Money Maker
Premium
Мошенничество на досках объявлений и торговых площадках превратилось в серьезную проблему из-за появления организованных преступных группировок. Они работают по модели «мошенничество как услуга» (Fraud-as-a-Service), постоянно совершенствуя схемы кражи денег и персональных данных у доверчивых пользователей.
Существуют две основные схемы обмана:
Помимо отметки о продвижении злоумышленники смотрят на фотографии в объявлении. Если снимки высокого качества и кажется, будто их сделали на фотосессии, скорее всего, это предложение магазина. Такие объявления мошенникам не интересны.
Наконец, злоумышленники ищут продавцов, которые используют сторонние мессенджеры и готовы предоставить номер телефона. Это выясняют уже на стадии общения с продавцом.
Затем злоумышленник говорит, что товар его устраивает, но он не может забрать его лично и оплатить наличными, потому что, например, находится в другом городе (тут мошенник может указать любую причину, на которую хватит фантазии), после чего спрашивает, удобно ли будет воспользоваться доставкой с «безопасным платежом».
Чтобы у продавца не возникало вопросов, мошенник подробно объясняет схему оплаты приблизительно следующим образом.
Если же жертва переходит по фишинговой ссылке и вводит платежные данные, мошенники снимают с ее карты все доступные средства. Стоимость товара при этом не имеет значения: даже если продавец указал в объявлении незначительную сумму, злоумышленники спишут все, что успеют.
Фишинговое объявление
Оригинальное объявление
Как можно видеть, злоумышленники практически полностью копируют интерфейс торговой площадки. Поддельная страница отличается от оригинальной лишь незначительными деталями. В частности, вместо кнопки Inserent kontaktieren («Связаться с автором объявления») на фишинговой странице присутствует кнопка Receive 150 CHF («Получить 150 швейцарских франков»). Если нажать эту кнопку, откроется страница с формой ввода платежных данных.
Фишинговые страницы оплаты
Если по изначальной ссылке открывается копия сервиса безопасных платежей, то форма ввода данных карты отображается прямо на этой странице — без дополнительных переходов.
Мы подробно изучили деятельность одной из группировок, нацеленной на пользователей досок объявлений из Швейцарии. На ее примере мы покажем, как устроена деятельность таких структур изнутри.
В состав группировки могут входить следующие роли.
Исследуемая нами группировка нацелена преимущественно на Швейцарию. В своем чате мошенники отмечают, что такой выбор связан с меньшим риском обнаружения и тем, что пользователи из этой страны мало знакомы с данным видом скама. Кроме того, прежде чем размещать объявления или откликаться на них, скамер интересуется рынком страны и основными фактами о ней — например, на каких языках и диалектах говорят ее жители. Это требуется для того, чтобы понимать, на каком языке обращаться к жертве, чтобы вызвать у нее больше доверия. В Швейцарии, по данным на 2023 год, свыше 2/3 населения в возрасте 15 лет и старше используют для общения не менее двух языков.
Также исследуемая группировка действует в Канаде, Австрии, Франции и Норвегии.
На следующем этапе воркер ищет прокси-сервер, с помощью которого он обеспечит себе анонимность и конфиденциальность. При соединении через сервер торговая площадка видит IP-адрес и прочие данные этого сервера, что позволяет скрыть идентификационные данные злоумышленника. При этом хорошими считаются прокси, при работе через которые аккаунт не банят сразу после регистрации. Так, если воркер будет работать с VPN, то его аккаунты будут очень быстро банить: подключение через VPN подразумевает частую смену IP-адреса и геолокации, отчего площадки часто принимают такие аккаунты за ботов.
Помимо инструкций по подготовительной работе, в мануале для новичка более опытные участники группировки делятся шаблонами, которые начинающий воркер может использовать в диалоге с жертвой, чтобы уговорить ее на сделку и успокоить, если у нее возникнут опасения по поводу предложенного способа оплаты.
Также в мануале содержатся инструкции по обходу введенных площадками ограничений. Доски объявлений постоянно обновляются и улучшают внутреннюю систему безопасности, поэтому воркерам все сложнее использовать привычные формулировки при общении с жертвами. Например, с ноября 2023 года одна из известных площадок отказалась от проведения платежей через Tripartie — популярную в Швейцарии платформу для безопасных сделок — и начала блокировать аккаунты за частое упоминание этой системы. Чтобы обойти это ограничение, воркеры пишут Tripartie с опечатками, например «теряют» символы или заменяют их другими. Более опытные воркеры используют кириллицу, чтобы сделать название платежной системы нечитаемым для защитных систем площадки.
