Group-IB обнаружила более 700 доменов фейковых сайтов театров, стендап-шоу, ресторанов, кинотеатров, которые мошенники используют для кражи денег под видом приглашения на свидание. За последние три года схему Fake Date (фальшивое свидание — с англ.) взяли на вооружение два десятка преступных групп — выручка одной из них за год составила более 18 миллионов рублей.
Красотку из Tinder звали Анна: "Я в тиндере всего день, не привыкла общаться в интернете и тем более знакомиться :) Я больше за живое общение. Но у меня щас неделя сильно загружена… Завтра, правда, немного времени найдется, иду на спектакль в 8 вечера, если хочешь — можем сходить вместе!" Чтобы пойти на свидание, нужно было купить билет — Анна сама скинула ссылку на сайт театра.
Но горькая правда в том, что никакого первого свидания в партере не будет, деньги, перечисленные за билет, украдут, а Анна больше не выйдет на связь. Юлия Зинган, аналитик CERT-GIB, рассказывает, как работает популярная мошенническая схема Fake Date.
Первые массовые случаи использования в России схемы Fake Date с приглашением на лжесвидания специалисты Group-IB фиксировали еще в 2018 году, после обращений обманутых пользователей.
Тогда в соцсетях или на сайте знакомств симпатичная девушка приглашала кавалера в "антикино" — кинотеатр с отдельными романтическими залами для двоих — и просила купить два билета на сайте. Естественно, сам ресурс оказывался фишинговым, данные карты и деньги похищались. После того, как эксперты Group-IB предупредили об опасности, засвеченная афера практически перестала использоваться.
Однако всплеск интернет-мошенничества в период пандемии, появление новых инструментов для генерации фишинговый сайтов и использование переводов card-to-card привели к тому, что схема с фейковыми свиданиями переживает второе рождение.
Для сравнения: если в 2019 году под схему Fake Date было зарегистрировано всего 25 фишинговых сайтов, то в 2020 году их было уже 263, а в 2021 году — 428. В этом году самым популярным местом для "свидания" у мошенников оказались театры и стендап-шоу (60%). Чуть меньше приходится на долю фейковых сайтов ресторанов, спа и кальянных (35%), а вот тема с кинотеатрами после «засветки» исследователями практически себя изжила (менее 5%).
Независимо от места для романтической встречи, cценарии везде примерно одинаковые: симпатичная девушка знакомится в сервисах Tinder, Badoo или соцсетях с кавалером, быстро переводит диалог в мессенджер (обычно Telegram) и сама приглашает на свидание. Как бы случайно у девушки оказывается билет на какой-то спектакль или на выступление звезды разговорного жанра — якобы подарили на день рождения, мама заболела и не смогла пойти, больше не с кем пойти и прочее.
Она скидывает QR-код своего билета и предлагает купить место рядом с ней, а также направляет ссылку, где можно билет приобрести. Пользователь оплачивает «билет» и теряет деньги, а девушка больше не выходит на связь. В некоторых случаях, воспользовавшись доверчивостью жертвы, злоумышленник может подвести к еще двум-трем списаниям средств под предлогом, что нужно купить еще один билет или вернуть деньги.
Работая по схеме Fake Date, мошенники, как правило, предварительно пытаются узнать интересы своего собеседника, составить его психологический портрет и, исходя из этого, предлагают ту или иную «наживку». Например, цены «билетов» в театр (2500 рублей в партере, до 5500 рублей в VIP-ложу) более демократичные, чем билеты в «антикино» (4900-6900 рублей), но жертве придется заплатить трижды: при "оплате" своего билета, при незапланированной покупке еще одного билета, например, для «подруги», и при оформлении возврата.
На основе обращений граждан, графового анализа, а также исследований преступных сообществ специалистам CERT-GIB удалось выявить больше 716 причастных к Fake Date доменных имен, почти 60% которых были зарегистрированы с начала 2021 года.
Но это только верхушка айсберга. В ходе исследования аналитики обнаружили связи доменных имен фишинговых сайтов из схемы Fake Date с ресурсами из популярной схемы «Курьер» (или «Мамонт»), нацеленной на кражу денег и данных банковских карт пользователей с помощью фейковых сайтов популярных курьерских служб и маркетплейсов. Более того, в некоторых случаях сайты были зарегистрированы одними и теми же людьми.
Всего эксперты CERT-GIB насчитали как минимум 24 команды мошенников, работающих по схеме Fake Date, причем их количество растет из года в год. Так, в 2019 году — 2 группы, 2020 году — 7 групп, 2021 году — 15 групп.
Любопытно, что схема Fake Date практически полностью переняла у «Мамонта» иерархию, техническую базу, модель функционирования и даже сленг («мамонтом» на языке мошенников называют жертву). Вся работа рядовых участников (воркеров) координируется через Telegram, где созданы специальные чат-боты с готовыми фишинговыми сайтами под различные площадки: кинотеатры, театры, рестораны, кальянные — c генерацией билетов, чеков, подробными скриптами.
Для продвинутых скамеров налажена продажа записанных «голосовушек» — аудио- и видеосообщений от лица девушек, предлагающих сходить на свидание. Кроме того, существуют отдельные каналы с информацией о выплатах и чаты для общения воркеров. Все необходимые продукты, включая ботов в Telegram, продаются под ключ.
Набор в команды ведется на тематических форумах, где будущему воркеру обещают большие деньги без каких-либо вложений, а также обучение новичков и полную поддержку в ходе работы. Согласно данным одного из скам-проектов, за год выручка лишь одной группы составила более 18 миллионов рублей при более чем 7000 транзакций.
Похищенные деньги поступают на карты или кошельки админов, которые выплачивают воркерам процент от каждой транзакции (от 70% до 85%). Когда жертва оплачивает возврат, часть суммы получает прозвонщик из технической поддержки. Чтобы присоединиться к команде, как и в случае с "Мамонтом", необходимо пройти небольшое, достаточно формальное собеседование.
Эксперты Group-IB рекомендуют не оплачивать покупки на незнакомых сайтах, не переходить по ссылкам, которые присылают неизвестные, приобретать билеты самостоятельно и только на проверенных ресурсах.
Тщательно проверяйте доменное имя ресурса, на котором находитесь, и если оно отличается от оригинального или просто кажется вам подозрительным — не стоит ничего покупать или заказывать.
Включите двухфакторную аутентификацию для всех аккаунтов, где есть такая возможность. Необходимо регулярно обновлять браузеры до последних версий и устанавливать обновления безопасности.
Не разглашайте свои персональные данные и реквизиты банковской карты. Перезвоните по официальным номерам или дойдите до офиса компании.
Для пресечения подобных продвинутых скам-схем классического мониторинга и блокировки брендам уже не достаточно — необходимо выявлять и блокировать инфраструктуру преступных групп.
Нужно больше информации? Подпишитесь на остросюжетный Telegram-канал Group-IB (https://t.me/Group_IB) об информационной безопасности, хакерах, APT, кибератаках, мошенниках и пиратах. Расследования по шагам, практические кейсы с применением технологий Group-IB и рекомендации, как не стать жертвой. Подключайтесь!
