на 499.99 евро
Страница выглядит как настоящий веб-портал Avast. Логотип загружается напрямую из официальной сети доставки контента (CDN) антивирусной компании. Ниже расположен блок с предупреждением о необходимости отменить транзакцию в течение 72 часов. Веб-браузер показывает запись о списании 499.99 евро. Дата генерируется динамически с помощью JavaScript, чтобы операция всегда выглядела как произошедшая сегодня утром. Сумма остается неизменной для всех посетителей. В реальности никакой транзакции нет, а цифра призвана лишь спровоцировать чувство потери и спешку.
Сбор платежных данных и скрипт валидации
Форма отмены запрашивает причину возврата и подробную личную информацию под видом стандартной проверки личности. После ее заполнения появляется модальное окно для ввода реквизитов банковской карты. Злоумышленники внедрили проверку номеров по алгоритму Луна, поэтому система сразу отклоняет случайные опечатки. При подтверждении веб-браузер отправляет POST-запрос к файлу send.php, передавая все данные в формате JSON. На финальном этапе сайт благодарит за обращение и подталкивает жертву к удалению защитного программного обеспечения Avast, чтобы оно не заблокировало угрозу.
Онлайн-чат и профили жертв
Главная особенность кампании - наличие реального виджета поддержки Tawk.to. Операторы фишингового сайта отслеживают присутствие посетителей и вступают в диалог, если человек сомневается перед вводом реквизитов. Схема работает против разных групп людей: от действующих клиентов Avast до случайных пользователей, которые пугаются списания и спешат отменить операцию. Легитимные сервисы не требуют полного ввода данных карты для возврата средств и никогда не просят удалить антивирус. При утечке реквизитов пользователям необходимо срочно заблокировать карту через банк.
Угрозы безопасности
• Фишинговая кампания против пользователей Avast: фейковое списание на 499.99 евро и кража CVV
• PromptSpy – первая угроза для Android, использующая генеративный ИИ в процессе работы
• Критические уязвимости в расширениях для VS Code, Cursor и Windsurf: отчет OX Security
• Шифровальщик LockBit 5.0 получил инструменты обхода защиты и поддержку Windows, Linux и ESXi
• Облачные менеджеры паролей Bitwarden, LastPass, Dashlane и 1Password уязвимы перед компрометацией сервера
• Новая атака ClickFix использует утилиту nslookup для доставки PowerShell-нагрузки через DNS