- Специальный корреспондент
"Нас более 150 человек из более 15 стран и 70 разных городов мира и все мы стали жертвами новой схемы кибермошенников, которые под видом инвестиций на липовых брокерских биржах убедили нас перевести последние деньги в биткоины. Очень многие из нас подверглись ложным обещаниям со стороны лжеброкеров, взяли миллионы рублей под кредит и теперь вынуждены продавать своё имущество, чтобы свести концы с концами. Таким образом мошенники похитили у нас около 300 млн. рублей ($4,0 млн)", — такое обращение от обманутых инвесторов получили в прошлом году специалисты Центра реагирования на инциденты информационной безопасности (CERT-GI.
И это только один из примеров. CERT-GIB выявил более 8 000 доменов, связанных с инфраструктурой мошеннических инвестиционных проектов, и обнаружил более 50 шаблонов-лендингов с различными готовыми инвестиционными сценариями. Примечательно, что домены регистрируются массово и используются в качестве зеркал, обеспечивая работу проекта после приостановки работы одного из доменных имен. Так, в одном из примеров, только с одного почтового адреса с июня по июль 2021 года было зарегистрировано более 320 доменов под мошеннический инвестиционный проект.
Большинство из этих кейсов являются "гибридными схемами", где фишинг используется наряду с телефонным мошенничеством. Как работает эта интернет-афера и на чем зарабатывают мошенники, разбирались специалисты CERT-GIB.
Весной 2020 года началось стремительное падение ставок по банковским вкладам: антирекорд ключевой ставки ЦБ был поставлен в мае позапрошлого года — 4,2%. Это привело к тому, что традиционные банковские вклады перестали приносить доходы и стали абсолютно непривлекательными для вкладчиков. Опасаясь оттока клиентов, банки начали активно продвигать свои инвестиционные платформы, позволяя даже людям с минимальными знаниями в трейдинге торговать акциями. Естественно, сказочно разбогатеть, да еще быстро и с минимальными вложениями, удалось не всем. А точнее — никому.
Однако, наблюдая огромное количество финансовых неофитов с туго набитыми карманами, мошенники запустили свои инвестиционные и криптовалютные проекты, обещающие сверхвысокие заработки от купли-продажи акций или торговли на несуществующих криптобиржах. Хотя сами схемы с поддельными инвестиционными проектами работают в текущем виде как минимум с 2016 года (примерно в это время ЦБ начал бороться с различными проектами форекс-дилеров), массовое распространение они получили только в 2020-м в связи с популярностью частного инвестирования в России и появлением более понятных механизмов работы с криптовалютой.
"Олигархи возмущены": три способа, как стать очень богатым
Весной 2021 года специалисты CERT-GIB заметили массированную рекламную кампанию в социальных сетях, в которой известные люди — предприниматели, политики и амбассадоры популярных брендов — предлагали частным вкладчикам участвовать в сверхдоходных инвестиционных проектах.
Для привлечения внимания мошенники в основном активно использовали три базовых сюжета. Есть другие, но сейчас именно эти наиболее популярны в российском сегменте интернета:
- "Альтернатива банкам"
Этот вариант связан с появлением якобы принципиально новой финансовой платформы, позволяющей получить невероятный доход. В рекламе демонстрируется фейковое видео, в котором говорят о "революционной" платформе, помогающей тысячам пользователей отказаться от традиционных банковских услуг и получить полную финансовую независимость. - "Недра — народу"
Он привлекает вкладчиков для участия в неких нацпроектах по освоению сверхдоходов от торговли нефтью и газом — "недр, которые должны принадлежать народу". Как правило, в таких случаях используется нарезка из новостных сюжетов с участием первых лиц страны, но с фейковой озвучкой и субтитрами.
Реклама на платформе YouTube
- "Финансы для людей"
Этот сюжет паразитирует на брендах реальных инвестиционных инструментов от известных финансовых организаций, но, разумеется, вместо официальных ресурсов инвесторов уводят на мошеннические сайты.
- На мошенническое приложение в Google Play.
- На сайт-опросник, который собирает персональную информацию о жертве, включая ее телефонный номер.
- На фейковую страницу популярного СМИ: интернет-издания или телеканала.
