Поделиться
Group-IB предупредила об активизации аферы по возврату денег, украденных интернет-мошенниками
Group-IB, международная компания, специализирующаяся на предотвращении кибератак, фиксирует распространение новой волны мошенничества, в котором пользователям, уже пострадавшим от интернет-преступников, предлагают получить компенсацию ущерба, но вместо этого списывают деньги и похищают данные банковских карт. Злоумышленники действуют под видом несуществующих организаций — Международной службы «Единый центр возвратов», «Национального лотерейного содружества», «Центра финансовой защиты» и др. Помимо стандартного привлечения жертв через рассылку по почте, в мессенджерах или соцсетях, мошенники для формирования доверия используют фейковые СМИ с интервью тех, кто якобы уже получил возврат денег. CERT-GIB продолжает блокировку мошеннических ресурсов и призывает пользователей быть бдительными.
На фоне тревожной новостной повестки, вызванной пандемией коронавируса, перехода на удаленку и финансовых трудностей в отдельных сегментах бизнеса, интернет-мошенники активнее используют проверенные психологические приемы с социальной инженерией. Одной из самых успешных интернет-афер остается схема «Двойной обман», которая этой весной активизировалась в интернете.
Суть схемы состоит в том, что людям, однажды уже ставшим жертвами интернет-мошенников, предлагают помощь в получении компенсации за ущерб. Сценариев у схемы несколько – мошенники предлагают возместить деньги за участие в популярных фейковых опросах, раздачах или «недобросовестных» лотереях. В другом случае обещают компенсацию НДС за расходы на покупку иностранных товаров: лекарств и БАДов, одежды и обуви, продуктов питания, топлива, стройматериалов, бытовой техники и т.д. Мошенники активно используют «синдром обманутого вкладчика» — так, в 90-е годы, жертвы финансовых пирамид, поддавшись на вирусную рекламу возврата потерянных средств, добровольно несли оставшиеся деньги в структуры типа «МММ» и вновь оказывались жертвами аферы.
CERT-GIB исследовал инфраструктуру одного из мошеннических ресурсов — Международной службы «Единый центр возвратов» (ЕЦН), и обнаружил целую сеть связанных сайтов, включавшую более 170 доменных имен, зарегистрированных на одно и то же лицо. Параллельно с ЕЦН работает ее схема-клон: от лица «Национального лотерейного содружества» посетителям обещают страховую выплату за «недобросовестную» деятельность организаторов лотерей.
Пытаясь избежать блокировок, мошенники уходят из Рунета. Если два года назад в доменной зоне .ru были зарегистрированы всего несколько сайтов с предложением компенсаций, то в конце 2019 г. появились порядка 200 доменов в международной доменной зоне .xyz (именно здесь часто регистрируют образовательные, инженерные и юридические ресурсы), чтобы избежать быстрой блокировки. В марте 2020 г. появились три десятка новых доменов под схему с компенсацией НДС.
Атака, как правило, начинается с рассылки в мессенджерах, по почте или в соцсетях. Эксперты CERT-GIB предполагают, что мошенники проводят свои рассылки, как «на холодную», так и таргетировано, по жертвам прошлых афер, поскольку в различных схемах (например, «Кроличья нора») злоумышленники специально собирают данные пользователей — ФИО, телефоны или адреса электронной почты, чтобы использовать их повторно для рассылки спама или ссылок на новые мошеннические акции.
В кейсе с компенсацией НДС была выбрана более изощренная модель продвижения: мошенники рекламировали в группах local.yandex фальшивое интервью со специально созданного сайта-клона популярного издания «Лента.ру»: «76 летняя пенсионерка получила 170 тыс. руб. компенсации НДС и потратила все деньги на стрептизера» (орфография сохранена). Публикацию сопровождали новости о коронавирусе, самоизоляции и отзывы «счастливчиков», получивших деньги. Из интервью ссылка вела на посадочную страницу, где посетителям предлагали рассчитать сумму компенсации НДС — на сайт «Центра финансовой защиты».
