Фишинговые мамонты: как не стать жертвой Scam 1.0 и Scam 2.0?

Мошенничество на досках объявлений и торговых площадках превратилось в серьезную проблему из-за появления организованных преступных группировок. Они работают по модели «мошенничество как услуга» (Fraud-as-a-Service), постоянно совершенствуя схемы кражи денег и персональных данных у доверчивых пользователей.

Существуют две основные схемы обмана:

1. Скам покупателей (scam 1.0) - мошенник выдает себя за продавца и предлагает покупателю получить товар доставкой. Когда покупатель интересуется условиями доставки и оплаты, мошенник (в роли продавца) просит прислать ФИО, адрес и номер телефона, а также оплатить заказ на сайте. Если жертва соглашается, ей присылают фишинговую ссылку для оплаты товара (в стороннем мессенджере или в самом диалоге на площадке, если площадка не блокирует такие ссылки). Как только пользователь вводит данные карты на поддельном сайте, мошенник получает к ним доступ и списывает все средства.
2. Скам продавцов (scam 2.0) - более распространенная схема. Мошенник представляется покупателем и обманывает продавца, уговаривая его отправить товар доставкой и совершить так называемую «безопасную сделку» или воспользоваться «безопасным способом оплаты». Как и в случае scam 1.0, злоумышленники присылают согласному на сделку продавцу фишинговую ссылку в стороннем мессенджере или непосредственно в диалоге на площадке. Страница по ссылке запрашивает данные платежной карты. Если продавец их вводит, злоумышленник списывает с карты все деньги.

В обоих случаях жертва перенаправляется на поддельный сайт, визуально идентичный настоящему, но с целью кражи данных. Ниже подробно представлена схема scam 2.0.

В схеме scam 2.0 злоумышленники тщательно выбирают потенциальных жертв. Их интересуют объявления, за продвижение которых продавец заплатил деньги. Также привлекают качественные фотографии товара и готовность общаться в мессенджерах. Наконец, злоумышленники ищут продавцов, которые используют сторонние мессенджеры и готовы предоставить номер телефона. Это выясняют уже на стадии общения с продавцом.

Основная цель аферистов - убедить жертву перейти по фишинговой ссылке и ввести платежные данные. Общение начинается со стандартных вопросов о товаре, его состоянии, причинах продажи и т.д. Опытные мошенники задают не более 3 вопросов, чтобы не вызвать подозрений.

Затем злоумышленник объявляет о заинтересованности в покупке, но указывает, что не может забрать товар лично и оплатить наличными из-за нахождения в другом городе (или иной причины). После этого предлагается воспользоваться «безопасной доставкой».

Мошенник детально описывает схему мнимой оплаты, в которой жертву просят перейти по фишинговой ссылке и указать реквизиты для перевода денег. Схема оплаты приблизительно выглядит следующим образом:

1. Я плачу за ваш товар на [название площадки].
2. Вам приходит ссылка для получения денег.
3. Вы переходите по ссылке и указываете номер счета, на который удобно получить деньги.
4. Как только вы получаете деньги, с вами связывается служба оформления заказов и назначает удобный для вас способ доставки. Доставка уже будет оплачена. Товар упакуют и оформят за вас.

Если продавец соглашается, аферисты получают доступ к его платежным данным и обчищают счета. Стоимость товара при этом не имеет значения: даже если продавец указал в объявлении незначительную сумму, злоумышленники спишут все, что успеют.

Если жертва начинает спорить и настойчиво отказываться от такого способа оплаты, мошенник пропадает, так как не хочет терять время. Если продавец просит продолжить переписку на официальном сайте торговой площадки, злоумышленник делает вывод, что он знает о мошенничестве и вряд ли перейдет по фишинговой ссылке, поэтому также перестает отвечать и начинает искать новую жертву.

В схеме scam 2.0 есть два основных варианта фишинговых страниц: одни представляют собой копии страницы торговой площадки с объявлением жертвы, другие имитируют сервисы безопасной оплаты, такие как Twin.

Фишинговое объявление

Оригинальное объявление

Поддельная страница отличается от оригинальных лишь незначительных деталей. В частности, вместо кнопки Inserent kontaktieren («Связаться с автором объявления») на фишинговой странице присутствует кнопка Receive 150 CHF («Получить 150 швейцарских франков»).

Структура мошеннических группировок

В последнее время появились целые группировки мошенников, которые специализируются на досках объявлений. Они практикуют оба варианта мошенничества - scam 1.0 и scam 2.0. В преступных группировках есть четкое распределение ролей:

• Топикстартеры (организаторы) управляют всей деятельностью группы.
• Кодеры отвечают за разработку и поддержку технической инфраструктуры.
• Возвратеры (техподдержка) помогают жертвам "решать" возникающие у них вопросы до того момента, пока не будут украдены их деньги.
• Вбиверы занимаются непосредственным списанием денег с украденных счетов.
• Воркеры являются «полевыми агентами», которые непосредственно взаимодействуют с жертвами
• и другие.

Доверчивого пользователя, которого уже обманули, мошенники называют мамонтом. Сумма на банковской карте, которую указала жертва при переходе по фишинговой ссылке, называется логи. Сумма, снятая с карты жертвы, называется профит.

Злоумышленники общаются в закрытых чатах, ведут статистику, постоянно совершенствуют методы работы.

Географический охват и выбор целей

Мошенничество вида scam 1.0 и scam 2.0 появилось несколько лет назад, и обе схемы до сих пор можно встретить на русскоязычных досках объявлений. Однако в последнее время мошенники переключились на зарубежные страны, особенно Швейцарию, где население меньше знакомо с такими схемами обмана. Для повышения доверия они изучают местные языки и традиции. Также группировка действует в Канаде, Австрии, Франции и Норвегии.

Группировки работают по модели «мошенничество как услуга», в которой основным потребителем услуг является воркер. Организаторы обеспечивают функционирование сервисов (каналы/чаты/боты в Telegram, фишинговые сайты, обработка платежей, отмывание и вывод средств), предоставляют моральную поддержку и мануалы по ворку, а взамен забирают себе комиссию с каждого платежа.

Для новичков-воркеров разработаны подробные мануалы: как зарегистрироваться, обеспечить анонимность, вести диалоги с жертвами, обходить защитные ограничения площадок и т.д. После получения платежных данных «вбиверы» разными способами снимают деньги - оформляют кредиты, переводят на электронные кошельки, покупают технику и пр.

Для автоматизации процесса используются специальные Telegram-боты. Они позволяют быстро создавать фишинговые ссылки, копирующие интерфейс реальных сайтов, отслеживать переходы жертв по ссылкам, получать уведомления об «успешных» платежах. Боты постоянно обновляются, в них добавляется новая статистика, инструменты и функции.

Чтобы не стать жертвой обмана, важно доверять только официальным сайтам, не переходить на сторонние ресурсы из ненадежных источников, не вводить данные карт пока не получен товар, избегать QR-кодов из подозрительных мест.