Последние известия
Специалисты CERT-GIB обнаружили несколько шаблонов, которые стилистически копируют внешний вид популярных новостных сайтов, таких как "Россия-24", RT и РБК. Пользуясь популярностью и авторитетом этих медиаресурсов, мошенники вводят читателей в заблуждение фейковыми публикациями о преимуществах несуществующих инвестиционных проектов.
Первое знакомство с проектом
При клике на любой объект поддельной страницы новостной статьи жертву переадресуют на следующий элемент мошеннической цепи — сайт инвестиционного проекта. Как правило, это несуществующие инвестиционные проекты, например, функционирующие на основе торговли валютой, криптовалютой, полезными ископаемыми, природными ресурсами, фармацевтикой. Практически каждый из них упоминает фантастические заработки: от 300 000 до 10 000 000 рублей в месяц. По формату это лендинги-одностраничники с подробной продающей информацией о проекте и формами ввода данных для регистрации: Ф. И. О., номер телефона, email.
На этих страницах потенциальную жертву продолжают погружать в легенду: с одной стороны — через яркие и простые призывы разбогатеть, с другой стороны — через знакомство с вымышленными торговыми технологиями, а также с огромными процентами возможного заработка. В описании "математики" проекта обычно используют набор таких тем, как криптовалюты, майнинг, искусственный интеллект, big data и т.д. Используя известный бренд или комментарии от успешных бизнесменов, мошенники создают у потенциальной жертвы доверие к инструменту инвестирования. Основная задача этой лендинговой страницы — заставить посетителя ввести свои контактные данные для консультации и доступа к проекту.
Опросники
Существует альтернативный вектор получения этих данных, упомянутый ранее: сайт-опросник под видом известного банка. Так, по оценкам специалистов DRP Group-IB, в среднем на один крупный банк, предоставляющий инвестиционные услуги, приходится более 180 подобных мошеннических ресурсов в месяц.Примеры сайта с опросами:
Потенциальная жертва оказывается на таком сайте после перехода по рекламе из социальной сети. Ей предлагают ответить на несколько вопросов, выбрав соответствующие варианты. Все вопросы финансового характера и направлены на то, чтобы мотивировать потенциальную жертву участвовать в проекте. На финальном этапе посетитель увидит форму, предлагающую заполнить контактные данные.
Общение с оператором и торговля
После того, как посетитель оставил свои контакты, он получает уведомление, что скоро ему позвонят операторы сервиса.
И действительно, звонок не заставит себя ждать. Примерно в течение часа по указанному номеру с человеком связывается оператор, он же менеджер, он же куратор проекта. И тут начинается самое интересное.
"Оператор" рассказывает про уникальный проект, где якобы специальная программа/робот/искусственный интеллект помогает зарабатывать деньги на торгах — пользователю лишь нужно вносить депозиты. Пороговая сумма, как правило, начинается от 250 долларов.
Телефонный мошенник будет пытаться втереться в доверие, используя различные психологические уловки. Например, создавать образ "своего" человека. Так, в одном сценарии девушка пытается узнать возраст, специальность и цель инвестиций собеседника. Узнав имя, отвечает, что так же зовут ее брата. Получив информацию о месте работы, отвечает, что тоже работала в этой отрасли — и так далее.
В других случаях эксплуатировалось так называемое правило трех "да", когда мошенники произносят серию утверждений, с которыми абонент просто не может не согласиться, или вопросы, на которые нельзя ответить отрицательно. Например, мошенник задает вопрос: "Наверное, вы или кто-то из ваших близких в недавнем времени испытывали финансовые трудности? Вы бы хотели стать финансово независимыми и помогать своим близким? "
Заставляя положительно отвечать на все эти вопросы, мошенник в итоге приведет потенциальную жертву к основному вопросу: готов ли собеседник прямо сейчас начать вкладывать деньги. И уже "подготовленный" клиент, скорее всего, ответит "да". На протяжении всего разговора оператор будет снимать все сомнения, возникающие у будущего инвестора.
В рамках такого телефонного звонка может разворачиваться несколько мошеннических сценариев.
Сюжет №1: "Биткоин-кошелек"
Если абонент отказывается внести входной депозит — например, ссылается на отсутствие необходимого количества средств — оператор предлагает забронировать место в проекте, чтобы не упустить возможность заработать в будущем. Для этого лишь нужно создать Киви-кошелек и внести небольшую часть суммы — порядка 10 000 рублей. После этого в мессенджере присылают номер биткоин-кошелька и просят перевести туда деньги через популярный обменник, например, bestchange.ru.
