Развод в сети: мошеннические схемы, появившиеся после начала спецоперации

Компании в сфере кибербезопасности выявили новые сценарии похищения денег и данных
Евгений Разумный / Ведомости
Евгений Разумный / Ведомости

На фоне западных санкций и спецоперации на Украине в интернете появилось множество новых уловок, позволяющих совершить незаконные операции с денежными средствами. Они используют социальную напряженность, ситуацию ухода иностранных компаний с российского рынка или лазейки в платежных сервисах.

О том, что представляют из себя схемы мошеннических операций с платежами, возникшие за последние четыре месяца, «Ведомостям» рассказали специалисты компаний в области кибербезопасности Group-IB, «СёрчИнформ», FBK CyberSecurity и платежного сервиса CloudPayments.

Чаще всего для обмана используются «больные места»: сложности с оплатой товаров или сервисов, осуществление платежей за границей (когда человек находится там) и снятие валюты, объясняет начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд.

Восстановление бесконтактной оплаты

Одна из наиболее живучих схем – это предоставление доступа к приложениям, которые якобы восстанавливают возможность бесконтактной оплаты через NFC (SamsungPay и ApplePay), рассказывает руководитель направления консалтинг в области импортозамещения ПО и АПК, FBK CyberSecurity Игорь Собецкий. После установки и введения данных карты все деньги со счета жертвы списываются. Также появились интернет-сервисы, которые якобы обеспечивают разблокировку Visa и Mastercard для работы за границей (режим «снятия санкционных ограничений»): в этом случае пользователь оплачивает предоставление услуг, которые не могут быть выполнены, добавляет эксперт.

Пока владельцы iPhone пытаются найти хоть какие-то легальные способы оплачивать Apple Music и другие «яблочные» подписки, мошенники создают новые схемы для кражи денег, данных банковских карт и угона учетных записей Apple ID. Они могут быть такими, рассказывает представитель Group-IB:

  • Скамеры предлагают пользователям пополнить счет в Apple Store и iTunes с помощью специальных виртуальных карт на суммы до 6000 рублей, а поскольку форма оплаты фишинговая, то все данные и деньги попадают в карман злоумышленников.

  • Владельцам iPhone предлагают вернуть возможность расплачиваться за товары и услуги с помощью Apple Pay. Для этого жертве отправляют фишинговую ссылку на «сервис iCloud» и, если пользователь ввел на фейковом ресурсе свои данные Apple ID, преступники могут получить доступ к iCloud, App Store, Apple Music, iMessage, FaceTime.

С похожей схемой столкнулись пользователи PlayStation Store, продолжает представитель Group-IB. Специалисты компании обнаружили фишинговый сайт магазина в конце мая в ходе исследования сети мошеннических ресурсов, торгующих фейковыми виртуальными картами.

С марта официальный магазин Sony не принимает к оплате российские карты, чем и воспользовались мошенники, подтверждает Алексей Дрозд: они создали фишинговый сайт PlayStation, в котором можно было приобрести подарочные карты-ваучеры для пополнения счета в игровом магазине. «Покупка поддельных карт принесла геймерам не только минус на карте: злоумышленникам достались и банковские данные пользователей. Меньшее из зол, с которым могут столкнуться пользователи, оставляющие свои данные на фишинговых сайтах – подписка на сервисы или спам-рассылка, в основном цель мошенников – финансовая выгода», – предупреждает Дрозд.

Всего же, по подсчетам экспертов подразделения Group-IB Digital Risk Protection, с начала марта в России появилось около 250 мошеннических ресурсов известных брендов и разработчиков игр, куда злоумышленники нагоняли трафик.

Фейковые приложения банков

Из-за введения санкций против России из App Store и Google Play были удалены приложения некоторых банков. После этого в магазинах начали появляться фейковые приложения, например, Сбербанка – Sberbank Mobile banking, Sberbank on-line banking, Sberbank Conference, говорит Алексей Дрозд. Одно из них было выгружено в App Store разработчиком «Сбера», который опубликовал его для «друзей и знакомых», банк быстро принял меры и удалил приложение из магазина, говорит эксперт.

Недавно на седьмое место в топе самых скачиваемых приложений в России (среди бесплатных) в магазине App Store вырвался сервис «Сбербанк онлайн сайт». В описании указан разработчик Саид Ахмедов, а еще говорится, что это «приложение для моментального входа в сайт сбербанк онлайн» и что «в приложении получить доступ к сайту на много быстрее» (пунктуация и орфография сохранены). Сбербанку пришлось официально заявлять, что это не его приложение, а мошенники.

Клиентов ВТБ недавно застало врасплох появление официальных приложений банка, в которых не было логотипов и других деталей, подтверждающих подлинность мобильного банка. Подобные недочеты официальных разработчиков дают мошенникам больше шансов заманить жертв на фейковые приложения и сайты, которые могут быть сделаны более искусно, сетует эксперт «СёрчИнформ».

В связи с появлением большого количества фейков и фишинговых ресурсов, нацеленных на известные бренды, клиентам стоит быть особенно бдительными, даже загружая программы из официальных «сторов» – App Store и Google Play, предупреждает руководитель отдела исследований департамента защиты от цифровых рисков Group-IB Яков Кравцов. «Необходимо проверить, кто автор приложения и имеет ли оно отношение к реальному бренду, когда оно появилось, внимательно изучить отзывы – нередко именно там можно встретить предупреждения о мошенничестве. Безопаснее всего переходить на мобильные приложения с официальных сайтов компаний, но при этом нужно быть уверенным, что ресурс – официальный», – подчеркивает Кравцов.

