Бойцы СОБРа Росгвардии вместе с оперативниками МВД врываются в квартиру, где через несколько минут полицейские найдут стопки пластиковых карт известных торговых сетей и пачки пятитысячных купюр. Эти кадры из Telegram-канала официального представителя МВД России Ирины Волк сопровождает сообщение о задержании группы злоумышленников, которые с 2023 года занимались хищением товаров в магазинах нескольких регионов, используя фиктивные штрихкоды.
Пожалуй, это первый такой громкий случай, когда скаммерсанты (от «скам» + «коммерсант», так себя называют сами жулики) получили чёткий сигнал от государства: теперь они – преступники, и поймать их на крючок – дело времени. До недавнего времени в сводки попадали редкие единичные случаи, как, например, в 2023 году, когда в Химках по подозрению в мошенничестве задержали 16-летнего студента колледжа. По информации МВД, ему удалось подключиться к внутренней сети магазина, начислить бонусные баллы на карты лояльности и приобрести товар на 280 тыс. рублей со скидкой, близкой к 100%.
Прежде злоумышленники, промышлявшие штрих-кодами, действовали в «серой зоне». В российском законодательстве баллы не приравнены к денежным средствам, и до поры до времени квалификация действий скаммерсантов вызывала вопросы. Создаётся впечатление, что по этой причине многие злоумышленники поверили в свою неуловимость, а некоторые торговые сети решили, что проще заложить убытки от мошенников в цену товаров (или переложить их на законопослушных покупателей, можно посмотреть на ситуацию с разных сторон). Эту версию можно считать одним из факторов, который способствовал развитию подпольного бизнеса на баллах.
Каждая сфера деятельности сталкивается с собственными уникальными рисками информационной безопасности. Фиктивные штрихкоды – та самая боль, с которой отечественный ритейл борется уже несколько лет.
«Баллы», «бонусные рубли», «кешбэк», «промокод», «купон». Эти слова на слуху. Вы ходите в магазин, получаете кешбэк за покупки, ждёте скидку на день рождения, а если курьер слишком долго везёт заказ, надеетесь на персональный промокод. Всё это, в терминах программы лояльности, вариант кешбэка.
Программа лояльности – система привлечения и удержания клиентов с помощью поощрений в виде скидок или бонусов. Среди её целей – увеличение прибыли и сбор данных о потребителях.
Кешбэк – разновидность бонусной программы, при которой клиенту возвращается часть денег от покупки.
Масштаб этой системы впечатляет. Одна из крупнейших торговых сетей России в прошлом году отчиталась, что за всё время существования их программа лояльности охватила свыше 80 млн клиентов. В абсолютных цифрах это больше половины населения нашей страны.
Не все знают, что баллы лояльности тоже становятся товаром. Предметом подпольной торговли. Оценить её масштаб крайне трудно.
В даркнете сложилось, а оттуда перетекло в Telegram целое криминальное сообщество, в котором злоумышленники зарабатывают, продавая виртуальные баллы лояльности и выручают за них реальные деньги.
Откуда злодеи берут баллы? Поначалу похищали из взломанных личных кабинетов пользователей программ лояльности. Потом научились «накручивать» путём манипуляций с программным обеспечением.
У мошенников сложился свой сленг. Кому-то отдельные термины покажутся знакомыми, и немудрено, ведь такими же активно сыпят, например, кардеры.
Нас интересуют автоштрихи – виртуальные карты с балансом, и дампы – их аналог для ценителей материальных вещей, так сказать.
Спойлер: все изображения, ссылки и схемы приводятся исключительно в ознакомительных целях.
Чёрно-белая полоса
Вначале коротко о некоторых терминах, которые в ходу у скаммерсантов.
Автоштрих – штрихкод или QR-код, который содержит данные о бонусах, накопленных пользователем программы лояльности.
Дамп – закодированная строка с аналогичными данными, которую нужно записывать на пластиковую карту с магнитной лентой при помощи устройства, называемого энкодером. Физические карты считаются на подпольном рынке более надёжным товаром, чем автоштрих, который может действовать всего один час.
Энкодер (на сленге скаммерсантов «энка») – устройство для чтения, записи и копирования пластиковых карт с магнитной полосой. Злоумышленники приобретают новые устройства в основном на иностранных маркетплейсах или через посредников, бывшие в употреблении – по объявлениям на популярных отечественных платформах.
Рисунок 1. Инструкция по использованию дампов
Большинству скаммерсантов, которые промышляют баллами, дампы не нужны – хватает автоштрихов. Но они могут записать дампы на кучу болванок (пустых карт) и продавать их желающим по альтернативным каналам. Например, оффлайн-знакомым.
Хозяйке на заметку. Если к вам обратится кто-то из приятелей и предложит за символическую плату воспользоваться его бонусами из какой-нибудь программы лояльности, считайте, что вы узнали его секрет.
