Group-IB: кибермошенники, отработав в России схему охоты на «Мамонта», вышли на рынки Европы и США

14 января 2021 г. 14:00

Русскоязычные мошеннические группы, похищающие деньги и данные банковских карт пользователей с помощью фейковых сайтов популярных курьерских служб и маркетплейсов, активизировались в СНГ, Европе и США, зафиксировала международная компания Group-IB. 

Как говорится в сообщении Group-IB, полученном редакцией Sk.ru, против пользователей из Румынии, Болгарии, Франции, Польши, Чехии, США, Украины, Узбекистана, Киргизии и Казахстана работают не менее 20 крупных группировок. В целом, за 2020 год заработок всех преступных групп, использующих данную схему мошенничества, оценивается более чем $6,2 млн. 

Аналитики сколковского резидента Group-IB предупреждают, что отработанная в России схема быстро масштабируется на европейские и американские площадки, куда русскоязычные мошенники выходят с целью увеличения капитализации и снижения риска быть пойманными. 

Первое массовое использование в России схемы «Мамонт» («мамонтом» на сленге мошенников называют жертву) специалисты CERT-GIB и Group-IB Digital Risk Protection зафиксировали еще летом 2019 года после ряда обращений обманутых пользователей. Однако пик мошеннической активности пришелся на весну 2020 года в связи с пандемией, переходом на удаленку и увеличением спроса (в среднем, на 30%-40%) на онлайн-покупки и, соответственно, услуги курьерской доставки. 

«Если летом 2020 года мы заблокировали 280 фейковых ресурсов, эксплуатирующих тему курьерской доставки товаров, то к декабрю их количество выросло в 10 раз — до 3 000 сайтов, — отмечает Ярослав Каргалев, заместитель руководителя CERT-GIB. —  Активное противодействие мошенникам со стороны Group-IB, а также компаний, владеющих курьерскими сервисами и досками объявлений подстегнуло начавшуюся весной online-миграцию мошеннических групп из России в СНГ и страны Европы. Российская зона интернета в очередной раз становится тестовой площадкой, позволяя злоумышленникам масштабировать преступный бизнес на международную арену». 

В настоящее время специалисты Group-IB Digital Risk Protection и CERT-GIB выделяют около 40 активных преступных групп, использующих мошенническую схему с фейковой курьерской доставкой, причем половина из них уже работают вне России. Сама афера не претерпела серьезных изменений, но была локализована под рынки Восточной и Западной Европы, а также стран СНГ.  

На популярных сервисах бесплатных объявлений злоумышленники размещают так называемые «лоты-приманки» — объявления о продаже по намеренно заниженным ценам товаров — фотоаппаратов, игровых приставок, ноутбуков, смартфонов и так далее. Покупатель связывается с продавцом, а тот «обрабатывает» его, создавая атмосферу доверия, и «переводит» дальнейшее общение в мессенджер. 

Несмотря на то, что многие курьерские сервисы и доски объявлений по продаже новых и бывших в употреблении товаров, ведут активную политику защиты пользователей от мошеннической активности, размещая предупреждения на своих ресурсах, это зачастую не останавливает покупателей. 

В мессенджере у жертвы, как правило, запрашивают контактные данные якобы для оформления доставки через курьерскую службу. Затем ей присылают ссылку на один из сайтов популярных курьерских служб для оплаты доставки — на деле сайт оказывается фейковой страницей. В итоге — похищают и деньги, и данные банковских карт.  Сама схема предусматривает варианты продолжения: часть жертв обманывают повторно — «разводят на возврат» — на деле с карты происходит повторное списание той же суммы. 

Примечательно, что до 2020 года специалисты Group-IB фиксировали единичные случаи использования мошенниками в своих схемах зарубежных брендов курьерских сервисов и досок бесплатных объявлений. Однако уже с февраля на форумах появляются предложения использовать фишинговые формы под украинскую версию сайта бесплатных объявлений OLX. В апреле возникли схемы уже с белорусским сайтом бесплатных объявлений Kufar, а также фишинг под CDEK (Беларусь) и Белпочту. К концу августа скамеры освоили украинские маркетплейсы izi.ua, prom.ua и вышли за границы СНГ: появился скам с использованием французского сайта бесплатных объявлений — Leboncoin. Буквально за последний месяц были обнаружены примеры использования польского бренда Allegro и чешского — Sbazar. В ближайшее время, судя по результатам анализа закрытых форумов и чатов, мошенники готовятся задействовать в своих аферах новые бренды: FedEx и DHL Express в США и Болгарии, СДЭК  в Казахстане и США. 

Если в России ущерб от одной мошеннической операции составляет 10 000 — 30 000 рублей, то в Европе он может быть значительно выше за счет более высокой покупательской способности интернет-пользователей, а также их неготовности к подобному виду мошенничества. 

Простота и технологичность схемы «Мамонт» стали причиной резкого роста этого типа мошенничества, чему, в первую очередь, способствует автоматизация менеджмента управления схемой и распространения фишинга через специальные чат-боты в Telegram. В 40 самых активных чатах зарегистрированы более 5 000 уникальных пользователей-скамеров.  

Теперь воркеру достаточно сбросить в чат-бот ссылку на нужный товар-приманку, после чего бот сам генерирует ему полный фишинг-комплект: ссылки на странички курьерских сервисов, оплату и возврат. Существует более 10 разновидностей телеграм-ботов, создающих страницы под зарубежные бренды во Франции, Болгарии, Румынии, Польше и Чехии. Под каждый бренд и страну мошенники пишут инструкции-скрипты, помогающие новичкам —«воркерам» авторизоваться на зарубежных площадках и вести диалог с жертвой на местном языке.   

Кроме того, к чат-ботам прикручены «магазины», в которых можно приобрести аккаунты для различных досок объявлений, электронные кошельки, таргетированные e-mail рассылки, мануалы и так далее, вплоть до найма адвоката, который в случае задержания будет защищать мошенника в суде.  

«Пока масштабированию этой мошеннической схемы в Европе мешают две вещи:  языковой барьер и сложности с обналичиванием средств за рубежом, — говорит Андрей Бусаргин, зам генерального директора Group-IB по направлению Digital Risk Protection. — Как только эти препятствия будут преодолены, мы ожидаем бум мошенничества на западе. Обратной стороной такой популярности стала конкуренция между самими мошенниками, которые часто сами того не подозревая, пытаются обмануть друг друга». 

Group-IB подготовила рекомендации для пользователей курьерских служб и маркетплейсов.

—Доверяйте только официальным сайтам. Прежде чем ввести в какую-либо форму данные своей банковской карты — изучите адрес сайта, «загуглите» его и проверьте, когда он был создан. Если сайту пара месяцев — с большой долей вероятности он мошеннический.

— Пользуясь услугами сервисов по аренде жилья или продаже новых и б/у товаров, не уходите в мессенджеры, ведите всю переписку только в чате сервиса.

— Не заказывайте товар или не заключайте сделку по предоплате — оплачивайте только тогда, когда получили товар и убедились в его исправности.

— Большие скидки или «суперакции» — один из признаков того, что перед вами «лот-приманка», а сам сайт создан мошенниками.