Как кибераферисты используют ажиотаж вокруг ухода бренда из страны
Нашумевшей распродажей IKEA с техническими сбоями и сменой правил не могли не воспользоваться кибермошенники, которые похищают платежные данные россиян и деньги с карт. На фоне ажиотажа вокруг ухода шведского бренда из России злоумышленники разработали новый сценарий популярной схемы «Мамонт», сообщили «Известиям» в Group-IB. Специалисты компании обнаружили два десятка фейковых сайтов IKEA, которые были активированы после объявления о распродаже. Своих «мамонтов» (так на сленге мошенников называются жертвы) злоумышленники ловят и на популярных досках объявлений, в соцсетях, в телеграм-каналах. В среднем пострадавшие могут терять десятки тысяч рублей, поскольку товары на распродаже отнюдь не дешевые. В пресс-службе ЦБ «Известиям» рассказали, что злоумышленники, которые в том числе специализируются на фишинговых сайтах, всегда используют актуальную повестку. По предварительным данным, за первое полугодие 2022-го регулятор инициировал блокировку более 2,4 тыс. мошеннических сайтов, причем около 4% из них предлагали товары и услуги.
«Мамонт» в торговой лавке
Сама по себе мошенническая схема «Мамонт» (Fake Courier) уже хорошо известна. Первое ее массовое использование в России было зафиксировано три года назад, но пик распространения пришелся на период пандемии, когда вырос спрос на услуги доставки. Тогда активность злоумышленников выросла более чем на порядок.
Сначала кибермошенники создавали фейковое объявление на одной из популярных досок объявлений и стандартными методами социальной инженерии (низкая цена, большие скидки, большое количество претендентов) убеждали людей совершить покупку. Дальше всё просто: фишинговая ссылка на оплату, полностью копирующая оригинал, и потеря денег, а также платежных данных. Имея эти сведения, злоумышленники могут совершить не одну кражу.
Кстати, жертвой могут стать не только легкомысленные покупатели, которые ищут «почти бесплатный сыр», но и продавцы товаров, данные которых выманивают под предлогом проверки оплаты. Потом сценарий «Мамонта» начали использовать не только для доставки, но и в сферах аренды недвижимости, продажи автомобилей и туристических поездок.
Фото: скриншот сайта
Со временем схема претерпела технические изменения из-за того, что владельцы площадок создали электронную систему безопасности онлайн-покупок, которая позволяет продавцу получить деньги только после получения товара. А фишинговые ссылки, присланные в чаты, просто блокируют. Поэтому мошенники начали уводить потенциальных жертв, которые указывают телефоны для прямой связи, во внешние мессенджеры.
Кроме того, как рассказали «Известиям» эксперты, охоту на «мамонта» мошенники ведут уже не только на досках объявлений, но и в соцсетях, особенно в различных районных и подобных группах, телеграм-каналах.
В июле схема пополнилась новым сценарием — мошенники пытаются использовать повышенный ажиотаж вокруг ухода IKEA из России и распродажи товаров бренда, сообщил руководитель Центра реагирования на инциденты Group-IB (CERT-GIB 24/7) Александр Калинин. По его словам, всего специалисты CERT-GIB обнаружили два десятка фишинговых сайтов, большинство из которых созданы за последние три месяца, а активированы после объявления о начале распродаж.
Эксперт привел два примера обращений пользователей о действиях мошенников. В первом случае человек откликнулся на сообщение о распродаже товаров IKEA на популярной доске объявлений и получил фишинговую ссылку на фейковый сайт. Во втором жертва получила личное сообщение в популярной соцсети с предложением перейти в Telegram-чат для выбора и заказа товаров из IKEA и обещание оформить персональную скидку от «сотрудника» ритейлера. Этому человеку тоже отправили ссылку с просьбой оплатить несуществующий заказ.
Специалисты Group-IB считают, что ущерб может быть значительным — стоимость товаров, которые «продаются» на фейковых сайтах, составляет десятки тысяч рублей.
— Более того, жертву могут обмануть дважды — еще и при попытке оформления возврата, — отметил Александр Калинин.
О преемственности схемы «Мамонт» свидетельствует тот факт, что некоторые домены, созданные под IKEA, как показывает граф сетевой инфраструктуры, имеют прямые связи с ресурсами, использовавшимися в подобных сценариях ранее.