Карты с записанными дампами обычно продаются в Telegram-ботах, назовём их «шопами».
Рисунки 2-4. Примеры предложений в мошеннических Telegram-ботах
Рисунки 2-4. Примеры предложений в мошеннических Telegram-ботах
Рисунки 2-4. Примеры предложений в мошеннических Telegram-ботах
На скринах видно – ассортимент «товаров» широкий. Трудно не заметить, что баллы продаются с очень большим дисконтом: иногда за треть стоимости и меньше. 600 виртуальных баллов какой-нибудь торговой сети могут стоить 200 рублей. Покупатель, хотя и не может воспользоваться скидкой по максимуму, всё равно заинтересован в покупке баллов. Для него 400 (600 минус 200) баллов скидки на кассе магазина равносильны экономии 400 настоящих рублей Банка России.
Мошенники внакладе тоже не остаются. Что 600, что 10 000 баллов достаются им ценой намного меньше себестоимости. Выручить за бонусы даже треть номинальной суммы для злоумышленников – это уже выгодная сделка.
Злодеи идут на разные ухищрения, чтобы ускользнуть от радаров служб безопасности торговых сетей, которые как могут стараются мониторить подобные ресурсы. В ход идут спецсимволы (например, @ вместо «а», «v» вместо «в»), намеренные опечатки, пропущенные буквы и эмодзи (известный магазин косметики обозначается значком в виде губной помады, спортивный – баскетбольным мячом и т.д.). Эти уловки затрудняют поиск мошеннических ресурсов в интернете.
Рисунки 5-7. Предложения от ботов, торгующих баллами
Рисунки 5-7. Предложения от ботов, торгующих баллами
Рисунки 5-7. Предложения от ботов, торгующих баллами
Иногда службам безопасности удаётся добиться, чтобы такие боты пометили как скамерские. Однако мошеннический шоп, получивший эту чёрную метку, продолжает действовать как ни в чём ни бывало. Разве что исчезает из поисковой выдачи Telegram. Но это не мешает продавцам криминального товара находить клиентов. Покупатели баллов редко приходят «снаружи». Обычно они обитают в сообществах на базе тематических чатов, администраторы которых вбрасывают ссылки на актуальный магазин с баллами.
Рисунок 8. Правила торговой площадки на странице одного из мошеннических шопов
Сами чаты возникли как способ раскрутки шопов – этакое скамерское SMM. Пользователи таких чатов, как правило, хорошо знают своего «поставщика» – администратора бота, который сам не прочь присоединиться к беседе. В то время как ботов банят и удаляют, чаты (которые часто называются так же, как и шопы) живут практически вечно. Когда шоп перезапускается под новым аккаунтом, в чате снова будут его рекламировать.
Как и многие Telegram-сообщества, скаммерсанты давно обзавелись собственными стикерпаками и мемами, которые отображают их локальные шутки и кредо.
Рисунки 9-11. Типичные мемы и стикеры из сообщества скаммерсантов
Рисунки 9-11. Типичные мемы и стикеры из сообщества скаммерсантов
Рисунки 9-11. Типичные мемы и стикеры из сообщества скаммерсантов
Попали на балл
Если вы уже слышали про торговлю баллами, про «сахарников», которых товарищи по серому бизнесу называют «низшей кастой», то, скорее всего, это было в 2021 году. Тогда об их махинациях начали снимать видео блогеры с большим числом подписчиков, история завирусилась в TikTok – и пошло-поехало.
На какое-то время у всех причастных к подпольному бизнесу на баллах даже создалось впечатление, что их «тему» вот-вот похоронят: настолько велик был приток «цивилов» (на сленге – людей, не принадлежащих к неформальному сообществу постоянных покупателей баллов), которым показалось, что они нашли новый Клондайк и теперь будут всегда «питаться со скидкой» (слоган одного из крупнейших «шопов»).
Естественно, тогда и сам ритейл осознал масштаб проблемы и начал спешно прикрывать лазейки. Например, одна из торговых сетей произвела «девальвацию» баллов. С тех пор один балл сети приравнивается не к одному рублю, а лишь к 10 копейкам, копить баллы стало сложнее, а чтобы потратить их с выгодой, надо иметь на счету много баллов. Прибыль мошенников от взломанных аккаунтов уменьшилась, но до сих пор баллы сети – ходовой товар в ботах.
Оглядываясь назад, можно смело заявить, что в 2021-м по-настоящему всё только начиналось.
Сами скаммерсанты считают «золотым веком» своего криминального бизнеса период с 2016 по 2019 годы. Тогда 100 баллов можно было купить всего за 10 рублей, в 10 раз дешевле номинальной выгоды. Причина – в том, что только-только появившиеся на российском рынке программы лояльности имели множество уязвимостей – как на сайтах магазинов, через которые регистрировались клиенты, так и в их мобильных приложениях. На Хабре можно найти множество статей, посвящённых этой проблеме.
