«Мамонт» бродит по Европе: мошенническая схема с курьерскими сервисами развернулась за пределами России | F.A.C.C.T.

«Мамонт» бродит по Европе: мошенническая схема с курьерскими сервисами развернулась за пределами России

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, фиксирует активизацию в СНГ, Европе и США русскоязычных мошеннических групп, похищающих деньги и данные банковских карт пользователей с помощью фейковых сайтов популярных курьерских служб и маркетплейсов. По оценкам аналитиков Group-IB, против пользователей из Румынии, Болгарии, Франции, Польши, Чехии, США, Украины, Узбекистана, Киргизии и Казахстана работают не менее 20 крупных группировок. В целом, за 2020 год заработок всех преступных групп, использующих данную схему мошенничества, оценивается более чем в $6,2 млн. Согласно прогнозам Group-IB, ущерб от «курьерской схемы» до конца года может вырасти.

Аналитики предупреждают, что отработанная в России схема быстро масштабируется на европейские и американские площадки, куда русскоязычные мошенники выходят с целью увеличения капитализации и снижения риска быть пойманными. Борьба со схемой требует дальнейшей консолидации усилий компаний, попадающих в поле зрения злоумышленников, и использования технологий защиты от цифровых рисков для оперативного выявления мошенничества и ликвидации преступных групп.

Изгнание «Мамонта»

Первое массовое использование в России схемы «Мамонт» («мамонтом» на сленге мошенников называют жертву) специалисты CERT-GIB и Group-IB Digital Risk Protection зафиксировали еще летом 2019 года после ряда обращений обманутых пользователей. Однако пик мошеннической активности пришелся на весну 2020 года в связи с пандемией, переходом на удаленку и увеличением спроса (в среднем, на 30% — 40%) на онлайн-покупки и, соответственно, услуги курьерской доставки.

Если летом 2020 года мы заблокировали 280 фейковых ресурсов, эксплуатирующих тему курьерской доставки товаров, то к декабрю их количество выросло в 10 раз — до 3 000 сайтов. Активное противодействие мошенникам со стороны Group-IB, а также компаний, владеющих курьерскими сервисами и досками объявлений, подстегнуло начавшуюся весной online-миграцию мошеннических групп из России в СНГ и страны Европы. Также злоумышленники принялись искать новые ниши, как, например, случилось с появлением сайтов под популярные сайты аренды жилья и букмекерские конторы. Российская зона интернета в очередной раз становится тестовой площадкой, позволяя злоумышленникам масштабировать преступный бизнес на международную арену.

Ярослав Каргалев
Ярослав Каргалев

Заместитель руководителя CERT-GIB

Скам на запад

В настоящее время специалисты Group-IB Digital Risk Protection и CERT-GIB выделяют около 40 активных преступных групп, использующих мошенническую схему с фейковой курьерской доставкой, причем половина из них уже работают вне России. Сама афера не претерпела серьезных изменений, но была локализована под рынки Восточной и Западной Европы, а также стран СНГ.

На популярных сервисах бесплатных объявлений злоумышленники размещают так называемые «лоты-приманки» — объявления о продаже по намеренно заниженным ценам товаров — фотоаппаратов, игровых приставок, ноутбуков, смартфонов и так далее. Покупатель связывается с продавцом, а тот «обрабатывает» его, создавая атмосферу доверия, и переводит дальнейшее общение в мессенджер.

Несмотря на то, что многие курьерские сервисы и доски объявлений по продаже новых и бывших в употреблении товаров ведут активную политику защиты пользователей от мошеннической активности, размещая предупреждения на своих ресурсах, это зачастую не останавливает покупателей.

В мессенджере у жертвы, как правило, запрашивают контактные данные якобы для оформления доставки через курьерскую службу. Затем ей присылают ссылку на один из сайтов популярных курьерских служб для оплаты доставки — на деле сайт оказывается фейковой страницей. В итоге — похищают и деньги, и данные банковских карт. Сама схема предусматривает варианты продолжения: часть жертв обманывают повторно — «разводят на возврат» — на деле с карты происходит повторное списание той же суммы.

Примечательно, что до 2020 года специалисты Group-IB фиксировали единичные случаи использования мошенниками в своих схемах зарубежных брендов курьерских сервисов и досок бесплатных объявлений. Однако уже с февраля на форумах появляются предложения использовать фишинговые формы под украинскую версию сайта бесплатных объявлений OLX. В апреле возникли схемы уже с белорусским сайтом бесплатных объявлений Kufar, а также фишинг под CDEK (Беларусь) и Белпочту. К концу августа скамеры освоили украинские маркетплейсы izi.ua, prom.ua и вышли за границы СНГ: появился скам с использованием французского сайта бесплатных объявлений — Leboncoin. Буквально за последний месяц были обнаружены примеры использования польского бренда Allegro и чешского — Sbazar. В ближайшее время, судя по результатам анализа закрытых форумов и чатов, мошенники готовятся задействовать в своих аферах новые бренды: FedEx и DHL Express в США и Болгарии, СДЭК в Казахстане и США.

Если в России ущерб от одной мошеннической операции составляет 10 000 — 30 000 рублей, то в Европе он может быть значительно выше за счет более высокой покупательской способности интернет-пользователей, а также их неготовности к подобному виду мошенничества.

