Распространение COVID-19 привело к резкому росту кибермошенничества в весьма неожиданном секторе — доставке товаров, приобретенных через интернет. Пользуясь ограничениями, связанными с самоизоляцией, мошенники похищают деньги и данные банковских карт пользователей с помощью фальшивых сайтов популярных курьерских служб. Специалисты Group-IB уже направили на блокировку более 250 фишинговых ресурсов.
Эксперты CERT-GIB (центр реагирования на киберинциденты Group-IB) исследовали структуру, деятельность и механизм монетизации нескольких групп, зарабатывающих на «курьерской схеме». По данным специалистов, режим карантина, введенный для профилактики заболеваний COVID-19, по разным оценкам увеличил спрос на услуги курьерской доставки товаров на 30–40%.
Граждане все чаще заказывают продукты питания и ширпотреб в интернете, стараясь не выходить из дома и при этом экономить. Этим и решили воспользоваться злоумышленники, применив мошенническую схему с поддельным сервисом курьерской доставки.Нужно отметить, что впервые появление такого вида мошенничества специалисты CERT-GIB зафиксировали задолго до появления и распространения COVID-19 — в августе прошлого года, когда к ним обратились первые пострадавшие. Но пик активности злоумышленников пришелся на весну 2020 года, когда были введены ограничения. В целом за последние полгода количество регистраций фишинговых доменов, направленных на бренды курьерских служб, по данным экспертов, выросло в семь раз.
Схема кибермошенничеств довольно проста. На популярных сервисах бесплатных объявлений, где продаются различного рода товары, махинаторы размещают так называемые лоты-приманки — объявления о продаже по сильно заниженным ценам самой разнообразной продукции — бензопил, звуковых систем для автомобилей, швейных машинок, снастей для рыбалки, спортинвентаря, игровых приставок и т. п. Сами сервисы борются с незваными «гостями», однако лжепродавцы постоянно находят новые способы обхода блокировок своих сообщений.«Мы блокируем возможность вставлять ссылки на внешние ресурсы в мессенджере «Авито» во избежание мошеннических схем с фишингом,— поясняет Андрей Рыбинцев, директор Trust & Safety «Авито».— Компания технически контролирует все процессы на платформе, однако если пользователь уходит в сторонние мессенджеры для совершения сделки, мы уже не можем отследить его действия».
Когда же потенциальный покупатель проявляет интерес к предложению мошенников, «продавец» предлагает ему продолжить обсуждение покупки и доставки товара в одном из популярных мессенджеров.Делается это якобы для удобства клиента, на самом деле махинатор уводит покупателя на стороннюю площадку, чтобы служба безопасности сервиса не могла его отследить. Далее у жертвы запрашиваются личные данные якобы для оформления доставки, при этом покупателю присылают ссылку на сайт какой-либо популярной курьерской службы. На самом деле это фишинговая страница, полностью копирующая дизайн курьерского или почтового брендов и использующая доменное имя, похожее на оригинальное. К подлинным сайтам служб сервисы этих страниц отношения не имеют. На фейковой странице заказа злоумышленник сам заполняет форму для отправки посылки, используя полученные от покупателя данные. Жертве предлагается проверить корректность информации и совершить оплату товара, введя данные своей банковской карты. В результате покупатель теряет деньги и данные карты, оставаясь без товара. Средний чек одной такой «покупки» составляет примерно 15–30 тыс. руб.
Нередко затем свою жертву мошенники обманывают повторно. Через пару дней после оплаты товара покупателю сообщают, что на «почте» произошло какое-нибудь ЧП: проворовался сотрудник, заказанный товар конфисковала полиция и т. п., поэтому для компенсации перечисленной суммы необходимо оформить «возврат средств». После этого с карты происходит повторное списание той же суммы.
В ходе исследования «курьерской схемы» специалистами CERT-GIB выявлены десятки разрозненных преступных групп, специализирующиеся на этом типе мошенничества.
Роли в группе и размер вознаграждения каждого участника четко распределены. Коммуникации, обучение «новичков» и внутренняя бухгалтерия организованы с помощью телеграм-ботов. Костяк группировки составляют «админы», которые занимаются регистрацией доменов, созданием фишинговых ресурсов под фейковые «курьерские службы», а также рекрутингом и распределением похищенных денег. На некоторых форумах или в телеграм-каналах «админы» по объявлению нанимают сотрудников — «воркеров», которые размещают многочисленные «объявления-приманки» на популярных сервисах бесплатных объявлений, общаются с жертвами (их чаще всего именуют мамонтами) в мессенджерах и отправляют их на фишинговые страницы «курьерских сервисов» для оплаты товара. В одном из чат-ботов фигурируют многочисленные переводы на суммы от 7,3 тыс. до 63,9 тыс. руб.— сначала деньги попадают на счета «админа», затем он распределяет доходы между остальными участниками группы. Как правило, «воркеры» получают 60–80% от суммы трансакции на криптокошельки.
Все преступные группы, отмечают эксперты, заинтересованы в расширении бизнеса. Одна из них, называющая себя Dreamer Money Gang (DMG), нанимает «воркеров» через телеграм-бот и обещает обучение, «лучшие домены на рынке» и быстрые выплаты без скрытых процентов. Ежедневный оборот DMG, по данным специалистов Group-IB, превышает 200 тыс. руб.
«Востребованность во время пандемии услуг доставки привела к взрывному росту популярности «курьерской схемы» — сейчас мы наблюдаем около 100 объявлений на хакерских форумах, где группы рекламируют свои услуги и ведут активный рекрутинг исполнителей,— отметил Александр Калинин, руководитель CERT-GIB.— Мы еще раз обращаем внимание пользователей служб доставки и сервисов бесплатных объявлений на необходимость проявлять бдительность. Мы активно блокируем подобные мошеннические ресурсы, однако они могут появляться вновь, учитывая востребованность курьерских услуг».
Сотрудники CERT-GIB совместно со специалистами СДЭК и «Авито» подготовили рекомендации, как не стать жертвой мошенников:
не «клевать» на слишком большие скидки;
не уходить в мессенджеры и вести всю переписку только в чате сервиса;
не заказывать товар по предоплате;
перед тем как ввести в какую-либо форму данные своей банковской карты — изучить адрес сайта, проверить в Google, когда он был создан: если ему всего пара месяцев, то с большой долей вероятности он мошеннический.
Кроме того, доверять нужно только официальным сайтам, схожие адреса — подделки.
Комментарии