Пандемия ковида и всероссийский карантин 2020 года только расширил эти охваты. Мошенники не могли обойти вниманием взрывной рост популярности служб доставки и стали наживаться на них тоже.
Не всегда это было связано с баллами напрямую. Например, пользователи тематических чатов делились информацией, как пожаловаться на якобы испорченный товар, чтобы за него (а то и за весь заказ) вернули деньги. Распространяли схемы, как создавать свежие аккаунты так, чтобы обходить системы антифрода, манипулируя с номерами телефонов, геолокацией и IP-адресом ради бонусов бесплатной первой доставки и других скидок. Предлагали «дёшево и сердито» купить угнанные аккаунты. Скупали дешёвые баллы и на них приобретали буквально тонны ходовых товаров, таких как сахар и растительное масло, которые доставлялись заказчику на горбу курьеров. Да, это были те же самые «сахарники» с их гружёными под завязку белыми пакетами тележками, которых гоняли из супермаркетов охранники и бдительные кассиры.
В 2021 году две торговые сети, которые изрядно пострадали от действий мошенников, максимально залатали дыры в своих программах лояльности и пересмотрели условия её использования. Так появились лимиты на количество отпускаемого за баллы товара, равно как и ограничения на списание баллов в сутки, и запрет на покупку сахара и растительного масла за счёт бонусов. По сути, оборот баллов стали регулировать аналогично любой реальной валюте.
Вскоре после того, как ритейл начал закручивать гайки, схлопнулась первая Telegram-франшиза, сколотившая состояние на баллах. Владельцы франшизы покинули сцену с деньгами покупателей. Между держателями ботов, которые входили во франшизу и остались не у дел, начались междоусобные войны за клиентов. Они принялись напропалую деанонить (раскрывать личные данные) друг друга, разрушать репутацию конкурентов. В результате этой грызни появились новые лидеры. Они оглянулись по сторонам, увидели непаханые поля и огромные перспективы для мошенничества, после чего с новыми силами продолжили изобретать способы отъёма баллов у ритейла.
На этом этапе бизнес не всегда может оперативно разобраться в проблеме и верно оценить её масштабы:
- логика начислений слишком специфична;
- программы лояльности преимущественно отслеживают финансовую составляющую, а не технические детали;
- действия сотрудников и «ручные» правки не фиксируются в логах;
- бонусные баллы — не деньги, что усложняет квалификацию инцидента.
Департамент расследований высокотехнологичных преступлений подключается, когда нужно не просто зафиксировать инцидент, а выстроить логику исследования и установить причастных:
- выявить источник и механизм атаки;
- восстановить цепочку действий — от интерфейса до Telegram-бота;
- найти и исследовать комьюнити атакующих, установить причастных к атаке;
- зафиксировать цифровые артефакты (логи, дампы, активность устройств);
- оценить масштаб, последствия, и главное — обеспечить сопровождение расследования инцидента в правовом поле.
«Лучший абузер – это моя мама»
Пришло время сказать пару слов о тех, кто приобретает баллы в ботах.
Первая категория – прожжённые мошенники. Самоироничная характеристика одного из таких пользователей «абузер, вор, мошенник, социнженер, торгаш, перекуп» подходит многим участникам этого криминального рынка. Таким пользователям выгодно скупать баллы, чтобы в дальнейшем приобрести на них тот или иной товар, на следующем шаге перепродать его на одном из популярных сайтов бесплатных объявлений либо сбыть в несетевые кафе, шаурмечные или небольшие частные магазинчики – естественно, по цене ниже рыночной. Однако за счёт того, что товар изначально приобретался в торговой сети с очень большой скидкой, скаммерсант всё равно остаётся в плюсе.
Казалось бы, потери от таких серых схем несут только торговые сети. Но потенциальная опасность куда серьёзнее. При приёмке от «абузера-перекупа» дешёвого товара, в том числе скоропортящегося, скорее всего, никто не будет интересоваться сертификатами безопасности или выяснять условия хранения. Именно эта часть деятельности скаммерсанта вызывает наибольшее беспокойство. Вспышки ботулизма, которые произошли летом 2024 года в разных регионах России, напомнили о том, как опасно пренебрегать пищевой безопасностью.
Рисунок 12. Типичный мем из сообщества скаммерсантов
Неспроста в программах лояльности многих торговых сетей установлен запрет на списание баллов для покупки мяса.
