Фишинговый миллиард с объявлений

Хакерские группировки набирают сотни «бойцов» и обучают их по мануалам

Объемы мошеннических операций на российских онлайн-площадках за 2020 год приближаются к миллиарду рублей. Чаще всего преступники используют фишинговые сайты для выманивания денег. Хакерские группировки значительно расширились, привлекая сотни «солдат», которые получают процент от похищенных сумм. Теперь над криминальными схемами трудятся целые подразделения по разработке сайтов, чат-ботов, производству «левых» банковских карт, подделке документов. Причина растущего числа хищений связана с запуском новых сервисов бесконтактной оплаты, которые еще не изучены потребителями.


КАК МЕНЯЛСЯ СОСТАВ ХАКЕРСКИХ ГРУППИРОВОК

Вот типичный пример жертвы мошенников на Avito. В редакцию RSpectr написал человек, который пытался купить приставку SonyPlaystation 5 по частному объявлению на Avito. Вместо контактных номеров стояла отметка «продавец предпочитает общаться через сообщения». При обращении приходил ответ: «Я приставку продал, уже едет покупатель, но брал на www.sonyPS-5.com». Изумленный добротой человек открыл сайт, позвонил по указанному на нем номеру и ему сообщили, что товар есть и завтра доставят. Покупатель внес через «Интеркассу» предоплату в 60 тыс. рублей и стал ждать. Ему перезвонил «начальник курьерской службы», подтвердил доставку, а на следующий день сообщил про ЧП на складе и сдвинул сроки. Через несколько дней телефоны сайта стали недоступны.

«Действительно, недавно Avito наводнили предложения о готовности помочь с покупкой PlayStation 5. Такие схемы появляются с каждым громким релизом дорогой техники», – рассказал RSpectr начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд.

Эксперт отметил, что чаще всего создаются объявления, где популярный товар предлагают по бросовой цене, в разы ниже рыночной. Например, новый iPhone за 20 тыс. вместо 60 тыс. рублей.

Мошенники пытаются вывести «мамонта», так называют жертву, за пределы экосистемы площадки, убеждая сообщить данные или перевести деньги в обход стандартных для сервиса процедур, например, инструмента «безопасная сделка».

Поскольку маржинальность одной мошеннической сделки в среднем небольшая, то для увеличения общей выручки хакеры стали массово привлекать «воркеров» – рядовых исполнителей

Эти неквалифицированные «солдаты» группировки контактируют с «мамонтами» для выманивания денег.

Алексей Дрозд, «СёрчИнформ»:

– В схеме потенциально задействовано большое число людей. У каждого свой участок работы: верстка фишинговых лендингов, покупка доменов, прозвон жертв, закупка банковских карт, подделка товарных накладных, чеков. Схемы хорошо описаны в мануалах преступников и давно отработаны, поэтому порог входа, с точки зрения технических навыков, низкий. Особенно на рядовые должности, подразумевающие общение с жертвами.

Сервис разведки утечек данных и мониторинга даркнета Data Leakage & Breach Intelligence (DLBI) проанализировал с октября 2019-го по октябрь 2020 года 116 активных группировок из чуть более 200 существующих на данном рынке.
«В 59 из них больше 100 “воркеров”, а в 13 – более 1000. В самой крупной по количеству выплат группировке состоит около 800 “воркеров”», – сообщил RSpectr основатель DLBI Ашот Оганесян.

Обычно доход «воркеров» составляет от 15 до 30% от всей прибыли, сообщил RSpectr директор блока экспертных сервисов BI.ZONE Евгений Волошин.

Этим летом была выявлена сложная схема на Avito. Злоумышленники скопировали процедуру верификации сделки на всех этапах, начиная от звонка от «Авиторобота», смс-сообщения до собственно фишингового сайта avitosecurity.ru, куда подтягивалась информация о товаре.

Евгений Волошин, BI.ZONE:

– Таргетированные фишинговые ссылки генерируются под конкретное объявление, с сохранением стилистики. На фальшивой странице указано то же имя продавца/покупателя, что и на официальной площадке, скопированы фото настоящего объявления, цена товара, город. Все, что необходимо «воркеру» для генерации такой ссылки, – нажать на кнопку в телеграм-боте.

«Если раньше злоумышленники чаще атаковали крупные зарубежные площадки/бренды, то сейчас наблюдаем активность, особенно нацеленную на сервисы России», – рассказал RSpectr заместитель руководителя отдела мониторинга и реагирования на инциденты информационной безопасности CERT-GIB компании Group-IB Яроcлав Каргалев.

Эксперты полагают, что 

одна из причин роста хищений через маркетплейсы – внедрение новых цифровых сервисов на онлайн-площадках с объявлениями

Люди пока мало знают о том, как они работают. К тому же считают, что ради 2-5 тыс. рублей преступники не будут применять высокие технологии: рисовать чеки, создавать полные копии официальных сайтов. Обыватель не подозревает, что криминальное программное обеспечение уже массово продается на черном рынке интернета.


СКОЛЬКО ЗАРАБАТЫВАЕТ «СОЛДАТ» У ХАКЕРОВ

По итогам прошлого года Центробанк насчитал свыше 3 млрд рублей ущерба от действий мошенников, говорит А.Дрозд. Какой процент из этих потерь приходится на махинации именно в маркетплейсах, ЦБ не указывал, но, по крайней мере, ясно, что доля поступательно растет – в соответствии с общим ростом преступлений в цифре на 70% с января по октябрь 2020 года, напомнил эксперт.

Основатель компании «Антифишинг» Сергей Волдохин считает, что

до 1 млрд рублей в 2020 году мошенники смогли незаконно получить через сервисы объявлений

В преддверии «черной пятницы» и «киберпонедельника» количество фишинговых атак возрастает вдвое, рассказал он RSpectr.

СПРАВКА

Доходы участников группировок на онлайн-площадках по месяцам и должностям за октябрь 2019 - октябрь 2020 г.г. 

Общая сумма всех мошеннических транзакций составила 666 млн рублей. 

Средняя сумма одной транзакции равнялась почти 6 тыс. рублей.

Максимальная сумма – 200 тыс. рублей. 

Наибольшее число транзакций у одного «воркера» достигало 488, а средний заработок «солдата» за весь период – 28 тыс. рублей.

Максимальный заработок одного «воркера» за год – 1,53 млн рублей.

Средний заработок организаторов одной группировки за весь период – 1,8 млн рублей.

Максимальный заработок организаторов одной группировки за весь период – 22,5 млн рублей.

Лидером по числу мошеннических транзакций и денежной сумме стала площадка «Авито» – 55,589 транзакций и 306,4 млн рублей соответственно.

Источник: DLBI

Поймать преступников крайне сложно, поскольку организаторы чаще всего находятся за рубежом. Рядовые исполнители не имеют никакой информации о своем руководстве, поэтому их поимка не выведет на ключевых лиц. В России, как правило, живут те члены группировок, которые занимаются закупкой «пластика» – чистых банковских карт для обналичивания денег.


КАК НЕ СТАТЬ ЖЕРТВОЙ МОШЕННИКОВ

Пользователям «Авито» и любого другого сервиса стоит придерживаться процедур, предусмотренных площадкой. Это касается покупок, механизмов общения с собеседником, заказов доставки, билетов, любого другого предоставления данных.

Алексей Дрозд, «СёрчИнформ»:

– Включайте сомнения всякий раз, когда вас подталкивают к выполнению нестандартных действий: перейти на другой сайт и ввести платежные данные, переслать код из SMS и другое. Фишинговые страницы очень похожи на оригинальные, но проверить сайт на фейк несложно. Нужно прогнать название домена в любом сервисе whois. Он дает информацию о том, когда и кем был зарегистрирован домен. Должно насторожить два фактора: если сайт был зарегистрирован недавно и на частное лицо.

Владелец юридической компании в сфере цифровых технологий «Катков и партнёры» Павел Катков рассказал RSpectr, какую сетевую гигиену важно соблюдать. Не использовать по возможности чужой Wi-Fi; применять двухфакторную идентификацию; привязать пароли к телефону, отличному от основного телефона, с которого осуществляется доступ; создавать разные и по возможности сложные пароли; не хранить и не пересылать логин и пароль вместе, сообщил юрист.

Алексей Сизов, «Инфосистемы Джет»: 

– Популярные площадки по размещению объявлений, как правило, содержат рекомендации по безопасности. Не стоит пренебрегать изучением этой информации перед попыткой что-либо купить или продать на подобных ресурсах.

Сергей Волдохин, «Антифишинг»:

– Для того чтобы получить выгодное предложение и совершить безопасную покупку, лучше не откликаться на рекламу в социальных сетях, интернете и не переходить по ссылкам из писем в почте. Чаще всего мошенники предлагают людям оплатить покупки на сторонних сайтах, а не через сервис объявлений.

Изображения: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ: 

«Угнать» домен за 30 минут
Как не потерять свой сайт и репутацию из-за киберсквоттеров