Главная страница бота
При нажатии кнопки создания фишинговой страницы появляется возможность выбрать страну, для которой будет создана уникальная ссылка.
Кнопка выбора региона
Далее воркер указывает название товара, который заинтересовал жертву (если жертва — покупатель) или который разместила жертва (если жертва — продавец).
Выбор названия товара
Эти данные воркер вводит, чтобы бот создал полную копию оригинального объявления, но уже на фишинговой странице. Также воркер загружает в бот фотографию, стоимость, описание и другую информацию из объявления, чтобы у жертвы создалось впечатление, что она находится на оригинальной странице.
После заполнения всех данных бот предоставляет фишинговые ссылки для всех доступных досок объявлений на всех релевантных для страны языках и для обоих вариантов мошенничества (скама продавцов и скама покупателей). Затем воркер выбирает нужную ему ссылку.
Выбор созданной ссылки
Здесь же мошенник может отправить жертве сообщение на почту, в мессенджер или по SMS. Контактные данные злоумышленник получает из профиля жертвы на площадке или выманивает в личной беседе.
Выбор действий с объявлением
После успешно проведенной фишинговой атаки воркер может просмотреть в боте свой профиль, в котором отображена его личная информация: ID, ник, баланс карты и сумма, заработанная как лично воркером, так и всей группировкой.
Данные личного профиля
Бот также предоставляет возможность напрямую обратиться к наставнику и получить дополнительный заработок по схеме «приведи друга».
Инструменты бота
Информация о языках может меняться и зависит от страны, на которую направлен фишинг. Например, для Швейцарии существуют такие варианты: en, it, fr, de.
Действие — это то, что должна якобы совершить жертва: оплатить товар или получить платеж. Этот элемент принимает одно из двух значений: pay — если мошенник выступает в роли продавца, или receive — если мошенник выступает в роли покупателя.
Фишинговая ссылка всегда заканчивается цифрами — это номер объявления, полная копия оригинального.
Примеры фишинговых ссылок
Например, в исследуемом Telegram-боте за период наблюдения появилась информация о доходах группировки за день и за все время существования, а также информация о доходах воркера за неделю и месяц.
Информация из профиля пользователя
Также с очередным обновлением стала доступна подробная информация о наставниках и их загруженности. Всего в группировке пять наставников, к которым прикреплено в общей сложности больше 300 воркеров. На момент написания статьи в чате мошенников в Telegram было более 10 000 участников.
Наставниками могут стать самые опытные воркеры, сумма профитов которых превышает 20 000 евро. Для этого они подают заявку на рассмотрение главному наставнику. Наставники получают процент от выручки ученика. Размер комиссии наставник устанавливает сам и увеличивает с опытом.
Система наставничества
Помимо изменения интерфейса произошло и обновление способа создания ссылок — расширился список платформ, на которые нацелен фишинг.
Платформы для фишинга
Существуют две основные схемы обмана:
- Скам покупателей (scam 1.0) - мошенник выдает себя за продавца и предлагает покупателю получить товар доставкой. Когда покупатель интересуется условиями доставки и оплаты, мошенник (в роли продавца) просит прислать ФИО, адрес и номер телефона, а также оплатить заказ на сайте. Если жертва соглашается, ей присылают фишинговую ссылку для оплаты товара (в стороннем мессенджере или в самом диалоге на площадке, если площадка не блокирует такие ссылки). Как только пользователь вводит данные карты на поддельном сайте, мошенник получает к ним доступ и списывает все средства.
- Скам продавцов (scam 2.0) - более распространенная схема. Мошенник представляется покупателем и обманывает продавца, уговаривая его отправить товар доставкой и совершить так называемую «безопасную сделку» или воспользоваться «безопасным способом оплаты». Как и в случае scam 1.0, злоумышленники присылают согласному на сделку продавцу фишинговую ссылку в стороннем мессенджере или непосредственно в диалоге на площадке. Страница по ссылке запрашивает данные платежной карты. Если продавец их вводит, злоумышленник списывает с карты все деньги.
Как злоумышленники выбирают жертв
У мошенников есть несколько критериев отбора потенциальных жертв. В первую очередь их интересуют объявления, за продвижение которых продавец заплатил. Такие объявления обычно отображаются на первых позициях поиска и имеют специальную отметку. С точки зрения мошенника, они привлекательны по двум причинам: во-первых, у продавца, оплатившего продвижение, с большей вероятностью есть деньги. Во-вторых, такой продавец может быть заинтересован в ускоренном поиске покупателей.Помимо отметки о продвижении злоумышленники смотрят на фотографии в объявлении. Если снимки высокого качества и кажется, будто их сделали на фотосессии, скорее всего, это предложение магазина. Такие объявления мошенникам не интересны.
