10. Под предлогом прохождения опроса потенциальным жертвам предлагается перейти по ссылке.
11. При переходе по ссылке пользователь Android-устройства видит страницу поддельного магазина приложений Google Play, с которой предлагается скачать фейковое приложение. В приложении скрыт троян, поэтому сразу после установки оно запрашивает разрешение на доступ к контактам и смс.
12. Затем пользователя перенаправляют на интернет-страницу, на которой предлагается заполнить форму с данными: ввести ФИО, номер банковской карты, телефон и СНИЛС.
13. Получив эти сведения и контроль над устройством, они могут списать деньги с банковского счёта жертвы, перехватывая с помощью трояна смс для подтверждения перевода.
14. Если у пользователя устройство на iOS, то установить приложение он не сможет: ему предложат пройти опрос и заполнить фишинговую форму, указав помимо прочего номер банковской карты.

Злоумышленники используют новую схему около месяца. За это время от действий мошеннической группы пострадали 770 человек, у которых похитили 5 921 500 рублей. Средняя сумма ущерба составила 7 690 рублей.

Жителям штата сообщили, что департамент здравоохранения потерял доступ к интернету, а все цифровые медицинские системы и серверы электронной почты недоступны. Власти заверили, что медицинские услуги продолжают оказываться, но их скорость значительно снизилась из-за возникших нарушений.

Сейчас ведомство сотрудничает с частными IT-подрядчиками и госструктурами для восстановления работы системы, выяснения степени проникновения хакеров и установления масштабов утечки данных. На данный момент ни одна группировка не взяла на себя ответственность за атаку.

Инцидент произошёл в октябре 2024 года из-за взлома программного обеспечения для безопасной передачи файлов стороннего поставщика, используемого WAB. Злоумышленники воспользовались уязвимостью нулевого дня и получили несанкционированный доступ к ограниченному числу банковских систем.

Об утечке стало известно лишь после того, как злоумышленники слили некоторые из украденных файлов. Украденные файлы содержали конфиденциальные данные клиентов: имена, номера социального страхования, даты рождения, реквизиты финансового счета, номера водительских прав, идентификационные номера налогоплательщиков и паспортные данные.

Похищенные данные разделены на два архива общим объемом более двух терабайт: один размером 600 гигабайт в формате tar. gz, второй — 1,8 терабайта в формате CSV. В них содержатся идентификаторы платформы, телефоны, имена, адреса, детали покупок, цены и даты транзакций.

Достоверность заявлений пока остается под вопросом. В тексте объявления, написанном на ломаном английском, даже в записи чисел допущены ошибки.