Вторая категория – те самые «цивилы» и «нормисы» (на сленге – обычные люди с типичными увлечениями), которые покупают баллы по одной простой причине: из экономии. Среднего возраста, среднего достатка, среди них много женщин. Они узнают о шопах от своих подросших детей или оффлайн-знакомых, вступают в чаты. Порой в чатах от имени таких пользователей пишут восторженные сообщения о том, как на один «штрих» купили «полный пакет продуктов» или накрыли новогодний стол «в два раза богаче и при этом в два раза дешевле, чем в прошлом году». Определить со 100-процентной уверенностью, оставил такое сообщение реальный пользователь или это скрытая реклама с подставного аккаунта, вряд ли получится. Как пишет один из завсегдатаев чата скаммерсантов при популярном, пережившем уже не одну реинкарнацию боте: «Лучший абузер – это моя мама».
Рисунки 13-15. Типичные сообщения из чата скаммерсантов
Рисунки 13-15. Типичные сообщения из чата скаммерсантов
Рисунки 13-15. Типичные сообщения из чата скаммерсантов
Эта категория покупателей баллов, хотя их доля в сообществе может превышать долю настоящих скаммерсантов, с позиции закона и социальной ответственности – самая безобидная. В российском законодательстве баллы не приравнены к денежным средствам, поэтому нельзя говорить о попытках обогащения, а то, что источник происхождения баллов сомнительный – ну так об этом не задумываются большинство из тех, кто их приобретает.
Балловство и не только
Откуда мы знаем, как устроена схема с продажей баллов программ лояльности?
В 2024 году наша команда провела большое исследование этого подпольного рынка, а в 2025-м мы вернулись к теме и выяснили, что изменилось за это время.
Летом прошлого года в Telegram действовали 72 бота, которые торговали бонусами и баллами 55 различных российских сетей и маркетплейсов. Среди них оказались 12 сетевых супермаркетов, 11 сетевых кафе и ресторанов быстрого питания, 5 маркетплейсов, а также ювелирные, косметические и аптечные сети, магазины одежды, детских и зоотоваров, сетевые АЗС. Почти все названия на слуху, многие сети – федеральные, из региональных – только несколько сетей, действующих в Республике Крым.
На момент исследования в 2024 году Telegram ещё не скрывал статистику пользователей ботов за последний месяц. Благодаря этому удалось выяснить, что в самом популярном мошенническом шопе насчитывалось 40 тыс. ежемесячных пользователей, на втором месте по популярности – бот с 29 тыс. пользователей, у бота на третьем месте – 11 тыс. пользователей. Это не так много, как кажется: Telegram считает не пользователей, дошедших до конца сделки, а только тех, кто активировал бота командой /start. Именно три бота-лидера определяли правила игры на криминальном рынке баллов и бонусов: у большинства других ботов насчитывалось от 200 до 2000 пользователей.
Менее чем через год ландшафт криминального рынка серьёзно изменился.
- Каналы и боты в Telegram, через которые ведётся торговля баллами, стали чаще блокировать. Возможно, потому, что администрация мессенджера стала внимательнее относиться к жалобам пользователей на скам. Как результат: количество Telegram-ботов для продажи баллов уменьшилось почти в 2 раза – продолжают работать как минимум 36 «торговых площадок». Однако боты, которые в 2024 году привлекали больше всего пользователей, сохранили лидирующие позиции.
- Вероятно, из-за участившихся блокировок боты стараются маскироваться под законопослушные сервисы — в их описании всё чаще встречаются эвфемизмы. Например: «Цель проекта – создание платформы для сбора и предоставления информации о различных местах, где пользователи могут совершать экономичные покупки или получать услуги». Или: «Магазин цифровых товаров, который приумножает ваш бюджет и экономит до 80% ваших денежных средств!». Однако другие боты сохраняют прямолинейность Останкинской башни и без стыда сообщают, что торгуют баллами и промокодами.
- Деньги от продажи товаров в ботах стали чаще выводить через юридических лиц.
- Ассортиментов предлагаемых «товаров» сократился: из него исчезли некоторые крупные продуктовые сети. Присутствие сетей по продаже детских и спортивных товаров сохранилось на уровне прошлого года. Произошёл резкий рост числа предложений баллов отдельных сетей фаст-фуда и интернет-сервисов, включая маркетплейсы, сервисы доставки еды, продажи билетов.
Крупнейшая франшиза (сообщает о более чем 1 млн подписчиков и свыше 500 подключенных ботов), основной поставщик баллов на подпольный рынок, продолжает развиваться. Недавно она провела ребрендинг ботов и каналов, а осенью 2024 года запустила собственный сервис – предлагала всем желающим оказывать услуги эквайринга за комиссию: принимать средства с различных площадок (читай, тех же Telegram-ботов) и переводить их в криптовалюту. Одним из возможных способов перевода денег могла служить маскировка под выигрыш на ставках. Однако этот проект, похоже, рухнул вскоре после запуска: соответствующий Telegram-канал с почти тысячью подписчиков замолчал ещё в декабре 2024-го.
