Поиск Поиск по сайту

РынокБизнес

«Мамонт» бродит по Европе, СНГ и США: мошенническая схема с курьерскими сервисами

| 15.01.2021

«Мамонт» бродит по Европе, СНГ и США:  мошенническая схема с курьерскими сервисами

Group-IB фиксирует активизацию в СНГ, Европе и США русскоязычных мошеннических групп, похищающих деньги и данные банковских карт пользователей с помощью фейковых сайтов популярных курьерских служб и маркетплейсов.

Против пользователей из Румынии, Болгарии, Франции, Польши, Чехии, США, Украины, Узбекистана, Киргизии и Казахстана работают не менее 20 крупных группировок. В целом, за 2020 год заработок всех преступных групп, использующих данную схему мошенничества, оценивается более чем $6,2 млн. Согласно прогнозам Group-IB, ущерб от «курьерской схемы» до конца года может вырасти.

Аналитики предупреждают, что отработанная в России схема быстро масштабируется на европейские и американские площадки, куда русскоязычные мошенники выходят с целью увеличения капитализации и снижения риска быть пойманными. Борьба со схемой требует дальнейшей консолидации усилий компаний, попадающих в поле зрения злоумышленников, и использования технологий защиты от цифровых рисков для оперативного выявления мошенничества и ликвидации преступных групп.

Изгнание «Мамонта»

Первое массовое использование в России схемы «Мамонт» («мамонтом» на сленге мошенников называют жертву) специалисты CERT-GIB и Group-IB Digital Risk Protection зафиксировали еще летом 2019 года после ряда обращений обманутых пользователей. Однако пик мошеннической активности пришелся на 2020 год в связи с пандемией, переходом на удалёнку и увеличением спроса (в среднем, на 30%-40%) на онлайн-покупки и, соответственно, услуги курьерской доставки.

«Если летом 2020 года мы заблокировали 280 фейковых ресурсов, эксплуатирующих тему курьерской доставки товаров, то к декабрю их количество выросло в 10 раз — до 3 000 сайтов, — отмечает Ярослав Каргалев, заместитель руководителя CERT-GIB. — Активное противодействие мошенникам со стороны Group-IB, а также компаний, владеющих курьерскими сервисами и досками объявлений подстегнуло начавшуюся весной online-миграцию мошеннических групп из России в СНГ и страны Европы. Также злоумышленники принялись искать новые ниши, как, например, случилось с появлением сайтов под популярные сайты аренды жилья и букмекерские конторы. Российская зона интернета в очередной раз становится тестовой площадкой, позволяя злоумышленникам масштабировать преступный бизнес на международную арену».

img

Скам на запад

В настоящее время специалисты Group-IB Digital Risk Protection и CERT-GIB выделяют около 40 активных преступных групп, использующих мошенническую схему с фейковой курьерской доставкой, причем половина из них уже работают вне России. Сама афера не претерпела серьезных изменений, но была локализована под рынки Восточной и Западной Европы, а также стран СНГ.

На популярных сервисах бесплатных объявлений злоумышленники размещают так называемые «лоты-приманки» — объявления о продаже по намеренно заниженным ценам товаров — фотоаппаратов, игровых приставок, ноутбуков, смартфонов и так далее. Покупатель связывается с продавцом, а тот «обрабатывает» его, создавая атмосферу доверия, и «переводит» дальнейшее общение в мессенджер.

Несмотря на то, что многие курьерские сервисы и доски объявлений по продаже новых и бывших в употреблении товаров, ведут активную политику защиты пользователей от мошеннической активности, размещая предупреждения на своих ресурсах, это зачастую не останавливает покупателей.

В мессенджере у жертвы, как правило, запрашивают контактные данные якобы для оформления доставки через курьерскую службу. Затем ей присылают ссылку на один из сайтов популярных курьерских служб для оплаты доставки — на деле сайт оказывается фейковой страницей. В итоге — похищают и деньги, и данные банковских карт. Сама схема предусматривает варианты продолжения: часть жертв обманывают повторно — «разводят на возврат» — на деле с карты происходит повторное списание той же суммы.

Примечательно, что до 2020 года специалисты Group-IB фиксировали единичные случаи использования мошенниками в своих схемах зарубежных брендов курьерских сервисов и досок бесплатных объявлений. Однако уже с февраля на форумах появляются предложения использовать фишинговые формы под украинскую версию сайта бесплатных объявлений OLX. В апреле возникли схемы уже с белорусским сайтом бесплатных объявлений Kufar, а также фишинг под CDEK (Беларусь) и Белпочту. К концу августа скамеры освоили украинские маркетплейсы izi.ua, prom.ua и вышли за границы СНГ: появился скам с использованием французского сайта бесплатных объявлений — Leboncoin. Буквально за последний месяц были обнаружены примеры использования польского бренда Allegro и чешского — Sbazar. В ближайшее время, судя по результатам анализа закрытых форумов и чатов, мошенники готовятся задействовать в своих аферах новые бренды: FedEx и DHL Express в США и Болгарии, СДЭК в Казахстане и США.

Если в России ущерб от одной мошеннической операции составляет 10 000 — 30 000 рублей, то в Европе он может быть значительно выше за счет более высокой покупательской способности интернет-пользователей, а также их неготовности к подобному виду мошенничества.