Если жертва соблюдает условия и переводит деньги — она просто их теряет. Через некоторое время с жертвой снова могут связаться и попросить положить аналогичным способом еще небольшую сумму.
Сюжет №2: "Выманивание данных"
В этом случае оператор под различными предлогами — например, в рамках банковской проверки — просит сообщить данные банковской карты, с помощью которой потенциальный "участник" планирует инвестировать. Мошенник спрашивает номер, имя владельца, срок действия и секретный код (CVV-код, указанный на обратной стороне). Получив данные, оператор предлагает внести на карту депозит, говоря, что производит запрос в банк на совершение транзакции, которую будущей жертве нужно будет подтвердить.На самом деле мошенники инициируют перевод денежных средств, в результате которого жертва просто теряет деньги со счета, к которому привязана карта.
Сюжет №3: "Торговый терминал"
Во время разговора оператор отправляет в мессенджер ссылку на сайт поддельного торгового терминала, в котором уже создана учетная запись для "клиента".
Переходя по ссылке, жертва получает доступ к торговому терминалу, где ей предлагается создать счет и пополнить его на $250, $500 или $1000. При попытке пополнения появляется страница с различными способами внесения средств.
Стоит обратить внимание на то, что оператор сопровождает жертву на протяжении всех действий, работая с возражениями и сомнениями, подбадривая или уговаривая выполнить все необходимые условия.
При исследовании данных схем нам попадались полностью автоматизированные сценарии — без привлечения операторов. Например, жертва после фейкового новостного сайта сразу перенаправлялась на поддельный торговый терминал с фиктивной регистрацией.
Аналогично предыдущей схеме, от посетителя требуется внести депозит.
Кроме мошеннического сайта, после перехода по рекламному объявлению пользователей могут направить в Google Play для установки мошеннического приложения. Аналогично сайтам, оно представляет собой инвестиционное приложение, позволяющее пополнять торговый счет сразу из приложения.
Интерфейс мошеннического мобильного приложения:
Получение фантиков
После того, как жертва внесла депозит, на сайте торгового терминала в личном кабинете или мобильном приложении отображается сумма, эквивалентная сумме депозита, однако это всего лишь "фантики", которые нельзя конвертировать обратно в валюту. Это становится очевидно, когда наивный вкладчик, увидевший крупную нарисованную прибыль в своем личном кабинете, пытается вывести ее. Так, при попытке перевода средств на карту, жертва увидит убедительные иллюзии совершения транзакций и работы платежных шлюзов, однако это приведет к неминуемым "ошибкам" и дополнительным условиям вывода денег:- Верификация
Вкладчику предлагается заполнить полную информацию о себе, включая паспортные данные (возможно, даже с фотографией) и данные банковской карты, если злоумышленники не получили их на ранних этапах. - Зарубежный банк
Жертве якобы нужно заплатить комиссию за перевод, поскольку используется зарубежный банк или валюта. - Комиссия платежного шлюза
Просят заплатить дополнительную платежную комиссию или налог на доход.
Что в итоге?
В ходе анализа мошеннических проектов было выявленоболее 50 различных шаблонов-лендингов с разными инвестиционными легендами. В каждой легенде предлагался уникальный подход и техника заработка. Очевидно, что мошенники, разрабатывающие эти шаблоны, подошли к задаче креативно. А столь широкая вариативность мошеннических сценариев в рамках данной схемы может свидетельствовать об ее успешности: мошенники не желают прекращать свою активность, разрабатывая все новые и новые сценарии обмана.В общей сложности было выявлено более 8000 доменов, связанных с инфраструктурой мошеннических инвестиционных проектов. Подсчет осуществлялся в рамках графового анализа сетевой инфраструктуры на основе большого массива данных: информации о владельцах доменов, указанной при регистрации, DNS-записей доменов, отпечатков сервисов на IP-адресах, выделенных хостингов и т.д.
В ходе анализа всего массива доменов, связанных с инфраструктурой мошеннических инвестиционных проектов, было установлено, что больше всего доменов зарегистрировали в первом полугодии 2021 года. Эксперты Group-IB предупреждают, что итог участия в подобных инвестпроектах в большинстве случаев одинаков — в погоне за сверхдоходами люди могут потерять все свои накопления и, более того, оказаться в кредитной кабале.