Пока на торговлю баллами не распространяется чёткая и однозначная характеристика как занятия криминального, подсудного и порицаемого, размещать рекламу таких Telegram-ботов не считают для себя зазорным админы и владельцы русскоязычных каналов, насчитывающих сотни тысяч подписчиков. Зарегистрированных в РКН, кстати.
Обычно подобную рекламу с сомнительными предложениями удаляют в течение суток. Но интернет помнит всё, и в архиве TGstat мы обнаружили несколько таких постов, размещённых в 2025 году в Telegram-канале одного из блогеров с регистрацией Роскомнадзора. У каждого из опубликованных в его канале постов с рекламой сомнительных ботов — более 300 тыс. просмотров за сутки. Владельцам франшиз реклама в таких каналах обходится дорого: сами скаммерсанты в чатах упоминают семизначные суммы. Но от рекламы не отказываются, что позволяет предположить: эти затраты окупаются.
Рисунки 16-18. Примеры постов с рекламой ботов, торгующих баллами программ лояльности, которые были опубликованы, а затем удалены из Telegram-канала, зарегистрированного в РКН.
Рисунки 16-18. Примеры постов с рекламой ботов, торгующих баллами программ лояльности, которые были опубликованы, а затем удалены из Telegram-канала, зарегистрированного в РКН.
Рисунки 16-18. Примеры постов с рекламой ботов, торгующих баллами программ лояльности, которые были опубликованы, а затем удалены из Telegram-канала, зарегистрированного в РКН.
Рисунок 19. Сведения о регистрации в РКН Telegram-канала, публиковавшего в 2025 году рекламу ботов, торгующих баллами программ лояльности.
Конечно, чаты скаммерсантов плохо подходят для проведения социологических исследований. Но если некоторое время их читать, становится очевидно, что большинство их завсегдатаев (тех, кто активно вступает в разговор и оказывается на виду) – молодые люди школьного и студенческого возраста, которые по совместительству распространяют «идеологию баллов» в своих коллективах, а заодно часто являются «воркерами», теми самыми техническими исполнителями, руками которых совершается хищение или накрутка баллов. Но об этом чуть позже.
Те, кто приобретает баллы, чтобы купить сахар для перепродажи и заработать на этом, на первый взгляд, поступают всё же хуже. Ущерб для магазинов очевиден: в недавнем прошлом после нашествия «сахарников» на супермаркет последний рисковал остаться с пустыми полками и без выручки, так как 99% покупки оплачивалось виртуальными баллами.
Рисунок 20. Фрагмент переписки из чата скаммерсантов
По данным, которые приводят админы скаммерсантских ботов (которые, понятное дело, любят прихвастнуть и принизить конкурентов), отдельные шопы могут приносить своим владельцам более 100 тыс. рублей в день от продажи баллов – которые, напомним, торгуются в ботах за половину или даже треть потенциальной выгоды. Нехитрая арифметика показывает, что выручка за каждый день активных продаж у скаммерсантов приносит втрое большие потери магазинам, чьи баллы попали на этот серый рынок.
Важная оговорка: в экономическую модель торговой сети, безусловно, заложен сценарий, когда из-за разнообразных акций, сезонных скидок и прочих бонусов программы лояльности часть товаров продают по ценам даже ниже себестоимости. Если бы для ритейла это представляло серьёзную угрозу, вряд ли магазины устраивали бы такие распродажи.
Бонусы не нарушают равновесие торговых сетей. Даже если вдруг все покупатели придут одновременно и воспользуются баллами для оплаты покупок, магазин выстоит. Беспокоит владельцев бизнеса обычно другое: путь, которым заработанные законным образом баллы меняют «законных» обладателей.
Впервые результатами исследования теневого рынка баллов и сообщества скаммерсантов мы поделились на конференции в Москве в августе 2024 года. А весной 2025-го МВД сообщило о задержаниях подозреваемых в мошенничестве с программами лояльности.
Баллада о баллах
У мошенников два пути получить бонусы: взлом личных кабинетов и использование программного обеспечения.
В первом случае злоумышленники автоматизировали кражи со взломом личных кабинетов пользователей программ лояльности торговых сетей. В качестве отмычки используют несколько инструментов, в том числе:
- Перебор номеров телефонов, чтобы найти активные аккаунты, и последующий подбор паролей (брутфорс). В подборе злоумышленникам помогают утечки баз данных компаний, поскольку многие пользователи имеют привычку использовать один и тот же пароль (или с незначительными различиями) для всех своих аккаунтов, – а это серьёзный риск информационной безопасности.
- Логи стилеров. Эти вредоносные приложения, попадая на устройство жертвы, похищают логины и пароли пользователя, а также другую информацию. Злоумышленники, использующие стилеры, продают полученные данные в даркнете. Среди их клиентов – и взломщики личных кабинетов.