Пирамида обмана

Структурно иерархия мошеннических групп представляет собой пирамиду. На верхнем уровне находятся организаторы или «админы» (Topic Starter), отвечающие за рекрутинг новых участников, создание фишинговых страниц, регистрацию доменов, консультации по решению «ошибки 900», когда банк блокирует операцию или банковскую карту, на которую пытаются перевести средства. «Админы» получают 20-30% от выручки. «Рабочие лошадки» — «воркеры» — занимаются непосредственно коммуникацией с жертвами и отправкой фишинговых страниц и получают за это 70-80%.

Все сделки и транзакции «воркеров» отображаются в отдельном телеграм-боте: там указана сумма, номер платежа и никнейм получателя. На основе статистики по выплатам самые успешные «воркеры» могут попасть в рейтинг «топов», члены которого имеют влияние на развитие проекта и доступ к вип-скриптам, например, для работы на европейских и американских площадках, где выручка значительно выше. Помощниками «воркеров» выступают «прозвонщики» или «возвратеры», которые выдают себя за службу поддержки и получают процент от выручки от 5% до 10%.

Проанализировав сообщения о выплатах в чат-ботах, аналитики Group-IB выяснили, что 20 из 40 активных групп, ориентированы на зарубежные страны. В среднем они зарабатывают $ 60 752 в месяц, но доходы разных групп неоднородны. В целом, общий ежемесячный заработок 40 самых активных действующих преступных групп оценивается как минимум в $522 731 в месяц.

Фишинг-кит из Telegram

Простота и технологичность схемы «Мамонт» стали причиной резкого роста этого типа мошенничества, чему, в первую очередь, способствовует автоматизация менеджмента управления схемой и распространения фишинга через специальные чат-боты в Telegram. В 40 самых активных чатах зарегистрированы более 5 000 уникальных пользователей-скамеров.

Теперь «воркеру» достаточно сбросить в чат-бот ссылку на нужный товар-приманку, после чего бот сам генерирует ему полный фишинг-комплект: ссылки на странички курьерских сервисов, оплату и возврат. Существует более 10 разновидностей телеграм-ботов, создающих страницы под зарубежные бренды во Франции, Болгарии, Румынии, Польше и Чехии. Под каждый бренд и страну мошенники пишут инструкции-скрипты, помогающие новичкам-«воркерам» авторизоваться на зарубежных площадках и вести диалог с жертвой на местном языке.

Кроме того, к чат-ботам прикручены «магазины», в которых можно приобрести аккаунты для различных досок объявлений, электронные кошельки, таргетированные e-mail рассылки, мануалы и так далее, вплоть до найма адвоката, который в случае задержания будет защищать мошенника в суде.

Пока масштабированию этой мошеннической схемы в Европе мешают две вещи: языковой барьер и сложности с обналичиванием средств за рубежом. Как только эти препятствия будут преодолены, мы ожидаем бум мошенничества на западе. Обратной стороной такой популярности стала конкуренция между самими мошенниками, которые часто, сами того не подозревая, пытаются обмануть друг друга.

Андрей Бусаргин
Андрей Бусаргин

Заместитель генерального директора Group-IB по направлению Digital Risk Protection

Как бороться с «Мамонтом»: рекомендации для брендов и пользователей

В отличие от России, где курьерские сервисы, доски бесплатных объявлений и ресурсы по аренде недвижимости первыми приняли на себя удар «Мамонта», подавляющее число пользователей и сотрудников служб безопасности международных компаний пока не готовы к противодействию этому типу мошенничества. Для пресечения подобных «продвинутых скам-схем» классического мониторинга и блокировки уже недостаточно — необходимо выявлять и блокировать инфраструктуру преступных групп, используя автоматизированную систему класса DRP выявления и устранения цифровых рисков на основе искусственного интеллекта, база знаний которой регулярно подпитывается данными об инфраструктуре, тактике, инструментах и новых схемах мошенничества.

Как бороться с «Мамонтом»: рекомендации для пользователей

Рекомендации довольно просты, но обязательны к соблюдению при оформлении покупок товаров или услуг через Интернет:

  • Пользуясь услугами сервисов по аренды жилья или продаже новых и б/у товаров, не уходите в мессенджеры, ведите всю переписку только в чате сервиса.
  • Не заказывайте товар или не заключайте сделку по предоплате — оплачивайте только тогда, когда получили товар и убедились в его исправности.
  • Доверяйте только официальным сайтам. Прежде чем ввести в какую-либо форму данные своей банковской карты — изучите адрес сайта, «загуглите» его и проверьте, когда он был создан. Если сайту пара месяцев — с большой долей вероятности он мошеннический.
  • Большие скидки или «суперакции» — один из признаков того, что перед вами «лот-приманка», а сам сайт создан мошенниками. Будьте осторожны!
О компании

F.A.C.C.T. — Fight Against Cybercrime Technologies — российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. F.A.C.C.T. создана для работы на рынках России и СНГ путем выделения в автономную структуру бывшего российского актива международной компании Group-IB.

В основе технологического лидерства F.A.C.C.T. — 20-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT. Решения компании основаны на знаниях, полученных в ходе реагирований на инциденты и исследований киберпреступности. Они обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F.A.C.C.T. входят в Реестр Отечественного ПО.