Во второй части обзора о развитии криминальной скаминдустрии авторы анализируют события с 2018 по 2022 гг. Эксперты подробно рассказывают об автоматизации инструментов, возрастающей роли Telegram-ботов, мировой экспансии схемы «Мамонт» и развитии скамерской субкультуры. Если пропустили начало — не беда, первую часть обзора можно прочитать в нашем блоге.
Звенящие треки гангста-рэпа
В период 2018-2020 гг. количество и масштабы мошеннических групп стремительно росли. Воркеры — рядовые работники — были ограничены только доступностью SIM-карт, которые требовались для регистрации на площадках и переписки с жертвами. Эта проблема решалась сервисами аренды абонентских номеров. Все остальное – фотографии товаров и шаблоны объявлений – было доступно на тех же площадках.
Поскольку повышать долю воркера выше условных 80-90% было уже нерентабельно, для привлечения исполнителей группы начали улучшать условия их работы. Так в арсенале злоумышленников появились Telegram-боты, заменившие административные панели. Теперь все необходимое для работы исполнителя сосредоточилось в одном мессенджере: создав объявление, воркер отправлял боту ссылку – и тут же получал готовую фишинговую страницу. Успешно обманув человека, воркер получал от бота уведомление с указанием его доли, и мог сразу же потребовать у ТС (Topic starter, организатора) свою выплату.
Схема работы была проста, эффективна и прозрачна для всех участников, и она требовала все больше и больше людей. Конкуренция за воркеров начала выражаться не только в рыночных, но и в маркетинговых механизмах: организаторы групп нанимали дизайнеров для художественного оформления своих тем, проводили между воркерами конкурсы, заказывали звенящие треки в жанре гангста-рэпа.
Со временем организаторы групп столкнулись с проблемой роста. В состав отдельных команд входило несколько сотен воркеров, которые, несмотря на автоматизацию процессов хищения, требовали немало административных усилий. ТС увязали в замене заблокированных доменов, выплатах, решении мелких конфликтов и консультациях. Некоторые группы решили эту проблему созданием административного аппарата – по сути множеством «суппортов», которые брали на себя часть этой рутины.
Мы не халявщики. Мы — партнеры
Некоторые группы переформатировались в партнерские программы. В «партнерке» под началом одного организатора действовало несколько «ТС», управлявших внешне независимыми командами. Каждая из них имела собственную тему на форуме, конференцию, Telegram-ботов и фишинговые домены. При этом технически все они пользовались одним и тем же сервером, на котором работал общий для всех скрипт, генерирующий фишинговые страницы.
Новыми «ТС» в партнерках становились успешные воркеры. Они хорошо представляли себе механизмы работы, умели набирать собственные команды и обучать новичков. Доля такого «ТС» в хищении была невелика: после выплаты 80% воркеру и 10-15% владельцу партнерки оставалось не так уж и много, но зато он получал ее от каждого хищения, совершенного командой.
Состав партнерской программы не декларировался, но прослеживался из общей для нескольких групп инфраструктуры фишинговых доменов и серверов, а также из сообщений на форумах. Члены партнерки активно комментировали темы и профили друг друга, рекомендуя новых «ТС» как «надежных и порядочных».
Постепенно совершенствовались и механизмы фишинга: на страницу внедрялись формы обратной связи, а в составе групп появились «возвратеры», действовавшие под видом сотрудников техподдержки площадок.
Весной 2020 года началось использование схемы «2.0», посредством которой обманывали не покупателей, а продавцов товаров. Осваивались новые поля деятельности: после популярных маркетплейсов жертвами воркеров становились клиенты сервисов каршеринга или совместных поездок и других популярных сервисов.
Рос рынок сопутствующих услуг: появлялись магазины продажи аккаунтов, отрисовщики документов и фотографий, автоматические парсеры объявлений, абузоустойчивые хостинги. Появилось множество скриптов для генерации фишинговых ссылок, которые можно было не только купить, но и взять в аренду. Теперь новоиспеченный ТС мог вообще не связываться с арендой хостинга и установкой скриптов – достаточно было указать специальному Telegram-боту свой домен и карту для приема похищенных средств.
Одновременно развивалась специфическая субкультура. Группы порождали множество специфических мемов, высмеивая незадачливых мамонтов, иронизируя над неудачными попытками мошенничества и задержанными злоумышленниками. Основной площадкой для этого контента ожидаемо стал Telegram. Десятки скамерских групп образовали собственную медийную инфраструктуру. Там рекламируются сервисы, набираются воркеры, конфликтуют и деанонимизируют друг друга.
Рис. Примеры мемов, стикеров и оформления скам-сообществ
«Мамонт» покоряет мир
В течение 2020 года скамеры практически полностью оккупировали все площадки объявлений в России. Следующим шагом стало освоение зарубежных рынков в 2021-2022 годах. Первыми жертвами скамеров стали площадки объявлений стран СНГ – белорусский Куфар, украинский и казахстанский филиалы OLX, популярный в Киргизии Lalafo. При этом схема не изменилась технически или организационно, достаточно было адаптировать скрипты для работы с новыми платформами.
Переход от стран СНГ к европейским площадкам занял у скамеров гораздо больше времени. Помимо языкового барьера, они столкнулись со сложностями с обналичиванием похищенных средств. Виртуальные карты, широко доступные в России, оказались бесполезными в Европе. Для приема платежей требовались карты местных банков, которые было не так просто достать, да и процессы вывода средств оказались более сложными.
Впрочем, эта проблема просуществовала недолго. Хищения у жителей страны Европы приносили на порядок больше денежных средств, чем аналогичные операции в России и СНГ. Это полностью перекрывало сложности вывода и обналичивания. Скамеры достаточно быстро переняли и адаптировали методы сообщества кардеров. Банковские карты с невысоким балансом, невостребованные для вбива и доступные на рынке по бросовым ценам прекрасно подходили для приема денежных средств от европейских «мамонтов».
В составе работающих по Европе групп появилось множество «вбиверов», а воркеры начали подстраиваться под их активность и доступность. Теперь отдельные хищения совершались не так быстро, стоимость обналичивания выросла почти до классических 50%, но эти хищения были более прибыльными и намного более безопасными. Вероятность задержания при обмане европейцев невелика, учитывая сложности международного взаимодействия полиции разных стран.
Современные группы скамеров предоставляют возможность генерировать фишинговые страницы под десяток различных площадок разных стран – охвачена не только Европа, но и платформы азиатского региона. Из-за особенностей работы сервисов объединять весь функционал в скромном интерфейсе Telegram-бота стало сложнее, и некоторые группы вновь вернулись к административным панелям. Формируется иерархия исполнителей – более прибыльные сервисы Европы доступны только опытным воркерам, а новичкам предлагают работу по России и СНГ. В отдельных группах для самых эффективных исполнителей действуют «элитные конфы».
Бурное развитие скамеров привлекло много внимания к породившим их форумам. В публикациях стали часто появляться скриншоты и псевдонимы с Lolz и аналогичных площадок. Администрация сообщества отреагировала точно так же, как XSS и Exploit отреагировали на ситуацию с Ransomware – темы скамеров, даже не работающих по России и СНГ, оказались под запретом, хотя услуги разработчиков, поставщиков аккаунтов и прочих материалов для успешного «ворка» все еще вполне доступны.
Впрочем, это не слишком отразилось на активности групп – основной состав участников давно сформирован, а новичков успешно привлекают через рекламу в тематических каналах Telegram и даже в TikTok.
Мы можем продолжать писать бесконечно, но пока остановимся на этом. Продолжение следует.
Расследования F.A.C.C.T.