Иногда в перечень собранной вредоносом информации попадают и cookie-файлы, которые устанавливаются на устройство при входе на тот или иной сайт. Пока они не потеряли свежесть, с помощью cookie-файлов любой другой пользователь может на своей рабочей станции сымитировать вход в аккаунт настоящего владельца cookie. Эта схема, в частности, получила широкое распространение для угона аккаунтов конкретно на маркетплейсах. Сookie-файлы – такой же ходовой товар в шопах, как автоштрихи и баллы.
Мошенники распространяют в своих Telegram-чатах подробнейшие инструкции, как использовать cookie-файлы, чтобы не вызвать подозрений антифрод-систем маркетплейсов. Такие рекомендации обновляются вслед за апгрейдами систем безопасности, так что злоумышленники никогда не отстают.
Такие руководства для начинающих жуликов – одна из причин, почему порог входа в ряды скаммерсантов упал до неприличного низкого. Сейчас не нужно обладать никакими специальными знаниями, если всегда найдутся желающие разжевать их и вложить в клюв в легкоусвояемом виде.
При этом факты неправомерного доступа в учётные записи клиентов без доказанного материального ущерба (а мы помним, что баллы – это не деньги) почти не представляют интереса для правоохранительных органов, что в целом создает сложности для намерения ритейла преследовать участников подобных мошеннических схем по закону.
В условиях, когда ущерб «не виден» в бухгалтерии, а правоохранительные органы не спешат реагировать, у бизнеса остаётся один выход — разобраться самому.
Именно в таких ситуациях команда F6 подключается, чтобы помочь:
— выявить факт эксплуатации, даже если нет прямого хищения денег;
— восстановить логическую схему атаки по цифровым артефактам;
— найти уязвимые интерфейсы и слабые места в логике начислений;
— подготовить юридически значимую доказательную базу — для внутренних решений, блокировок или действий.
В таких кейсах особенно важна независимая, структурированная экспертиза. И у нас есть опыт работы с этим — даже когда баллы «не считаются деньгами».
Использование программного обеспечения – путь более заковыристый, приносит мошенникам в разы больше «профита», но и рисков тоже больше.
Объяснять на пальцах, как устроена добыча баллов этим путём, пришлось бы долго. Но в июле 2024 года в Telegram-канале одного из самых известных российских экспертов в сфере ИБ Алексея Лукацкого было опубликовано ранее нигде не встречавшееся видео, которое наглядно иллюстрирует суть способа.
Рисунок 21. Скриншот поста из Тelegram-канала Алексея Лукацкого
Позволю себе процитировать содержание поста: «Заходит в *** (название ресторана быстрого питания) чувак, вскрывает аппарат, ставит устройства для удаленного доступа и несанкционированного доступа к информации и уходит. И хоть бы какой сотрудник спросил его: «А ты, собственно, кто такой и чего в нутрях копаешься?»»
Так всё и происходит. И в ***, и в других сетевых фастфудах: злоумышленник находит в торговом зале какое-либо устройство (обязательно подключенное к внутренней сети, автономные не подходят) и производит с ним некие манипуляции. Из нашей практики: подключает мини-компьютер Raspberry Pi, который либо передаёт на сервер программы лояльности какие-то команды, либо сканирует сеть в поисках других узлов, за которые можно зацепиться, после чего точно так же начинает «общаться» с ними: запрашивает данные или отдаёт директивы.
В примере из поста Алексея Лукацкого на видео фигурирует касса самообслуживания – это популярный объект для подобной атаки. Но нам встречались и скомпрометированные электронные весы, и прайсчекер – устройство на стене торгового зала, которое по штрихкоду сообщает актуальную цену товара (чтобы не приходилось идти на кассу), и сетевой маршрутизатор (там, правда, история менее стандартная: злоумышленник ранее был сотрудником магазина и имел законный доступ к устройству, которым позднее воспользовался в незаконных целях – и всё из-за плохой политики безопасности, заметьте).
Касса самообслуживания оказывается под прицелом из-за того, что она «пробивает» товары и связывает их с пользователем, сделавшим заказ (при условии, что он предварительно вошёл в личный кабинет). От того, какой товар приобрёл клиент, зависит, сколько бонусов он получит.
Обычно за покупку начисляются баллы в размере 1% от стоимости товара, для отдельных категорий (например, любимый товар, товар дня) ставка может быть выше. Таким образом, если покупатель приобрел акционный товар или на сумму больше какого-то значения, сервер программы лояльности немедленно получает информацию об этом и в ответ начисляет пользователю повышенные баллы или бонусы (предположим, 500 баллов за покупку от 5 тыс. рублей). Как правило, сразу свеженачисленные бонусы списать нельзя. Они остаются в личном кабинете до лучших времён.