Наконец, злоумышленники ищут продавцов, которые используют сторонние мессенджеры и готовы предоставить номер телефона. Это выясняют уже на стадии общения с продавцом.
Как обманывают жертву
Основная цель злоумышленника — убедить жертву перейти по фишинговой ссылке и ввести платежные данные. Как и любой покупатель, мошенник начинает общение с приветствия и уточнения, актуально ли еще предложение. После этого он задает продавцу различные вопросы о товаре, например в каком он состоянии, давно ли продавец его приобрел, почему решил продать и так далее. Опытные скамеры задают жертве не более трех вопросов, чтобы не вызвать подозрений.Затем злоумышленник говорит, что товар его устраивает, но он не может забрать его лично и оплатить наличными, потому что, например, находится в другом городе (тут мошенник может указать любую причину, на которую хватит фантазии), после чего спрашивает, удобно ли будет воспользоваться доставкой с «безопасным платежом».
Чтобы у продавца не возникало вопросов, мошенник подробно объясняет схему оплаты приблизительно следующим образом.
- Я плачу за ваш товар на [название площадки].
- Вам приходит ссылка для получения денег.
- Вы переходите по ссылке и указываете номер счета, на который удобно получить деньги.
- Как только вы получаете деньги, с вами связывается служба оформления заказов и назначает удобный для вас способ доставки. Доставка уже будет оплачена. Товар упакуют и оформят за вас.
Если же жертва переходит по фишинговой ссылке и вводит платежные данные, мошенники снимают с ее карты все доступные средства. Стоимость товара при этом не имеет значения: даже если продавец указал в объявлении незначительную сумму, злоумышленники спишут все, что успеют.
Как выглядят фишинговые страницы
В схеме scam 2.0 есть два основных варианта фишинговых страниц: одни представляют собой копии страницы торговой площадки с объявлением жертвы, другие имитируют сервисы безопасной оплаты, такие как Twin. Ниже приведен пример фишингового объявления и оригинал на официальном сайте.
Фишинговое объявление
Оригинальное объявление
Как можно видеть, злоумышленники практически полностью копируют интерфейс торговой площадки. Поддельная страница отличается от оригинальной лишь незначительными деталями. В частности, вместо кнопки Inserent kontaktieren («Связаться с автором объявления») на фишинговой странице присутствует кнопка Receive 150 CHF («Получить 150 швейцарских франков»). Если нажать эту кнопку, откроется страница с формой ввода платежных данных.
Фишинговые страницы оплаты
Если по изначальной ссылке открывается копия сервиса безопасных платежей, то форма ввода данных карты отображается прямо на этой странице — без дополнительных переходов.
Группировки
В последнее время появились целые группировки мошенников, которые специализируются на досках объявлений. Они практикуют оба варианта мошенничества (scam 1.0 и scam 2.0) и объединяют в своих рядах организаторов, поддержку и рядовых участников.Мы подробно изучили деятельность одной из группировок, нацеленной на пользователей досок объявлений из Швейцарии. На ее примере мы покажем, как устроена деятельность таких структур изнутри.
В состав группировки могут входить следующие роли.
- ТС (топикстартер) — основатель и главный администратор команды.
- Кодер — человек, ответственный за всю техническую составляющую: каналы, чаты и боты в Telegram и т. д.
- Возвратер («техподдержка») — мошенник, отвечающий в чате технической поддержки на фишинговых сайтах. Он помогает довести жертву до конечной цели злоумышленников — до ввода банковских данных. Название «возвратер» возникло в связи с тем, что к этим же «специалистам» жертву отправляют, если она недовольна списанием денег и требует их вернуть.
- Вбивер («на ручке») — человек, главная задача которого — снять деньги с банковского счета жертвы. Как правило, получив данные карты, вбивер оплачивает этой картой различные товары, услуги, кредиты и прочее. Сам процесс оплаты покупок чужой картой называется вбив.
- Вдохновитель — человек, оказывающий моральную поддержку скамерам. Его задача — сделать так, чтобы скамеры не падали духом и всегда «саморазвивались». Вдохновитель предлагает подкасты и поддержку в личных сообщениях (обсуждать с ним можно любые проблемы, в том числе личные, не связанные с мошенничеством). Такой «сотрудник» существует только в крупных группировках, которые имеют достаточно средств для оплаты его услуг. Работает вдохновитель за процент от украденных денег.
- Маркетолог — человек, который отвечает за рекламные кампании проекта, оформление бота и дизайн сопутствующих материалов — в основном на различных теневых площадках и в Telegram-каналах для мошенников. Реклама нужна для привлечения новых воркеров.