Пирамида обмана

Структурно иерархия мошеннических групп представляет собой пирамиду. На верхнем уровне находятся организаторы или «админы» (Topic Starter), отвечающие за рекрутинг новых участников, создание фишинговых страниц, регистрацию доменов, консультации по решению “ошибки 900“, когда банк блокирует операцию или банковскую карту, на которую пытаются перевести средства. «Админы» получают 20-30% от выручки. «Рабочие лошадки» — «воркеры» — занимаются непосредственно коммуникацией с жертвами и отправкой фишинговых страниц и получают за это 70- 80%.

img

Все сделки и транзакции «воркеров» отображаются в отдельном телеграм-боте: там указана сумма, номер платежа и ник-нейм получателя. На основе статистики по выплатам самые успешные «воркеры» могут попасть в рейтинг «топов», члены которого имеют влияние на развитие проекта и доступ к вип-скриптам, например, для работы на европейских и американских площадках, где выручка значительно выше. Помощниками «воркеров» выступают «прозвонщики» или «возвратеры», которые выдают себя за службу поддержки и получают процент от выручки от 5% до 10%.

Проанализировав сообщения о выплатах в чат-ботах, аналитики Group-IB выяснили, что 20 из 40 активных групп, ориентированы на зарубежные страны. В среднем они зарабатывают $ 60 752 в месяц, но доходы разных групп неоднородны. В целом, общий ежемесячный заработок 40 самых активных действующих преступных групп оценивается как минимум в $522 731 в месяц.

Фишинг-кит из Telegram

Простота и технологичность схемы «Мамонт» стали причиной резкого роста этого типа мошенничества, чему, в первую очередь, способствовует автоматизация менеджмента управления схемой и распространения фишинга через специальные чат-боты в Telegram. В 40 самых активных чатах зарегистрированы более 5 000 уникальных пользователей-скамеров.

Теперь воркеру достаточно сбросить в чат-бот ссылку на нужный товар-приманку, после чего бот сам генерирует ему полный фишинг-комплект: ссылки на странички курьерских сервисов, оплату и возврат. Существует более 10 разновидностей телеграм-ботов, создающих страницы под зарубежные бренды во Франции, Болгарии, Румынии, Польше и Чехии. Под каждый бренд и страну мошенники пишут инструкции-скрипты, помогающие новичкам —«воркерам» авторизоваться на зарубежных площадках и вести диалог с жертвой на местном языке.

Кроме того, к чат-ботам прикручены «магазины», в которых можно приобрести аккаунты для различных досок объявлений, электронные кошельки, таргетированные e-mail рассылки, мануалы и так далее, вплоть до найма адвоката, который в случае задержания будет защищать мошенника в суде.

«Пока масштабированию этой мошеннической схемы в Европе мешают две вещи: языковой барьер и сложности с обналичиванием средств за рубежом, — отмечает Андрей Бусаргин, зам генерального директора Group-IB по направлению Digital Risk Protection. — Как только эти препятствия будут преодолены, мы ожидаем бум мошенничества на западе. Обратной стороной такой популярности стала конкуренция между самими мошенниками, которые часто сами того не подозревая, пытаются обмануть друг друга».

Как бороться с «Мамонтом»

Рекомендации для владельцев брендов

В отличие от России, где курьерские сервисы, доски бесплатных объявлений и ресурсы по аренде недвижимости первыми приняли на себя удар «Мамонта», подавляющее число пользователей и сотрудников служб безопасности международных компаний пока не готовы к противодействию этому типу мошенничества. Для пресечения подобных «продвинутых скам-схем» классического мониторинга и блокировки уже недостаточно — необходимо выявлять и блокировать инфраструктуру преступных групп, используя автоматизированную систему класса DRP выявления и устранения цифровых рисков на основе искусственного интеллекта), база знаний которой регулярно подпитывается данными об инфраструктуре, тактике, инструментах и новых схемах мошенничества.

img

Рекомендации для пользователей довольно просты, но обязательны к соблюдению при оформлении покупок товаров или услуг через Интернет:

  • Доверяйте только официальным сайтам. Прежде чем ввести в какую-либо форму данные своей банковской карты — изучите адрес сайта, «загуглите» его и проверьте, когда он был создан. Если сайту пара месяцев — с большой долей вероятности он мошеннический.

  • Пользуясь услугами сервисов по аренды жилья или продаже новых и б/у товаров, не уходите в мессенджеры, ведите всю переписку только в чате сервиса.

  • Не заказывайте товар или не заключайте сделку по предоплате — оплачивайте только тогда, когда получили товар и убедились в его исправности.

  • Большие скидки или «суперакции» — один из признаков того, что перед вами «лот-приманка», а сам сайт создан мошенниками.

Group-IB Информационная безопасность


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

В статье из Harward Business Review авторы задались целью выявить поведенческие индикаторы того, что сотрудник собирается уйти.
А можно ли обойтись без этого гадания на ромашке "уйдет-не уйдет". Может, все проще?
Облачные технологии стали применять даже там, где раньше они не пользовались популярностью. Сравнительно недавними пользователями можно считать ретейлеров и сферу питания.
Даже если электронная запись не работает, всегда найдется возможность пройти вакцинацию.

Компании сообщают

Мероприятия

Цифровизация HR-процессов
ОНЛАЙН
25.02.2021 — 26.02.2021
11:00
Конкурс ИТ-проектов Directum Awards 2020
ОНЛАЙН
Бесплатно
26.02.2021
Вебинар «Женщины в IT»
ОНЛАЙН
Бесплатно
26.02.2021
16:00–17:30
Оффлайн-митап для IT-специалистов от Делимобиль
Москва, ул. Электрозаводская 27, стр. 1а, БЦ «Лефорт»
Бесплатно
26.02.2021
19:00
RuCode Festival
ОНЛАЙН
01.03.2021 — 25.04.2021