Group-IB фиксирует активизацию мошеннических групп, работающих с помощью фейковых сайтов

Компания Group-IB, специализирующаяся на предотвращении кибератак, отмечает активизацию в СНГ, Европе и США русскоязычных мошеннических групп, похищающих деньги и данные банковских карт пользователей с помощью фейковых сайтов популярных курьерских служб и маркетплейсов. По оценкам аналитиков Group-IB, против пользователей из Румынии, Болгарии, Франции, Польши, Чехии, США, Украины, Узбекистана, Киргизии и Казахстана работают не менее 20 крупных группировок. В целом, за 2020 год заработок всех преступных групп, использующих данную схему мошенничества, оценивается более чем $6,2 млн. Согласно прогнозам Group-IB, ущерб от «курьерской схемы» до конца года может вырасти.

Первое массовое использование в России схемы «Мамонт» («мамонтом» на сленге мошенников называют жертву) специалисты CERT-GIB и Group-IB Digital Risk Protection зафиксировали еще летом 2019 года после ряда обращений обманутых пользователей. Однако пик мошеннической активности пришелся на весну 2020 года в связи с пандемией, переходом на удаленку и увеличением спроса (в среднем, на 30%-40%) на онлайн-покупки и, соответственно, услуги курьерской доставки.

«Если летом 2020 года мы заблокировали 280 фейковых ресурсов, эксплуатирующих тему курьерской доставки товаров, то к декабрю их количество выросло в 10 раз — до 3 000 сайтов, — отмечает Ярослав Каргалев, заместитель руководителя CERT-GIB. —  Активное противодействие мошенникам со стороны Group-IB, а также компаний, владеющих курьерскими сервисами и досками объявлений подстегнуло начавшуюся весной online-миграцию мошеннических групп из России в СНГ и страны Европы. Также злоумышленники принялись искать новые ниши, как, например, случилось с появлением сайтов под популярные сайты аренды жилья и букмекерские конторы. Российская зона интернета в очередной раз становится тестовой площадкой, позволяя злоумышленникам масштабировать преступный бизнес на международную арену».

В настоящее время специалисты Group-IB Digital Risk Protection и CERT-GIB выделяют около 40 активных преступных групп, использующих мошенническую схему с фейковой курьерской доставкой, причем половина из них уже работают вне России. Сама афера не претерпела серьезных изменений, но была локализована под рынки Восточной и Западной Европы, а также стран СНГ. 

На популярных сервисах бесплатных объявлений злоумышленники размещают так называемые «лоты-приманки» — объявления о продаже по намеренно заниженным ценам товаров — фотоаппаратов, игровых приставок, ноутбуков, смартфонов и так далее. Покупатель связывается с продавцом, а тот «обрабатывает» его, создавая атмосферу доверия, и «переводит» дальнейшее общение в мессенджер. 

Несмотря на то, что многие курьерские сервисы и доски объявлений по продаже новых и бывших в употреблении товаров, ведут активную политику защиты пользователей от мошеннической активности, размещая предупреждения на своих ресурсах, это зачастую не останавливает покупателей.

В мессенджере у жертвы, как правило, запрашивают контактные данные якобы для оформления доставки через курьерскую службу. Затем ей присылают ссылку на один из сайтов популярных курьерских служб для оплаты доставки — на деле сайт оказывается фейковой страницей. В итоге — похищают и деньги, и данные банковских карт.  Сама схема предусматривает варианты продолжения: часть жертв обманывают повторно — «разводят на возврат» — на деле с карты происходит повторное списание той же суммы.

Примечательно, что до 2020 года специалисты Group-IB фиксировали единичные случаи использования мошенниками в своих схемах зарубежных брендов курьерских сервисов и досок бесплатных объявлений. Однако уже с февраля на форумах появляются предложения использовать фишинговые формы под украинскую версию сайта бесплатных объявлений OLX. В апреле возникли схемы уже с белорусским сайтом бесплатных объявлений Kufar, а также фишинг под CDEK (Беларусь) и Белпочту. К концу августа скамеры освоили украинские маркетплейсы, prom.ua и вышли за границы СНГ: появился скам с использованием французского сайта бесплатных объявлений — Leboncoin. Буквально за последний месяц были обнаружены примеры использования польского бренда Allegro и чешского — Sbazar. В ближайшее время, судя по результатам анализа закрытых форумов и чатов, мошенники готовятся задействовать в своих аферах новые бренды: FedEx и DHL Express в США и Болгарии, СДЭК  в Казахстане и США.

Все сделки и транзакции «воркеров» отображаются в отдельном телеграм-боте: там указана сумма, номер платежа и ник-нейм получателя. На основе статистики по выплатам самые успешные «воркеры» могут попасть в рейтинг «топов», члены которого имеют влияние на развитие проекта и доступ к вип-скриптам, например, для работы на европейских и американских площадках, где выручка значительно выше. Помощниками «воркеров» выступают «прозвонщики» или «возвратеры», которые выдают себя за службу поддержки и получают процент от выручки от 5% до 10%. 

Проанализировав сообщения о выплатах в чат-ботах, аналитики Group-IB выяснили, что 20 из 40 активных групп, ориентированы на зарубежные страны. В среднем они зарабатывают $ 60 752 в месяц, но доходы разных групп неоднородны. В целом, общий ежемесячный заработок 40 самых активных действующих преступных групп оценивается как минимум в $522 731 в месяц. 

В отличие от России, где курьерские сервисы, доски бесплатных объявлений и ресурсы по аренде недвижимости первыми приняли на себя удар «Мамонта», подавляющее число пользователей и сотрудников служб безопасности международных компаний пока не готовы к противодействию этому типу мошенничества. Для пресечения подобных «продвинутых скам-схем» классического мониторинга и блокировки уже недостаточно — необходимо выявлять и блокировать инфраструктуру преступных групп, используя автоматизированную систему класса DRP выявления и устранения цифровых рисков на основе искусственного интеллекта), база знаний которой регулярно подпитывается данными об инфраструктуре, тактике, инструментах и новых схемах мошенничества.

Рекомендации для пользователей довольно просты, но обязательны к соблюдению при оформлении покупок товаров или услуг через Интернет:

—Доверяйте только официальным сайтам. Прежде чем ввести в какую-либо форму данные своей банковской карты — изучите адрес сайта, «загуглите» его и проверьте, когда он был создан. Если сайту пара месяцев — с большой долей вероятности он мошеннический.

— Пользуясь услугами сервисов по аренды жилья или продаже новых и б/у товаров, не уходите в мессенджеры, ведите всю переписку только в чате сервиса.

— Не заказывайте товар или не заключайте сделку по предоплате — оплачивайте только тогда, когда получили товар и убедились в его исправности.