- Воркер — это скамер, то есть тот, кто непосредственно обманывает жертв: находит объявления, откликается на них, убеждает собеседника перейти по фишинговой ссылке и так далее. Воркер отличается от обычного мошенника только тем, что работает на группировку и пользуется ее инструментами и поддержкой. В качестве оплаты воркер получает средства, которые ему удалось украсть, за вычетом определенной комиссии. Сам процесс обмана жертв называется ворк.
- Наставник — один из самых опытных воркеров, который закрепляется за новичком и помогает ему.
- Консуматорша — девушка, которая подталкивает мужчину покупать подарки и разводит его на деньги. Эту роль предлагают всем девушкам, вступающим в закрытые группы, где мошенники общаются между собой.
- Доверчивого пользователя, которого уже обманули, называют мамонтом.
- Сумма на банковской карте, которую указала жертва при переходе по фишинговой ссылке, называется логи.
- Сумма, снятая с карты жертвы, называется профит.
Мошенничество как услуга (Fraud-as-a-Service)
Группировки работают по модели «мошенничество как услуга», в которой основным потребителем услуг является воркер. Организаторы обеспечивают функционирование сервисов (каналы/чаты/боты в Telegram, фишинговые сайты, обработка платежей, отмывание и вывод средств), предоставляют моральную поддержку и мануалы по ворку, а взамен забирают себе комиссию с каждого платежа.На какие страны направлен скам с досками объявлений
Мошенничество вида scam 1.0 и scam 2.0 появилось несколько лет назад, и обе схемы до сих пор можно встретить на русскоязычных досках объявлений. Но скам, направленный на российский сегмент, среди опытных мошенников считается устаревшим, поскольку российские пользователи уже осведомлены о схемах обмана и высок риск, что злоумышленников найдут и арестуют. Поэтому скамеры переключаются на другие страны.Исследуемая нами группировка нацелена преимущественно на Швейцарию. В своем чате мошенники отмечают, что такой выбор связан с меньшим риском обнаружения и тем, что пользователи из этой страны мало знакомы с данным видом скама. Кроме того, прежде чем размещать объявления или откликаться на них, скамер интересуется рынком страны и основными фактами о ней — например, на каких языках и диалектах говорят ее жители. Это требуется для того, чтобы понимать, на каком языке обращаться к жертве, чтобы вызвать у нее больше доверия. В Швейцарии, по данным на 2023 год, свыше 2/3 населения в возрасте 15 лет и старше используют для общения не менее двух языков.
Также исследуемая группировка действует в Канаде, Австрии, Франции и Норвегии.
Мануал по ворку
Мы проанализировали инструкции, которые группировка предоставляет новым воркерам, и выяснили, с чего начинается работа мошенников. Первым делом воркер покупает на теневых ресурсах аккаунты на досках объявлений, где в дальнейшем будет искать жертв. Злоумышленники покупают учетные записи, а не создают новые, поскольку регистрация на площадке несет в себе больше рисков. После этого воркер создает аккаунт в стороннем мессенджере для общения с жертвой: некоторые пользователи сами просят номер для того, чтобы связаться в мессенджере, в других случаях это предлагает воркер, чтобы снизить риск бана аккаунта на торговой площадке. Для регистрации используют виртуальные номера телефонов.На следующем этапе воркер ищет прокси-сервер, с помощью которого он обеспечит себе анонимность и конфиденциальность. При соединении через сервер торговая площадка видит IP-адрес и прочие данные этого сервера, что позволяет скрыть идентификационные данные злоумышленника. При этом хорошими считаются прокси, при работе через которые аккаунт не банят сразу после регистрации. Так, если воркер будет работать с VPN, то его аккаунты будут очень быстро банить: подключение через VPN подразумевает частую смену IP-адреса и геолокации, отчего площадки часто принимают такие аккаунты за ботов.
Помимо инструкций по подготовительной работе, в мануале для новичка более опытные участники группировки делятся шаблонами, которые начинающий воркер может использовать в диалоге с жертвой, чтобы уговорить ее на сделку и успокоить, если у нее возникнут опасения по поводу предложенного способа оплаты.
Также в мануале содержатся инструкции по обходу введенных площадками ограничений. Доски объявлений постоянно обновляются и улучшают внутреннюю систему безопасности, поэтому воркерам все сложнее использовать привычные формулировки при общении с жертвами. Например, с ноября 2023 года одна из известных площадок отказалась от проведения платежей через Tripartie — популярную в Швейцарии платформу для безопасных сделок — и начала блокировать аккаунты за частое упоминание этой системы. Чтобы обойти это ограничение, воркеры пишут Tripartie с опечатками, например «теряют» символы или заменяют их другими. Более опытные воркеры используют кириллицу, чтобы сделать название платежной системы нечитаемым для защитных систем площадки.
