14 октября 2021

Не ходи к нему на встречу: Group-IB исследовала мошенническую схему со лжесвиданиями

Group-IB, один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети, обнаружила более 700 доменов фейковых сайтов театров, стендап-шоу, ресторанов, кинотеатров, которые мошенники используют для кражи денег под видом приглашения на свидание. За последние три года схему Fake Date (фальшивое свидание — с англ.) взяли на вооружение два десятка преступных групп — выручка одной из них за год составила более 18 миллионов рублей.

От «антикино» к «антитеатру»

Первые случаи использования в России схемы Fake Date с приглашением на фейковые свидания в «антикино»— кинотеатр с залами для двоих — специалисты Group-IB фиксировали еще в 2018 году после обращений обманутых любителей романтики. Однако расцвет этой интернет-аферы пришелся на период, связанный с пандемией коронавируса, то есть 2020 год и первую половину-2021 года.

Для сравнения: если в 2019 году под схему Fake Date было зарегистрировано всего 25 фишинговых сайтов, то в 2020 году их было уже 263, а в 2021 году — 428 доменов. В этом году самым популярным «местом для свидания» у мошенников оказались театры и стендап-шоу (60%). Чуть менее раскрученные локации — фейковые рестораны, СПА и кальянные (35%). А вот тема с «антикино» после того, как ее подробно описали исследователи Group-IB, практически себя изжила. На нее приходится менее 5%.

Независимо от места для романтической встречи сценарий обмана выглядит примерно одинаковым: симпатичная «девушка» знакомится в сервисах Tinder, Badoo или в соцсетях с молодым человеком, быстро переводит диалог в мессенджер (обычно, Telegram) и сама приглашает его на свидание. Как бы случайно у «девушки» оказывается билет на спектакль или выступление звезды стендап-шоу. Она отправляет QR-код своего билета и предлагает выкупить место рядом с ней. После чего скидывает ссылку на сайт, где этот билет можно приобрести. Молодой человек оплачивает «билет» — теряет деньги, а «девушка» добавляет его номер в блэклист и больше не выходит на связь.

Работая по схеме Fake Date, мошенники, как правило, предварительно пытаются узнать интересы своего собеседника, составить его психологически портрет, и исходя из этого предлагают ту или иную «наживку», в том числе, исходя из платежеспособности «жертвы». Например, стоимость «билетов» в театр от 2500 рублей в партере до 5500 рублей в VIP-ложу куда более демократичные, чем билеты в «антикино», которые обойдутся в 4900 — 6900 рублей. Исследуя эту схему, мы встречались с самыми различными ее модификациями. В некоторых из них жертве приходилось платить трижды: за свой билет, за билет для «подружки» и при попытке при оформлении возврата.

Ярослав Каргалев

Ярослав Каргалев

Заместитель руководителя CERT-GIB

След от «Мамонта»

Всего эксперты CERT-GIB насчитали как минимум 24 команды мошенников, работающих по схеме Fake Date, причем их количество растет из года в год. Так, в 2019 году — 2 группы, 2020 году — 7 групп, 2021 году — 15 групп. Правда, не все из них уже действующие. В ходе исследования аналитики обнаружили связи доменных имен фишинговых сайтов из схемы Fake Date с ресурсами из популярной схемы «Курьер» (или «Мамонт»), нацеленной на кражу денег и данных банковских карт пользователей с помощью фейковых сайтов популярных курьерских служб и маркетплейсов. Более того, в некоторых случаях сайты были зарегистрированы одними и теми ж людьми.

Любопытно, что схема Fake Date практически полностью переняла у «Мамонта» иерархию, техническую базу, модель функционирования и даже слэнг («мамонтом» на языке мошенников называют жертву). Вся работа рядовых участников, так называемых «воркеров», координируется через Telegram, где созданы специальные чат-боты с готовыми фишинговыми сайтами под различные площадки — кинотеатры, театры, рестораны, кальянные, с уже настроенной генерацией билетов, чеков, подробными скриптами для переписки с жертвой. Для продвинутых скамеров налажена продажа «под ключ» записанных от лица девушек «голосовушек» — аудио и видео сообщений с приглашением на свидание. Кроме того, существуют отдельные Telegram-каналы с информацией о выплатах и чаты для общения «воркеров».

Согласно данным одного из скам-проектов, его выручка за год составила более 18 млн рублей при более чем 7 000 транзакций. Похищенные деньги поступают на банковские карты или кошельки «админов», которые выплачивают «воркерам» процент (от 70 до 80%) от каждой транзакции. При оплате жертвой «возврата», часть суммы получает еще и «прозвонщик» из технической поддержки, который «ведет» клиента.

Эксперты Group-IB рекомендуют не оплачивать покупки на незнакомых сайтах, не переходить по ссылкам, которые присылают неизвестные, приобретать билеты самостоятельно и только на проверенных ресурсах. Для пресечения подобных «продвинутых скам-схем» классического мониторинга и блокировки брендам уже недостаточно — необходимо выявлять и блокировать инфраструктуру преступных групп и использовать решения класса Digital Risk Protection.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте