Сотрудники МВД России при поддержке специалистов компании F.A.С.С.T., российского разработчика технологий для борьбы с киберпреступлениями, вычислили и задержали группу мошенников «Jewelry Team». На протяжении полутора лет злоумышленники похищали деньги у россиян, решивших воспользоваться популярным-сервисом поиска попутчиков.
По данным следствия, начиная с сентября 2021 года участники группы, назвавшие себя «Jewelry Team», размещали на онлайн-сервисе совместных поездок фейковые объявления от имени водителей. Тем, кто откликнулся, предлагали продолжить общение не на сайте, а в мессенджере. Жертве скидывали ссылку на фишинговый ресурс (например, такой: blablacari[.]com) и просили перевести предоплату, чтобы забронировать место в машине.
В итоге мошенники получали не только «задаток» в размере от 500 до 1500 рублей, но и данные банковской карты, и могли уже сами списать деньги со счета жертвы. Так, у жителя Саратова с карты похитили 30 000 рублей, а у обманутого кировчанина пытались вывести более 3 млн рублей, однако перевод был вовремя заблокирован банком.
В августе 2022 года по просьбе полицейских специалисты департамента исследования высокотехнологичных преступлений компании F.A.С.С.T проанализировали переписку одного из воркеров группы с Telegram-ботом и, используя систему Threat Intelligence (Киберразведка), проследили историю развития группы, исследовали ее инфраструктуру и установили ее участника.
Лучшие друзья жуликов — бриллианты
Группа «Jewelry Team» была создана в январе 2021 года. Ее основателями, вероятнее всего, были выходцы из старой скам-команды «HAUNTED FAMILY». По другой версии, «Jewelry Team» могла быть самостоятельным подразделением этой большой команды, о чем свидетельствует «партнерская» реклама в группе.
Несмотря на то, что «Jewelry Team» упоминали всего лишь 4 «красивых рабочих домена» эксперты F.A.С.С.T с помощью графа сетевой инфраструктуры Threat Intelligence обнаружили три десятка доменных имен, которые в разное время злоумышленники использовали в качестве фишинговых сайтов для получения предоплаты.
Всего же, по данным F.A.C.C.T. в 2021 году в России компетентными организациями были заблокировано 655 фишинговых домена под онлайн-сервис совместных поездок — услуга пользовалась большой популярностью в регионах, чем и решили воспользоваться мошенники.
Любопытно, что некоторые — самые яркие и благозвучные доменные имена — аферисты «реанимировали», то есть регистрировали заново после истечения их срока блокировки. Эксперты установили владельца двух таких «возрожденных» доменных имен, используемых Jewelry Team. Оказалось, что ранее он был одним из администраторов скамерской группы Diamond Team. Эта группа образовалась почти на год раньше «Jewelry Team», но на момент расследования уже фактически не существовала.
Осенью 2022 года в ходе совместного расследования полицейские и специалисты департамента исследования высокотехнологичных преступлений вычислили и задержали 18-летнего жителя Ижевска, который признался в создании фишингового сайта. До суда ему была избрана мера пресечения в виде подписки о невыезде, однако даже находясь под следствием, он продолжил заниматься скамом и фишингом.
В мае 2023 года МВД сообщила о ликвидации всей преступной группы — задержания и обыски прошли в трех регионах России – в Тюменской и Челябинской областях, а также Удмуртской Республике. Следователем ГСУ ГУ МВД России по Алтайскому краю возбуждено уголовное дело по части 3 статьи 158 УК РФ. («Тайное хищение денежных средств с банковского счёта или электронных денежных средств»). Предполагаемый лидер группы отправлен под домашний арест, один из его сообщников под подпиской о невыезде, другой уже под стражей.
Компания F.A.C.C.T. — единственная частная компания в России, исследующая высокотехнологичные преступления в целях борьбы с компьютерной преступностью. Чтобы не стать жертвой мошенников, специалисты F.A.C.C.T. рекомендуют не совершать предоплату на незнакомых ресурсах, а также вести переписку о предоставлении услуг только на официальном сайте или в специальном приложении сервиса. Эксперты советуют не переходить с официальных сайтов и приложений на сторонние сервисы или в мессенджеры, не открывать подозрительные ссылки и не вводить данные банковских карт на сторонних сайтах.