Монетизация украденных карт
Если продавец ввел данные своей карты, воркер передает их вбиверу, который снимает с карты средства в пределах установленных лимитов. Делает он это различными способами: приобретает технику, переводит деньги на электронные кошельки, такие как PayPal, и так далее. Также вбивер пытается оформить на владельца карты кредит, взять займ или открыть вклад. Для этого он использует онлайн-банки, которые не требуют подтверждения по SMS. При этом некоторые из них просят прислать скан паспорта — на этот случай у вбивера есть данные паспортов, украденные или взятые у людей без определенного места жительства. Хотя эти данные не имеют отношения к владельцу украденной карты, онлайн-банки не всегда проверяют, принадлежат ли паспорт и карта одному человеку — на это и рассчитывают мошенники.Автоматизация мошенничества с помощью Telegram-бота
Для упрощения работы воркеров у группировки есть фишинговый Telegram-бот. Он позволяет автоматизировать процесс создания фишинговой страницы и общения с жертвой, а также отслеживать успехи мошенника. На главной странице бота находятся кнопки для создания фишинговой ссылки, просмотра личного профиля, быстрого перехода в чаты и каналы группировки, а также кнопка настроек.
Главная страница бота
При нажатии кнопки создания фишинговой страницы появляется возможность выбрать страну, для которой будет создана уникальная ссылка.
Кнопка выбора региона
Далее воркер указывает название товара, который заинтересовал жертву (если жертва — покупатель) или который разместила жертва (если жертва — продавец).
Выбор названия товара
Эти данные воркер вводит, чтобы бот создал полную копию оригинального объявления, но уже на фишинговой странице. Также воркер загружает в бот фотографию, стоимость, описание и другую информацию из объявления, чтобы у жертвы создалось впечатление, что она находится на оригинальной странице.
После заполнения всех данных бот предоставляет фишинговые ссылки для всех доступных досок объявлений на всех релевантных для страны языках и для обоих вариантов мошенничества (скама продавцов и скама покупателей). Затем воркер выбирает нужную ему ссылку.
Выбор созданной ссылки
Здесь же мошенник может отправить жертве сообщение на почту, в мессенджер или по SMS. Контактные данные злоумышленник получает из профиля жертвы на площадке или выманивает в личной беседе.
Выбор действий с объявлением
После успешно проведенной фишинговой атаки воркер может просмотреть в боте свой профиль, в котором отображена его личная информация: ID, ник, баланс карты и сумма, заработанная как лично воркером, так и всей группировкой.
Данные личного профиля
Бот также предоставляет возможность напрямую обратиться к наставнику и получить дополнительный заработок по схеме «приведи друга».
Инструменты бота
Как выглядят фишинговые ссылки
Фишинговые ссылки, которые исследуемая группировка создает с помощью Telegram-бота, построены по одной схеме:- домен/язык/действие/номер объявления
Информация о языках может меняться и зависит от страны, на которую направлен фишинг. Например, для Швейцарии существуют такие варианты: en, it, fr, de.
Действие — это то, что должна якобы совершить жертва: оплатить товар или получить платеж. Этот элемент принимает одно из двух значений: pay — если мошенник выступает в роли продавца, или receive — если мошенник выступает в роли покупателя.
Фишинговая ссылка всегда заканчивается цифрами — это номер объявления, полная копия оригинального.
Примеры фишинговых ссылок
Обновление ботов
Telegram-боты группировок постоянно совершенствуются и обновляются. В них добавляют полезную для воркеров информацию и расширяют арсенал инструментов автоматизации.Например, в исследуемом Telegram-боте за период наблюдения появилась информация о доходах группировки за день и за все время существования, а также информация о доходах воркера за неделю и месяц.
Информация из профиля пользователя
Также с очередным обновлением стала доступна подробная информация о наставниках и их загруженности. Всего в группировке пять наставников, к которым прикреплено в общей сложности больше 300 воркеров. На момент написания статьи в чате мошенников в Telegram было более 10 000 участников.
Наставниками могут стать самые опытные воркеры, сумма профитов которых превышает 20 000 евро. Для этого они подают заявку на рассмотрение главному наставнику. Наставники получают процент от выручки ученика. Размер комиссии наставник устанавливает сам и увеличивает с опытом.
Система наставничества
Помимо изменения интерфейса произошло и обновление способа создания ссылок — расширился список платформ, на которые нацелен фишинг.
Платформы для фишинга
