«Охота на мамонта»: Group-IB исследовала мошенническую схему с фейковыми курьерскими сервисами

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, направила на блокировку почти 250 фишинговых ресурсов, работающих по схеме с фейковой курьерской доставкой товаров, заказанных через Интернет. Пользуясь ограничениями, связанными с самоизоляцией, мошенники похищают деньги и данные банковских карт пользователей с помощью фишинговых сайтов популярных курьерских служб. Эксперты CERT-GIB исследовали деятельность, структуру и механизм заработка нескольких групп, зарабатывающих на «курьерской схеме». Ежедневный оборот только одной из них превышает 200 000 руб.

Режим карантина, введенный для профилактики заболеваний COVID-19, по разным оценкам, увеличил спрос на услуги курьерской доставки на 30%-40%. Покупатели все чаще заказывают товары в интернете, стараясь не выходить из дома и при этом экономить. Этим решили воспользоваться злоумышленники, активировав мошенническую схему с поддельным сервисом курьерской доставки. Впервые появление этой схемы специалисты Центра реагирования на киберинциденты CERT-GIB зафиксировали в августе прошлого года, после обращений ряда пострадавших. Однако пик активности пришелся на весну 2020 года. В целом, за последние полгода количество регистраций фишинговых доменов, направленных на бренды курьерских служб, выросло в 7 раз.

Приманка для «мамонта»: как работает схема

На популярных сервисах бесплатных объявлений злоумышленники размещают так называемые «лоты-приманки» — объявления о продаже по намеренно заниженным ценам товаров, рассчитанных на разные целевые аудитории – это фотоаппараты, игровые приставки, ноутбуки, смартфоны, бензопилы, звуковые системы для авто, швейные машинки, коллекционные вещи, товары для рыбалки, спортпит и др. Оба сервиса борются с подобными типами мошенничества, однако лже-продавцы постоянно создают способы обхода блокировок своих сообщений.

Покупатель, заинтересовавшись выгодным предложением, связывается с продавцом во внутреннем чате сервиса. «Продавец» предлагает продолжить обсуждение покупки и доставки товара в одном из популярных мессенджеров — якобы для удобства клиента. На самом деле, мошенник умышленно уводит покупателя на стороннюю площадку, чтобы служба безопасности сервиса не могла его отследить и помешать «сделке».

Мы блокируем возможность вставлять ссылки на внешние ресурсы в мессенджере Авито во избежание мошеннических схем с фишингом. Компания технически контролирует все процессы на платформе, однако, если пользователь уходит в сторонние мессенджеры для совершения сделки, мы уже не можем отследить его действия. Именно поэтому мы стараемся максимально возможными способами предупредить пользователя, показываем ему предупреждение о том, что он покидает сайт. Авито советует не переходить по баннерной рекламе, ссылкам из электронных писем, из сообщений в чатах и соцсетях от незнакомых людей.

Андрей Рыбинцев

Директор Trust & Safety Авито

Заманив жертву в чат мессенджера, злоумышленники запрашивают у нее контактные данные (ФИО, адрес и номер телефона) якобы для оформления доставки через курьерскую службу. Затем жертве присылают ссылку якобы на один из сайтов популярных курьерских служб. На деле сайт оказывается фишинговой страницей традиционно полностью копирующей дизайн курьерского или почтового брендов и использующей доменное имя, похожее на оригинальное. Естественно, подлинные сервисы доставки не имеют к этим сайтам никакого отношения.

Мошенники активно используют фейковые сайты, дублирующие интерфейс cdek.ru: если не обратить внимание на сам адрес, можно не заметить подлога и отправить деньги мошенникам. Чтобы ликвидировать сайты мошенников, мы начали сотрудничество с компаний Group-IB, взаимодействуем с правоохранительными органами, площадками интернет-торговли и другими логистическими компаниями.

Станислав Горбатовский

IT-директор СДЭК

Здесь, на фейковой странице заказа, злоумышленник сам заполняет форму для отправки посылки, используя полученные от покупателя данные. Жертве предлагается проверить корректность информации и совершить оплату товара, введя данные своей банковской карты. Цель мошенника достигнута: покупатель теряет и деньги, и данные карты, при этом оставаясь без товара. Средний чек одной такой «покупки» составляет примерно 15 000-30 000 рублей.

