Group-IB, международная компания, специализирующаяся на предотвращении кибератак, фиксирует распространение новой волны мошенничества, в котором пользователям, уже пострадавшим от интернет-преступников, предлагают получить компенсацию ущерба, но вместо этого списывают деньги и похищают данные банковских карт. Злоумышленники действуют под видом несуществующих организаций — Международной службы «Единый центр возвратов», «Национального Лотерейного Содружества», «Центра финансовой защиты» и др. Помимо стандартного привлечения жертв через рассылку по почте, в мессенджерах или соцсетях, мошенники для формирования доверия используют фейковые СМИ с интервью тех, кто якобы уже получил возврат денег. CERT-GIB продолжает блокировку мошеннических ресурсов и призывает пользователей быть бдительными.

Цинизм крепчал: за опрос не бьют в нос

На фоне тревожной новостной повестки, вызванной пандемией коронавируса, перехода на «удаленку» и финансовых трудностей в отдельных сегментах бизнеса, интернет-мошенники активнее используют проверенные психологические приемы с социальной инженерией. Одной из самых успешных интернет-афер остается схема «Двойной обман», которая этой весной активизировалась в интернете.

Суть схемы состоит в том, что людям, однажды уже ставшим жертвами интернет-мошенников, предлагают помощь в получении компенсации за ущерб. Сценариев у схемы несколько — мошенники предлагают возместить деньги за участие в популярных фейковых опросах, give away или «недобросовестных» лотереях. В другом случае обещают компенсацию НДС за расходы на покупку иностранных товаров: лекарств и БАДов, одежды и обуви, продуктов питания, топлива, стройматериалов, бытовой техники и т.д. Мошенники активно используют «синдром обманутого вкладчика» — так в 90-е годы жертвы финансовых пирамид, поддавшись на вирусную рекламу возврата потерянных средств, добровольно несли оставшиеся деньги в структуры типа «МММ» и вновь оказывались жертвами аферы.

CERT-GIB исследовал инфраструктуру одного из мошеннических ресурсов — Международной службы «Единый центр возвратов» (ЕЦВ) — и обнаружил целую сеть связанных сайтов, включавшую более 170 доменных имен, зарегистрированных на одно и то же лицо. Параллельно с ЕЦВ работает ее схема-клон: от лица «Национального Лотерейного Содружества» посетителям обещают страховую выплату за «недобросовестную» деятельность организаторов лотерей.

Рис. 1 Связанные домены схемы «Двойной обман», исследованные с помощью системы графового анализа Group-IB

Пытаясь избежать блокировок, мошенники уходят из Рунета. Если два года назад в доменной зоне .ru были зарегистрированы всего несколько сайтов с предложением компенсаций, то в конце 2019 года появились порядка 200 доменов в международной доменной зоне .xyz (именно здесь часто регистрируют образовательные, инженерные и юридические ресурсы, —прим. Group-IB), чтобы избежать быстрой блокировки. В марте 2020 года появились три десятка новых доменов под схему с компенсацией НДС.

Рассчитайте выплату — и будет вам счастье

Атака, как правило, начинается с рассылки в мессенджерах, по почте или в соцсетях. Эксперты CERT-GIB предполагают, что мошенники проводят свои рассылки как «на холодную» , так и таргетировано, по жертвам прошлых афер, поскольку в различных схемах (например, «Кроличья нора») злоумышленники специально собирают данные пользователей — ФИО, телефоны или адреса электронной почты, чтобы использовать их повторно для рассылки спама или ссылок на новые мошеннические акции.

В кейсе с компенсацией НДС была выбрана более изощренная модель продвижения: мошенники рекламировали в группах Яндекс.Район фейковое интервью со специально созданного сайта-клона популярного издания Лента.ру: «76 летняя пенсионерка получила 170 000 руб компенсации НДС и потратила все деньги на стрептизера» (орфография сохранена). Публикацию сопровождали новости о коронавирусе, самоизоляции и отзывы «счастливчиков», получивших деньги. Из интервью ссылка вела на посадочную страницу, где посетителям предлагали рассчитать сумму компенсации НДС — на сайт «Центра финансовой защиты».

