Eng

«Двойной обман»: мошенники предлагают вернуть деньги, похищенные мошенниками

9 апреля 2020 г. 10:00

Участник «Сколково» Group-IB зафиксировал распространение новой волны интернет-мошенничеств: пользователям, уже пострадавшим от преступников, предлагают получить компенсацию ущерба, но вместо этого списывают деньги и похищают данные банковских карт. Одной из самых успешных интернет-афер остается схема «Двойной обман», которая этой весной активизировалась в интернете.

На фоне перехода на «удаленку» в условиях пандемии коронавируса интернет-мошенники активнее используют проверенные психологические приемы с социальной инженерией.

Злоумышленники действуют под видом несуществующих организаций — Международной службы «Единый центр возвратов», «Национального Лотерейного Содружества», «Центра финансовой защиты» и др. Помимо стандартного привлечения жертв через рассылку по почте, в мессенджерах или соцсетях, мошенники для формирования доверия используют фейковые СМИ с интервью тех, кто якобы уже получил возврат денег.

Сценариев у схемы несколько – мошенники предлагают возместить деньги за участие в популярных фейковых опросах, give away или «недобросовестных» лотереях. В другом случае обещают компенсацию НДС за расходы на покупку иностранных товаров: лекарств и БАДов, одежды и обуви, продуктов питания, топлива, стройматериалов, бытовой техники и т.д. Мошенники активно используют «синдром обманутого вкладчика» — так, в 90-е годы, жертвы финансовых пирамид, поддавшись на вирусную рекламу возврата потерянных средств, добровольно несли оставшиеся деньги в структуры типа «МММ» и вновь оказывались жертвами аферы. 

Group-IB исследовал инфраструктуру одного из мошеннических ресурсов — Международной службы «Единый центр возвратов» (ЕЦН), и обнаружил целую сеть связанных сайтов, включавшую более 170 доменных имен, зарегистрированных на одно и то же лицо. Параллельно с ЕЦН работает ее схема-клон: от лица “Национального Лотерейного Содружества” посетителям обещают страховую выплату за “недобросовестную” деятельность организаторов лотерей.

Рис. 1 Связанные домены схема «Двойной обман», исследованные с помощью системы графового анализа Group-IB.

Пытаясь избежать блокировок, мошенники уходят из Рунета. Если два года назад доменной зоне ru. были зарегистрированы всего несколько сайтов с предложением компенсаций, то в конце 2019 года появились порядка 200 доменов в международной доменной зоне .xyz (именно здесь часто регистрируют образовательные, инженерные и юридические ресурсы, —прим Group-IB), чтобы избежать быстрой блокировки. В марте 2020 года появились три десятка новых доменов под схему с компенсацией НДС. 

Атака, как правило, начинается с рассылки в мессенджерах, по почте или в соцсетях. Эксперты CERT-GIB предполагают, что мошенники проводят свои рассылки, как «на холодную» , так и таргетировано, по жертвам прошлых афер, поскольку в различных схемах (например, «Кроличья нора») злоумышленники специально собирают данные пользователей — ФИО, телефоны или адреса электронной почты, чтобы использовать их повторно для рассылки спама или ссылок на новые мошеннические акции.  

В кейсе с компенсацией НДС была выбрана более изощренная модель продвижения: мошенники рекламировали в группах local.yandex фейковое интервью со специально созданного сайта-клона популярного издания  Лента.ру:  "76 летняя пенсионерка получила 170 000 руб компенсации НДС и потратила все деньги на стрептизера» (орфография сохранена). Публикацию сопровождали новости о коронавирусе, самоизоляции и отзывы «счастливчиков», получивших деньги. Из интервью ссылка вела на посадочную страницу, где посетителям предлагали рассчитать сумму компенсации НДС — на сайт «Центра финансовой защиты». 

На сайте «Единый центр возвратов» говорится, что максимальная сумма компенсации составила 250 000  рублей.  В «лотерейной схеме» пострадавшим от лица несуществующего «Национального Лотерейного Содружества» обещают выплатить чуть больше —  до 280 000 рублей, на сайте «Центра финансовой защиты» - до 300 000 рублей. 

Чтобы получить возврат за участие в опросе или лотерее, посетителям необходимо рассчитать сумму компенсации, вбив последние 4 цифры своей банковской карты (на сайте "Центра финансовой защиты" - 6 цифр ). По легенде мошенников, сумма возврата якобы рассчитывается, исходя еще и из IP-адреса посетителя и его локации (страна, город), что, конечно же, является фейком. 

Введя вымышленные цифры, специалисты Group-IB обнаружили, что могут рассчитывать на сумму возврата в 231 926 рублей (компенсация 181 700 рублей + 50 228 рублей «страховка»). Наличие подобной «уязвимости» - ввести можно абсолютно любые цифры -  свидетельствует о том, что мошенники не только завлекали реальных жертв прошлых кампаний, но и просто любопытных посетителей, решивших испытать судьбу. Понятно, что выплаты были одобрены абсолютно всем. Для большей убедительности на сайтах были опубликованы многочисленные позитивные отзывы и «истории успеха» тех «счастливчиков», которые якобы смогли получить компенсацию и не скрывали своей радости.  

После расчета и одобрения суммы компенсации, пользователю необходимо ответить на вопросы «юриста отдела страховых выплат». Его аватарка появлялась тут же во всплывающем окне  «чат-бота» — юрист предлагал пользователю заполнить анкету, указав ФИО и телефон, а затем оплатить его «услуги» за оформление документов. Разумеется, разговор с «юристом» - имитация живого диалога, все сообщения представляют собой заранее подготовленный скрипт для чат-бота, что еще раз свидетельствует о технологичности придуманной схемы.

Чтобы у жертвы не было желания покинуть сайт, злоумышленники угрожают потерей денег, ссылаясь на несуществующий документ — "О страховых возмещениях №319» п22, согласно которому, если в течение 24 часов обманутый пользователь не получит деньги, вся сумма якобы вернется организаторам интернет-опроса. 

Продолжение классическое: для получения компенсации, жертве нужно внести небольшую сумму - как правило до 1000 рублей за юридических помощь в заполнении анкеты. Перейдя по ссылке на новую страницу — пользователь попадал на фишинговый сайт. Здесь уже организаторы «Двойного обмана» запрашивают данные банковской карты — номер, имя владельца, срок действия, CVV-код. Таким образом, как и в более ранних схемах мошенничества, со счета жертвы списывается небольшой «взнос», а данные банковской карты остаются в руках интернет-преступников.