На сайте «Единый центр возвратов» говорится, что максимальная сумма компенсации составила 250 тыс. руб. В «лотерейной схеме» пострадавшим от лица несуществующего «Национального лотерейного содружества» обещают выплатить чуть больше — до 280 тыс. руб., на сайте «Центра финансовой защиты» – до 300 тыс. руб.
Чтобы получить возврат за участие в опросе или лотерее, посетителям необходимо рассчитать сумму компенсации, вбив последние четыре цифры своей банковской карты (на сайте «Центра финансовой защиты» – шесть цифр). По легенде мошенников, сумма возврата якобы рассчитывается, исходя еще и из IP-адреса посетителя и его локации (страна, город), что, конечно же, является фейком.
Введя вымышленные цифры, специалисты Group-IB обнаружили, что могут рассчитывать на сумму возврата в 231926 руб. (компенсация 181700 руб. + 50228 руб. «страховка»). Наличие подобной «уязвимости» – ввести можно абсолютно любые цифры – свидетельствует о том, что мошенники не только завлекали реальных жертв прошлых кампаний, но и просто любопытных посетителей, решивших испытать судьбу. Понятно, что выплаты были одобрены абсолютно всем. Для большей убедительности на сайтах были опубликованы многочисленные позитивные отзывы и «истории успеха» тех «счастливчиков», которые якобы смогли получить компенсацию и не скрывали своей радости.
После расчета и одобрения суммы компенсации, пользователю необходимо ответить на вопросы «юриста отдела страховых выплат». Его аватарка появлялась тут же во всплывающем окне «чат-бота» — юрист предлагал пользователю заполнить анкету, указав ФИО и телефон, а затем оплатить его «услуги» за оформление документов. Разумеется, разговор с «юристом» – имитация живого диалога, все сообщения представляют собой заранее подготовленный скрипт для чат-бота, что еще раз свидетельствует о технологичности придуманной схемы.
Чтобы у жертвы не было желания покинуть сайт, злоумышленники угрожают потерей денег, ссылаясь на несуществующий документ — «О страховых возмещениях №319» п22, согласно которому, если в течение 24 часов обманутый пользователь не получит деньги, вся сумма якобы вернется организаторам интернет-опроса.
Продолжение классическое: для получения компенсации, жертве нужно внести небольшую сумму - как правило до 1 тыс. руб. за юридических помощь в заполнении анкеты. Перейдя по ссылке на новую страницу, пользователь попадал на фишинговый сайт. Здесь уже организаторы «Двойного обмана» запрашивают данные банковской карты — номер, имя владельца, срок действия, CVV-код. Таким образом, как и в более ранних схемах мошенничества, со счета жертвы списывается небольшой «взнос», а данные банковской карты остаются в руках интернет-преступников.
«В последнее время создание фейковых ресурсов, обещающие фантастическое выплаты в 200 тыс. — 500 тыс. руб. за прохождение опроса и give away из схемы "Кроличья нора", заполнение лотереи или анкеты, является довольно прибыльным бизнесом для интернет-мошенников, — сказал руководитель CERT-GIB Александр Калинин. — Вместо обещанных выплат они собирают с доверчивых посетителей сайтов под видом налогов, комиссий за открытие счета или тестовых платежей суммы от 350 руб. до 3,5 тыс. руб., параллельно похищают данные банковских карт. Новая мошенническая схема, которую выявил CETR GIB, нацелена на тех, кто, столкнувшись с интернет-опросами, анкетами или лотереями, однажды уже потерял деньги и цинизм мошенников в том, что они их обманывают повторно».
Эксперты Group-IB предупреждают, что сайты схемы «Двойной удар» продолжают появляться в интернете: наиболее активные ресурсы, часть из которых заблокирована, часть в процессе блокировки.
Данные мошеннических ресурсов специалисты CERT-GIB направлены регистраторам доменных имен для их дальнейшей блокировки.
Поделиться
Короткая ссылка