На сайте «Единого центр возвратов» говорится, что максимальная сумма компенсации составила 250 000 рублей. В «лотерейной схеме» пострадавшим от лица несуществующего «Национального Лотерейного Содружества» обещают выплатить чуть больше — до 280 000 рублей, на сайте «Центра финансовой защиты» — до 300 000 рублей.

Чтобы получить возврат за участие в опросе или лотерее, посетителям необходимо рассчитать сумму компенсации, вбив последние 4 цифры своей банковской карты (на сайте «Центра финансовой защиты» — 6 цифр ). По легенде мошенников, сумма возврата якобы рассчитывается, исходя еще и из IP-адреса посетителя и его локации (страна, город), что, конечно же, является фейком.

Введя вымышленные цифры, специалисты Group-IB обнаружили, что могут рассчитывать на сумму возврата в 231 926 рублей (компенсация 181 700 рублей + 50 228 рублей «страховка»). Наличие подобной «уязвимости» — ввести можно абсолютно любые цифры — свидетельствует о том, что мошенники не только завлекали реальных жертв прошлых кампаний, но и просто любопытных посетителей, решивших испытать судьбу. Понятно, что выплаты были одобрены абсолютно всем. Для большей убедительности на сайтах были опубликованы многочисленные позитивные отзывы и «истории успеха» тех «счастливчиков», которые якобы смогли получить компенсацию и не скрывали своей радости.

После расчета и одобрения суммы компенсации пользователю необходимо было ответить на вопросы «юриста отдела страховых выплат». Его аватарка появлялась тут же во всплывающем окне «чат-бота» — юрист предлагал пользователю заполнить анкету, указав ФИО и телефон, а затем оплатить его «услуги» за оформление документов. Разумеется, разговор с «юристом» — имитация живого диалога, все сообщения представляют собой заранее подготовленный скрипт для чат-бота, что еще раз свидетельствует о технологичности придуманной схемы.

Чтобы у жертвы не было желания покинуть сайт, злоумышленники угрожают потерей денег, ссылаясь на несуществующий документ — «О страховых возмещениях № 319» п22, согласно которому, если в течение 24 часов обманутый пользователь не получит деньги, вся сумма якобы вернется организаторам интернет-опроса.

Продолжение классическое: для получения компенсации жертве нужно внести небольшую сумму — как правило, до 1000 рублей за юридическую помощь в заполнении анкеты. Перейдя по ссылке на новую страницу — пользователь попадал на фишинговый сайт. Здесь уже организаторы «Двойного обмана» запрашивают данные банковской карты — номер, имя владельца, срок действия, CVV-код. Таким образом, как и в более ранних схемах мошенничества, со счета жертвы списывается небольшой «взнос», а данные банковской карты остаются в руках интернет-преступников.

В последнее время создание фейковых ресурсов, обещающих фантастические выплаты в 200 000 — 500 000 руб за прохождение опроса и give away из схемы „Кроличья нора“, заполнение лотереи или анкеты, является довольно прибыльным бизнесом для интернет-мошенников. Вместо обещанных выплат они собирают с доверчивых посетителей сайтов под видом налогов, комиссий за открытие счета или тестовых платежей суммы от 350 руб. до 3500 руб., параллельно похищают данные банковских карт. Новая мошенническая схема, которую выявил CETR-GIB, нацелена на тех, кто, столкнувшись с интернет-опросами, анкетами или лотереями, однажды уже потерял деньги, и цинизм мошенников в том, что они их обманывают повторно.

Александр Калинин

Руководитель отдела мониторинга и реагирования на инциденты информационной безопасности (CERT-GIB)

Эксперты Group-IB предупреждают, что сайты схемы «Двойной обман» продолжают появляться в Интернете: наиболее активные ресурсы, часть из которых заблокирована, часть в процессе блокировки, приведены ниже:

 
Данные мошеннических ресурсов специалисты CERT-GIB направили регистраторам доменных имен для их дальнейшей блокировки. Сообщить о мошеннических сайтах вы можете по телефону «круглосуточной линии» +7 (495) 984-33-64 или на почту response@cert-gib.com