Что делает Raspberry Pi или любой другой программно-аппаратный комплекс (ПАК) мошенников? Подключившись к кассе, компьютер начинает отправлять в сервис программы лояльности поддельные сообщения о покупке большого количества единиц акционного товара (как один из сценариев, но не единственный).
Например, если в этот день повышенный кэшбек на пирожные, «малинка» может отправить информацию о фиктивной покупке буквально сотен сладостей. Принципиальный нюанс: ложные данные поступают напрямую в программу лояльности в обход бизнес-процессов, которые сопровождают настоящую покупку. Нигде, кроме программы лояльности, продажа товара не фиксируется. Соответственно, оплата не требуется – ни деньгами, ни бонусами.
Ни одно пирожное от этой махинации не страдает, а сама сделка происходит номинально. Однако программа лояльности учитывает все причитающиеся бонусы по повышенному тарифу и записывает их на счёт пользователей, о которых ей сообщил компьютер злоумышленников. В известном нам случае всего за один час работы ПАК на разные карты суммарно было начислено 5 000 000 бонусов. Причём у ритейлера, который подвергся такой атаке, 1 балл при оплате приравнивается к 1 рублю.
Если вы замечаете аномалии в программе лояльности — это может быть не ошибка, а активная схема.
Команда F6 помогает выявить и расследовать такие инциденты:
- находит механизмы злоупотребления;
- восстанавливает логику атак;
- собирает технические и юридически значимые доказательства;
- помогает устранить уязвимости без остановки процессов.
Данные именно этих пользователей впоследствии попадают на витрину очередного Telegram-шопа в виде автоштрихов, где их сможет купить кто угодно, пойти в ближайший магазин и списать баллы со счёта уже на настоящие покупки.
Разберём особенности такой хакерской атаки (по-другому не назовёшь: по сути, злоумышленники получают неправомерный доступ к компьютерной информации, а значит, в их действиях можно усмотреть признаки преступления, предусмотренного статьёй 272 УК РФ).
- Злоумышленникам нужно физически проникнуть на территорию компании. Торговый зал магазина или кафе – не то же самое, что офис или дата-центр, но они тоже контролируются (по крайней мере, должны) сотрудниками службы безопасности. Это не безопасная «удалёнка», как в случае с брутфорсом аккаунтов: шансы попасться выше.
- Злодеи вовлекают в противоправную деятельность сотрудников магазинов: как менеджеров, так и рядовых кассиров, мерчендайзеров, охранников, чтобы через них получать реквизиты доступа и образцы устройств, установленных в магазинах. По-иному трудно представить, как можно разобраться в работе той же кассы самообслуживания и в деталях узнать, как обрабатываются сделанные через неё заказы, чтобы написать вредоносный код, который позволит незаметно (!) обойти логику.
При этом не исключено, что запросы от кассы в программу лояльности и другой бекэнд (скрытая от пользователя часть системы, где осуществляется обработка и управление данными) передаются по незащищённому каналу связи. Тогда заниматься сниффингом (считыванием, анализом и злонамеренным искажением) сетевого трафика может любой человек поблизости с правильно настроенным ноутбуком.
У злоумышленников достаточно возможностей для вмешательства, поэтому нет необходимости искать уязвимости в ПО. Если бы уязвимости были бы единственной лазейкой для злодеев, было бы лучше: проблему можно донести до разработчиков и устранить её.
Чтобы другая сторона приняла команды от устройства злоумышленников, требуется пройти авторизацию. Если злодеям становятся известны реквизиты доступа, значит, есть проблема безопасного хранения данных – это головная боль уже не программистов, а безопасников.
Последним тоже есть над чем задуматься: ПО, которое используется в магазинной технике, всегда проприетарное (закрытое, распространяемое определённым разработчиком на коммерческих условиях) и не находится в открытом доступе, а значит, нюансы его работы известны профильным специалистам, а из таких получаются инсайдеры не хуже прочих.
Предложения работы для wannabe-инсайдеров из различных торговых сетей периодически можно встретить в профильных Telegram-каналах. Иногда мошенников разводят другие мошенники или сотрудники службы безопасности: предостережение «Остерегайтесь фальшивых директоров ***», и это не мем из очередного стикерпака, неспроста можно встретить почти под каждым объявлением о поиске инсайдеров.
Рисунок 22. Типичное объявление в чате скаммерсантов
- Для подобных противозаконных действий нередко привлекают несовершеннолетних. Требования для исполнителя минимальные. Известные случаи говорят нам, что установка ПАК осуществляется по несложной схеме, которая не требует глубокого понимания его работы. В отдельных случаях исполнители получали инструкции, когда находились на месте, дистанционно от неизвестных кураторов, дословно вводя надиктованные команды. Позже эти исполнители не могли воспроизвести свои действия, вероятно, из-за слабого понимания технических аспектов работы.