Обнаруженные домены под фейковую IKEA направлены на блокировку, сообщили «Известиям» в Group-IB. Однако парой десятков фальшивых сайтов дело явно не ограничится. Например, в позапрошлом году, в пиковые моменты пандемии, компания направляла на блокировку до 3 тыс. мошеннических доменов, связанных со схемой «Мамонт».
Ажиотажный прорыв
Опрошенные «Известиями» эксперты, в том числе по информбезопасности, также отметили рост активности мошенников в связи с распродажей IKEA. Причем во многом этому способствовало то, каким образом была организована акция, считает руководитель платформы «Мошеловка» Евгения Лазарева.
— Выбор пал только на онлайн-распродажу, сайт рухнул еще до старта акции, потом правила постоянно менялись. Это усугубило ажиотаж и запутало людей, — указала она.
С этим согласен и руководитель отдела анализа цифровых угроз Infosecurity a Softline Company Александр Вураско.
— Событие вызвало значительный ажиотаж и привлекло огромное количество людей, а технические неполадки на официальном ресурсе лишь разогрели интерес потенциальных покупателей и вынудили их искать необходимые товары на других площадках, — отметил он.
Злоумышленники, которые в том числе специализируются на фишинговых сайтах, всегда используют актуальную повестку, подтвердили в пресс-службе Центробанка.
— Они оперативно меняют свои схемы и сценарии для того, чтобы получать личные и финансовые данные граждан, а затем с помощью этой информации похищают деньги, — подчеркнули в ЦБ.
Фото: скриношот сайта
Как сообщила пресс-служба регулятора, по предварительным данным, за первое полугодие 2022-го Центробанк выявил и инициировал блокировку более 2,4 тыс. мошеннических сайтов, причем около 4% из них предлагали товары и услуги.
Эксперты пояснили, какие особенности схемы «Мамонт» представляют наибольшую опасность. Во-первых, организаторов очень тяжело выявить и привлечь к ответственности, поскольку они разрабатывают инструменты, необходимые для атаки, а всю «полевую» работу выполняют так называемые воркеры. Это рядовые исполнители, которые не имеют особой квалификации и опыта, рассказал Александр Вураско. Он уточнил: воркеры даже не имеют прямой связи с создателями схемы — все необходимые комиссии за использование мошеннических инструментов высчитываются и перечисляются организаторам автоматически.
— Порог входа в этот бизнес крайне низок, что привлекает в эту сферу огромное количество людей. При этом организаторы преступного сообщества могут находиться за пределами России, а процесс сбора доказательств занимает весьма немалое время, — сказал специалист по кибербезопасности.
Во-вторых, завладев персональными и платежными данными, злоумышленники могут полностью обчистить счет в дальнейшем, заявила Евгения Лазарева. Кроме того, полученную информацию аферисты, как правило, сохраняют в базах данных, которые затем продаются в даркнете и могут быть использованы уже совсем другими мошенниками, добавила она.
Эксперт предупредила: помимо сайтов и объявлений о продаже товаров из IKEA, появилось большое количество аналогичных предложений с бронированием в популярных отелях Краснодарского края.
С рук не брать
Можно себя защитить, невзирая на хитроумно расставленные аферистами ловушки? Несомненно, уверены эксперты. Если вы покупаете что-то, как это принято говорить, с рук, то нужно проявлять вдвое большую бдительность.
— Любые покупки мест в очередях, официальных товаров с рук или через неофициальные сайты могут быть мошенническими и потенциально опасными. Если с вас спрашивают предоплату, это может быть сигналом о мошенничестве, — предупредил руководитель направления исследований Центра исследования финансовых технологий и цифровой экономики «Сколково-РЭШ» Егор Кривошея.
При использовании досок объявлений Евгения Лазарева посоветовала общаться с продавцом или покупателем только в чатах сервиса.
Аналогичный совет был в ответе пресс-службы «Авито».
— Алгоритм внутри чата распознает небезопасные действия и предупреждает об этом — например, если вам пытаются отправить спам или фишинговую ссылку, он не даст это сделать, — посяснили в компании.
Александр Вураско посоветовал проверять информацию, внимательно смотреть, на каком именно сайте вы совершаете покупку, тем более когда речь идет о распродажах, не доверять людям, предлагающим максимально выгодные предложения в мессенджерах и соцсетях. Скажем, в случае с IKEA люди зачастую довольствуются отрывками информации. При этом можно было почитать новости, «пробив» сведения через поисковики. Специалист по кибербезопасности также подчеркнул, что важно проверять своего контрагента перед совершением сделки любым доступным способом.
