Group-IB исследовала мошенническую схему с фейковыми курьерскими сервисами
21 мая 2020
932
Режим карантина, введенный для профилактики заболеваний COVID-19, по разным оценкам, увеличил спрос на услуги курьерской доставки на 30%-40%. Покупатели все чаще заказывают товары в интернете, стараясь не выходить из дома и при этом экономить. Этим решили воспользоваться злоумышленники, активировав мошенническую схему с поддельным сервисом курьерской доставки. Впервые появление этой схемы специалисты Центра реагирования на киберинциденты CERT-GIB зафиксировали в августе прошлого года, после обращений ряда пострадавших. Однако пик активности пришелся на весну 2020 года. В целом, за последние полгода количество регистраций фишинговых доменов, направленных на бренды курьерских служб, выросло в 7 раз.
Приманка для «мамонта»: как работает схема
На популярных сервисах бесплатных объявлений злоумышленники размещают так называемые «лоты-приманки» — объявления о продаже по намеренно заниженным ценам товаров, рассчитанных на разные целевые аудитории – это фотоаппараты, игровые приставки, ноутбуки, смартфоны, бензопилы, звуковые системы для авто, швейные машинки, коллекционные вещи, товары для рыбалки, спортпит и др. Оба сервиса борются с подобными типами мошенничества, однако лже-продавцы постоянно создают способы обхода блокировок своих сообщений.
«Мы блокируем возможность вставлять ссылки на внешние ресурсы в мессенджере Авито во избежание мошеннических схем с фишингом, — поясняет Андрей Рыбинцев, Директор Trust & Safety Авито. — Компания технически контролирует все процессы на платформе, однако если пользователь уходит в сторонние мессенджеры для совершения сделки, мы уже не можем отследить его действия. Именно поэтому мы стараемся максимально возможными способами предупредить пользователя, показываем ему предупреждение о том, что он покидает сайт. Авито советует не переходить по баннерной рекламе, ссылкам из электронных писем, из сообщений в чатах и соцсетях от незнакомых людей».
Покупатель, заинтересовавшись выгодным предложением, связывается с продавцом во внутреннем чате сервиса. «Продавец» предлагает продолжить обсуждение покупки и доставки товара в одном из популярных мессенджеров — якобы для удобства клиента. На самом деле, мошенник умышленно уводит покупателя на стороннюю площадку, чтобы служба безопасности сервиса не могла его отследить и помешать «сделке».
Заманив жертву в чат мессенджера, злоумышленник запрашивают у нее контактные данные (ФИО, адрес и номер телефона) якобы для оформления доставки через курьерскую службу. Затем жертве присылают ссылку на один из сайтов популярных курьерских служб. На деле сайт оказывается фишинговой страницей, традиционно полностью копирующей дизайн курьерского или почтового брендов и использующий доменное имя, похожее на оригинальное. Естественно, подлинные сервисы доставки не имеют к этим сайтам никакого отношения.
«Мошенники активно используют фейковые сайты, дублирующие интерфейс cdek.ru: если не обратить внимание на сам адрес, можно не заметить подлога и отправить деньги мошенникам, — говорит Станислав Горбатовский, IT-директор СДЭК. — Чтобы ликвидировать сайты мошенников, мы начали сотрудничество с компаний Group-IB, взаимодействуем с правоохранительными органами, площадками интернет-торговли и другими логистическими компаниями».
На фейковой странице заказа, злоумышленник сам заполняет форму для отправки посылки, используя полученные от покупателя данные. Жертве предлагается проверить корректность информации и совершить оплату товара, введя данные своей банковской карты. Цель мошенника достигнута: покупатель теряет и деньги, и данные карты, при этом оставаясь без товара. Средний чек одной такой «покупки» составляет примерно 15 000-30 000 рублей.
Охота с продолжением
Зачастую на этом мошенники не останавливаются. Часть жертв обманывают повторно — «разводят на возврат». Через некоторое время после оплаты товара покупателю сообщают, что на «почте» произошло ЧП. Легенда может быть любой, например, сотрудник почты якобы пойман на краже, а заказанный товар конфисковала полиция, поэтому для компенсации перечисленной суммы необходимо оформить «возврат средств». Понятно, что на деле с карты происходит повторное списание той же суммы.
Dreamer Money Gang: админы, воркеры и прозвонщики
В ходе исследования «курьерской схемы» командой CERT-GIB выявлены десятки разрозненных преступных групп, специализирующиеся именно этом типе мошенничества. Роли в группе и размер вознаграждения каждого участника четко распределены. Коммуникации, обучение «новичков» и внутренняя бухгалтерия организованы с помощью телеграм-ботов.
Костяк группировки составляют “админы”, они же “саппорты” или “модераторы”, которые занимаются регистрацией доменов, созданием фишинговых ресурсов под фейковые «курьерские службы», а также рекрутингом и распределением похищенных денег.
На некоторых андеграундных форумах или в телеграм-каналах админы по объявлению нанимают сотрудников — «воркеров», которые размещают многочисленные «объявления-приманки» на популярных сервисах бесплатных объявлений, общаются с жертвами (их чаще всего именуют «мамонтами») в мессенджерах и отправляют их на фишинговые страницы «курьерских сервисов» для оплаты товара.
Все сделки и транзакции «воркеров» отображаются в телеграм-боте: сумма, номер платежа и ник-нейм «воркера». В одном из чат-ботов фигурируют многочисленные переводы на суммы от 7 300 до 63 900 рублей — сначала деньги падают на счета «админа», затем он распределяет доходы на остальных участников группы. Как правило, «воркеры» получают 60%-80% от суммы транзакции в криптовалюте — «админы» оперативно переводят деньги им на криптокошельки.
Схему с «возвратом» отрабатывают так называемые “прозвонщики” или “возвратчики”, выступающие в роли «операторов» службы поддержки» курьерских сервисов. Связавшись с жертвой по телефону или в мессенджерах, они предлагают оформить возврат. Как и описано выше: при этом происходит повторное списание средств с карты потерпевших. Прозвонщик может получать как фиксированную сумму, так и процент от украденных денег — от 5% до 20%. Крайне редко в роли прозвонщиков выступают сами воркеры, поскольку прозвонщики — узкопрофильные специалисты, обладающие хорошо прокаченным навыком социальной инженерии, четким поставленным голосом и готовностью с ходу ответить на самые неожиданные вопросы сомневающихся покупателей.
Игра по-крупному
Абсолютно все преступные группы заинтересованы в масштабировании своего бизнеса и привлечении свежих сил. Например, одна из крупных преступных групп, называющая себя Dreamer Money Gang (DMG), нанимает воркеров через телеграм-бот и обещает обучение, «лучшие домены на рынке» и быстрые выплаты без скрытых процентов. Ежедневный оборот DMG превышает 200 000 рублей. Примечательно, что выручка другой преступной группы стремительно росла в последние месяцы: 784.600 рублей (январь), 3 ,5 млн руб (февраль), 6,2 млн рублей (март), 8,9 млн руб (апрель).
«Востребованность во время пандемии услуг доставки привела к взрывному росту популярности «курьерской схемы» — сейчас мы наблюдает около 100 объявлений на хакерских форумах, где группы рекламируют свои услуги и ведут активный рекрутинг исполнителей, — замечает Александр Калинин, руководитель CERT-GIB, — Мы еще раз обращаем внимание пользователей служб доставки и сервисов бесплатных объявлений о необходимости проявлять бдительность: мошенников в сети сейчас больше, чем когда-либо. Мы активно блокируем подобные мошеннические ресурсы, однако они могут появляться вновь, учитывая востребованность курьерских услуг».
Сотрудники CERT-GIB совместно со специалистами СДЭК и Авито подготовили рекомендации, как не стать жертвой мошенников:
- Большие скидки на технику - один из признаков того, что «лот-приманка» на сайтах бесплатных объявлений создан мошенниками. Будьте осторожны.
- Пользуясь услугами сервисов по продаже новых и б/у товаров, не уходите в мессенджеры, ведите всю переписку только в чате сервиса.
- Не заказывайте товар по предоплате - оплачивайте только тогда, когда получили товар и убедились в его исправности.
- Прежде, чем ввести в какую-либо форму данные своей банковской карты – изучите адрес сайта, «загуглите» его и проверьте, когда он был создан. Если сайту пара месяцев – с большой долей вероятности он мошеннический. Доверяйте только официальным сайтам. Например, сайт — cdek.ru, а остальные адреса — прямо указывают на подделки.
Сообщить о мошеннических сайтах можно по телефону «круглосуточной линии» +7 (495) 984-33-64 или на почту response@cert-gib.com