«Выгода злоумышленников в таких случаях проста и понятна: при авторизации в таком приложении и совершении платежей пользователи собственноручно отдают персональные и платежные данные», – заключает Дрозд.

Телефонные мошенничества – новые сценарии

Некоторые из них были замечены неоднократно, утверждает представитель CloudPayments. В частности – перевод денег в безопасную ячейку из-за отключения SWIFT и мошенничество под предлогом закрытия карт международных платежных систем.

В первом случае злоумышленник под видом сотрудника банка сообщает клиенту об угрозе отключения российских банков от SWIFT и необходимости перевести деньги на безопасный счет, который оказывается мошенническим, объясняет представитель сервиса. «Иногда звонит робот-информатор, который сообщает о необходимости снять или перевести деньги, после чего переключает разговор на оператора для подтверждения действия. Оператор, в свою очередь, получает доступ к личному кабинету человека, выясняя у него конфиденциальную информацию», – рассказывает эксперт.

В другом случае под предлогом закрытия карт международных платежных систем злоумышленник, представляясь сотрудником банка, информирует клиента о скором закрытии его карты (Visa/Mastercard) и необходимости оформить карту платежной системы «Мир». При этом для перевыпуска злоумышленник просит клиента назвать реквизиты его действующей банковской карты, а также код из смс для подтверждения заявки, после чего получает доступ к личному кабинету клиента, говорит представитель CloudPayments.

Как только Visa и MasterCard приостановили свою деятельность в России, в сети начали появляться предложения для россиян с призывом оформить карту в странах СНГ, подтверждает эксперт «СёрчИнформ» Алексей Дрозд. Мошенники предлагали свое посредничество по открытию кредитных карт в западном банке, привязанных к российскому счету, объясняет ведущий аналитик департамента Digital Risk Protection Group-IB Евгений Егоров. Получив данные карты или задаток за свои услуги, мошенники исчезали.

Помимо того, киберпреступники могут воспользоваться ажиотажным интересом людей к поиску способов обойти ограничения на оборот валюты, поэтому фишинг тут так же вероятен, заключает Алексей Дрозд.

Продажа подписок

В апреле в даркнете появились объявления о продаже доступа к ушедшим с российского рынка сервисам – Spotify Premium, Netflix Premium, Pornhub. Велики риски, что часть подобных объявлений дают доступ к украденным аккаунтам, предупреждает представитель Group-IB: в случае покупки пользователь может потерять не только деньги, но и данные.

Руководитель отдела исследования киберпреступности Threat Intelligence Group-IB Олег Дёров напоминает, что продажа аккаунтов от сервисов с платным доступом – это старый и довольно раскрученный преступный бизнес: злоумышленники заражают компьютеры случайных жертв стиллерами и собирают все сохраненные пароли от всех возможных сервисов, которые были найдены. Таким образом могут быть скомпрометированы не только аккаунты, но и платежные данные, а само устройство может быть заражено вредоносным ПО, добавляет эксперт.

Мошеннические VPN

Сервисы бесплатных объявлений полны предложений по установке VPN-сервисов для обхода блокировки Facebook и Instagram (принадлежат Meta, признанной экстремистской в России). Стоимость подписки на популярный сервис составляет от 50 до 500 руб. на период от месяца до года. За подключение к VPN-серверу продавцы могут просить 500 руб., за аренду виртуального сервера на зарубежных площадках и его настройку – 3000 руб. «Даже поверхностный анализ показывает, что это более чем подозрительные объявления, и лучше не пытаться играть в эту «рулетку», – категоричен Яков Кравцов из Group-IB. Чем более заманчивое предложение («VPN за 1 рубль», «подарок 1000 рублей») и чем больше пользователя торопят («последний шанс», «успейте купить»), тем больше риски столкнуться с интернет-мошенниками. При вводе данных банковской карты для оплаты подобной услуги на незнакомом сайте или в приложении, даже на символическую сумму, велик риск наткнуться на фишинговые ресурсы, заключает эксперт.

Угон аккаунтов от соцсетей

Тем, кто не смог самостоятельно установить VPN или перенести контент из Instagram в Telegram или VK, мошенники в интернете предлагают воспользоваться «технической помощью». Опасность в том, что пользователи могут потерять доступы к своим аккаунтам навсегда: «Мы видим ожидаемый рост предложений об услугах по переносу данных Instagram через телеграм-ботов, чтобы «ничего не потерять», – продолжает Кравцов. Ссылки на подозрительные ресурсы с предложением помощи по переносу контента Instagram могут распространяться через мессенджеры, социальные сети или смс-рассылку, предупреждает он.

«Липовая благотворительность»

В марте в качестве приманки злоумышленники использовали фишинговые страницы «благотворительного фонда», на которой велся сбор средств для пострадавших в результате боевых действий, говорит представитель компании. Собирали не только на помощь раненым: в фейковом письме якобы от имени министра обороны России Сергея Шойгу содержался призыв оказать денежную помощь «российской армии». А в Instagram уже от имени украинского благотворительного фонда мошенники «собирали» деньги на помощь ВСУ. После того как жертва принимала решение пожертвовать какую-то сумму и вводила данные своей банковской карты, они попадали в руки к мошенникам.

Несмотря на то что, по мнению опрошенных экспертов, эти мошеннические схемы нельзя считать массовыми и просуществуют они недолго, так как напрямую зависят от санкций и ограничений, совокупный убыток от них может достигать нескольких десятков миллионов рублей.