- Истинные бенефециары схемы (те, кто получает выгоду) остаются в тени. Не факт, что они показываются даже в чатах: владельцы и администраторы Telegram-ботов – сами только пешки, которым дали возможность подзаработать на франшизе. Объявления для франчайзи сулят доход в 50-55% от выручки бота, а также быстрый вывод средств и собственную платформу для автоматизации процесса торговли баллами. Всё, что требуется от админа чата – нагнать аудиторию, которая встанет за баллами в очередь.
Рисунок 23. Предложение присоединиться к франшизе ботов по продаже баллов
Владельцу франшизы выгодно охватить самую разношёрстную аудиторию. Это одна из причин, почему во франшизу могут входить десятки ботов. Одни ориентированы на школяров, которым баллов нужно ровно столько, чтобы хватило на энергетик и шоколадку, другие – на домохозяек, третьими пользуются «перекупы» сахара, масла и курицы, и так далее.
Балльной вопрос
Всё перечисленное в совокупности делает атаки скаммерсантов уникальными в своём роде, а значит, и методы предотвращения этих преступлений должны закрывать бреши, которые порождают саму возможность накрутки баллов.
- Внедрение транзакционного антифрода и обмена данными.
Если в магазине одной торговой сети какую-то транзакцию признали мошеннической (например, когда пользователь оплатил товар баллами с чужого аккаунта; явно пытался обойти правила антифрода, меняя отпечаток устройства; баллы появились в аккаунте без фактической покупки товаров), то соответствующие аутентификационные данные (например, номер телефона, который привязан к аккаунту покупателя) должны быть переданы в магазины других торговых сетей, которые получат возможность превентивно заблокировать таких пользователей.
- Использование службой безопасности данных Threat Intelligence.
Это позволит своевременно узнавать о том, что в профильных Telegram-чатах и на форумах в даркнете снова есть спрос на сотрудников торговой сети для оказания содействия мошенникам, и провести соответствующую профилактическую работу. Также данные Threat Intelligence помогут отслеживать даты, когда в шопах происходит очередной «завоз» баллов: это происходит нерегулярно. Обладая этой информацией, больше возможностей оперативно выяснить, с какими именно событиями и людьми может быть связана такая активность.
- Аудит программы лояльности.
Долгое время отечественный ритейл использовал зарубежное решение. В 2022 году вендор ушёл. С тех пор отечественные компании начали использовать другие разработки, насколько тщательно они проверяются на уязвимости – вопрос. Защищённость этих решений старательно проверяют скаммерсанты: пример с вскрытием кассы самообслуживания прямо в торговом зале это доказывает. Вот только злоумышленники о своих успехах никому не отчитываются. А между тем выставить программу лояльности на Bug Bounty было бы сильной идеей.
- Проверка репутации блогеров, которых привлекают для рекламных кампаний.
Помимо баллов, ценность для скаммерсантов представляют промокоды, которые в рамках программы лояльности магазины выдают своим клиентам. А ещё – инфлюенсерам, которые заключают договор с ритейлом через разнообразные «маркетплейсы блогеров» с тем, чтобы распространять их среди своих подписчиков. Типичный пример, когда YouTube-блогер походя рекламирует какой-то товар и называет свой персональный промокод, воспользовавшись которым, подписчик блогера может купить товар со скидкой. Также промокоды можно разыгрывать среди аудитории.
Рисунок 24. Типичный мем из сообщества скаммерсантов
Многие из этих инфлюенсеров неблагонадёжны, потому что мало кто досконально проверяет их бэкграунд, репутацию, а порой оказывается, что весь их блог – это тот самый канал/чат в Telegram, который целиком и полностью посвящён… бонусным баллам и мошенничеству на этой почве. Цитата с сайта одного из «маркетплейса блогеров»: «Несмотря на высокую окупаемость рекламных размещений у блогеров, только каждый 4-й соответствует минимально необходимым требованиям».
Другими словами, ритейл иногда сам поневоле прикармливает тех, кто будет в дальнейшем его потрошить. Избежать этого хотя бы отчасти помогает внедрение подхода KYC (know your client) в работу с блогерами по аналогии с тем, как это делают банки. Это потребует дополнительных затрат и от ритейла, и от платформ-посредников, кому-то, возможно, придётся овладеть OSINT (Open Source Intelligence, сбор и анализ информации из открытых источников), но в перспективе это необходимый шаг для укрепления как репутации, так и защиты от скаммерсантов.
И напоследок. Реагируя на атаки шифровальщиков, специалисты по кибербезопасности обычно рекомендуют компаниям не платить выкуп: во-первых, потому что это прямое спонсирование вредоносной деятельности злоумышленников, во-вторых, никаких гарантий выполнения обещаний злодеи не дают. Если жертва заплатит, их жадность не насытится, а атаки станут только масштабнее и разрушительнее. Разве чем-то отличаются от них скаммерсанты и их поставщики баллов?