Охота с продолжением

Зачастую на этом мошенники не останавливаются. Часть жертв обманывают повторно — «разводят на возврат». Через некоторое время после оплаты товара покупателю сообщают, что на «почте» произошло ЧП. Легенда может быть любой, например, сотрудник почты якобы пойман на краже, а заказанный товар конфисковала полиция, поэтому для компенсации перечисленной суммы необходимо оформить «возврат средств». Понятно, что на деле с карты происходит повторное списание той же суммы.

Dreamer Money Gang: админы, воркеры и прозвонщики

В ходе исследования «курьерской схемы» командой CERT-GIB выявлены десятки разрозненных преступных групп, специализирующиеся именно на этом типе мошенничества. Роли в группе и размер вознаграждения каждого участника четко распределены. Коммуникации, обучение «новичков» и внутренняя бухгалтерия организованы с помощью телеграм-ботов.
Костяк группировки составляют «админы», они же «саппорты» или «модераторы», которые занимаются регистрацией доменов, созданием фишинговых ресурсов под фейковые «курьерские службы», а также рекрутингом и распределением похищенных денег.

На некоторых андеграундных форумах или в телеграм-каналах админы по объявлению нанимают сотрудников — «воркеров», которые размещают многочисленные «объявления-приманки» на популярных сервисах бесплатных объявлений, общаются с жертвами (их чаще всего именуют «мамонтами») в мессенджерах и отправляют их на фишинговые страницы «курьерских сервисов» для оплаты товара.

Все сделки и транзакции «воркеров» отображаются в телеграм-боте: сумма, номер платежа и ник-нейм «воркера». В одном из чат-ботов фигурируют многочисленные переводы на суммы от 7 300 до 63 900 рублей — сначала деньги падают на счета «админа», затем он распределяет доходы на остальных участников группы. Как правило, «воркеры» получают 60%-80% от суммы транзакции в криптовалюте — «админы» оперативно переводят деньги им на криптокошельки.

Схему с «возвратом» отрабатывают так называемые «прозвонщики» или «возвратчики», выступающие в роли «операторов» «службы поддержки» курьерских сервисов. Связавшись с жертвой по телефону или в мессенджерах, они предлагают оформить возврат. Как и описано выше: при этом происходит повторное списание средств с карты потерпевших. Прозвонщик может получать как фиксированную сумму, так и процент от украденных денег — от 5% до 20%. Крайне редко в роли прозвонщиков выступают сами воркеры, поскольку прозвонщики — узкопрофильные специалисты, обладающие хорошо прокаченным навыком социальной инженерии, четким поставленным голосом и готовностью с ходу ответить на самые неожиданные вопросы сомневающихся покупателей.

Игра по-крупному

При этом абсолютно все преступные группы заинтересованы в масштабировании своего бизнеса и привлечении свежих сил. Например, одна из крупных преступных групп, называющая себя Dreamer Money Gang (DMG), нанимает воркеров через телеграм-бот и обещает обучение, «лучшие домены на рынке» и быстрые выплаты без скрытых процентов. Ежедневный оборот DMG превышает 200 000 рублей.

Востребованность во время пандемии услуг доставки привела к взрывному росту популярности „курьерской схемы“ — сейчас мы наблюдаем около 100 объявлений на хакерских форумах, где группы рекламируют свои услуги и ведут активный рекрутинг исполнителей. Мы еще раз обращаем внимание пользователей служб доставки и сервисов бесплатных объявлений о необходимости проявлять бдительность: мошенников в сети сейчас больше, чем когда-либо. Мы активно блокируем подобные мошеннические ресурсы, однако они могут появляться вновь, учитывая востребованность курьерских услуг.

Александр Калинин

Глава CERT-GIB

В ходе отработки «курьерской схемы» специалисты Group-IB связались с представителями компаний служб курьерской доставки и сервисов бесплатных объявлений для предупреждения об активизации мошенников. Данные обнаруженных ресурсов специалисты CERT-GIB регулярно направляют регистраторам доменных имен для их дальнейшей блокировки (разделегирования). Сообщить о мошеннических сайтах можно по телефону «круглосуточной линии» +7 (495) 984-33-64 или на почту response@cert-gib.com