Ярослав Каргалев
заместитель руководителя CERT-GIB
"Нас более 150 человек из более 15 стран и 70 разных городов мира и все мы стали жертвами новой схемы кибермошенников, которые под видом инвестиций на липовых брокерских биржах убедили нас перевести последние деньги в биткоины. Очень многие из нас подверглись ложным обещаниям со стороны лжеброкеров, взяли миллионы рублей под кредит и теперь вынуждены продавать своё имущество, чтобы свести концы с концами. Таким образом мошенники похитили у нас около 300 млн. рублей ($4,0 млн)", — такое обращение от обманутых инвесторов получили в прошлом году специалисты Центра реагирования на инциденты информационной безопасности (CERT-GIB).
И это только один из примеров. CERT-GIB выявил более 8 000 доменов, связанных с инфраструктурой мошеннических инвестиционных проектов, и обнаружил более 50 шаблонов-лендингов с различными готовыми инвестиционными сценариями. Примечательно, что домены регистрируются массово и используются в качестве зеркал, обеспечивая работу проекта после приостановки работы одного из доменных имен. Так, в одном из примеров, только с одного почтового адреса с июня по июль 2021 года было зарегистрировано более 320 доменов под мошеннический инвестиционный проект.
Большинство из этих кейсов являются "гибридными схемами", где фишинг используется наряду с телефонным мошенничеством. Как работает эта интернет-афера и на чем зарабатывают мошенники, разбирались специалисты CERT-GIB.
Весной 2020 года началось стремительное падение ставок по банковским вкладам: антирекорд ключевой ставки ЦБ был поставлен в мае позапрошлого года — 4,2%. Это привело к тому, что традиционные банковские вклады перестали приносить доходы и стали абсолютно непривлекательными для вкладчиков. Опасаясь оттока клиентов, банки начали активно продвигать свои инвестиционные платформы, позволяя даже людям с минимальными знаниями в трейдинге торговать акциями. Естественно, сказочно разбогатеть, да еще быстро и с минимальными вложениями, удалось не всем. А точнее — никому.
Однако, наблюдая огромное количество финансовых неофитов с туго набитыми карманами, мошенники запустили свои инвестиционные и криптовалютные проекты, обещающие сверхвысокие заработки от купли-продажи акций или торговли на несуществующих криптобиржах. Хотя сами схемы с поддельными инвестиционными проектами работают в текущем виде как минимум с 2016 года (примерно в это время ЦБ начал бороться с различными проектами форекс-дилеров), массовое распространение они получили только в 2020-м в связи с популярностью частного инвестирования в России и появлением более понятных механизмов работы с криптовалютой.
"Олигархи возмущены": три способа, как стать очень богатым
Весной 2021 года специалисты CERT-GIB заметили массированную рекламную кампанию в социальных сетях, в которой известные люди — предприниматели, политики и амбассадоры популярных брендов — предлагали частным вкладчикам участвовать в сверхдоходных инвестиционных проектах.
Для привлечения внимания мошенники в основном активно использовали три базовых сюжета. Есть другие, но сейчас именно эти наиболее популярны в российском сегменте интернета:
-
"Альтернатива банкам"
Этот вариант связан с появлением якобы принципиально новой финансовой платформы, позволяющей получить невероятный доход. В рекламе демонстрируется фейковое видео, в котором говорят о "революционной" платформе, помогающей тысячам пользователей отказаться от традиционных банковских услуг и получить полную финансовую независимость.
-
"Недра — народу"
Он привлекает вкладчиков для участия в неких нацпроектах по освоению сверхдоходов от торговли нефтью и газом — "недр, которые должны принадлежать народу". Как правило, в таких случаях используется нарезка из новостных сюжетов с участием первых лиц страны, но с фейковой озвучкой и субтитрами.
Реклама на платформе YouTube -
"Финансы для людей"
Этот сюжет паразитирует на брендах реальных инвестиционных инструментов от известных финансовых организаций, но, разумеется, вместо официальных ресурсов инвесторов уводят на мошеннические сайты.
Далее, в зависимости от конкретного сюжета, меняется "точка приземления", то есть переадресация посетителей:
На мошенническое приложение в Google Play.
На сайт-опросник, который собирает персональную информацию о жертве, включая ее телефонный номер.
На фейковую страницу популярного СМИ: интернет-издания или телеканала.
Рассмотрим третий вариант более подробно.
Последние известия
Специалисты CERT-GIB обнаружили несколько шаблонов, которые стилистически копируют внешний вид популярных новостных сайтов, таких как "Россия-24", RT и РБК. Пользуясь популярностью и авторитетом этих медиаресурсов, мошенники вводят читателей в заблуждение фейковыми публикациями о преимуществах несуществующих инвестиционных проектов.
Первое знакомство с проектом
При клике на любой объект поддельной страницы новостной статьи жертву переадресуют на следующий элемент мошеннической цепи — сайт инвестиционного проекта. Как правило, это несуществующие инвестиционные проекты, например, функционирующие на основе торговли валютой, криптовалютой, полезными ископаемыми, природными ресурсами, фармацевтикой. Практически каждый из них упоминает фантастические заработки: от 300 000 до 10 000 000 рублей в месяц. По формату это лендинги-одностраничники с подробной продающей информацией о проекте и формами ввода данных для регистрации: Ф. И. О., номер телефона, email.
На этих страницах потенциальную жертву продолжают погружать в легенду: с одной стороны — через яркие и простые призывы разбогатеть, с другой стороны — через знакомство с вымышленными торговыми технологиями, а также с огромными процентами возможного заработка. В описании "математики" проекта обычно используют набор таких тем, как криптовалюты, майнинг, искусственный интеллект, big data и т.д. Используя известный бренд или комментарии от успешных бизнесменов, мошенники создают у потенциальной жертвы доверие к инструменту инвестирования. Основная задача этой лендинговой страницы — заставить посетителя ввести свои контактные данные для консультации и доступа к проекту.
Опросники
Существует альтернативный вектор получения этих данных, упомянутый ранее: сайт-опросник под видом известного банка. Так, по оценкам специалистов DRP Group-IB, в среднем на один крупный банк, предоставляющий инвестиционные услуги, приходится более 180 подобных мошеннических ресурсов в месяц.
Примеры сайта с опросами:
Потенциальная жертва оказывается на таком сайте после перехода по рекламе из социальной сети. Ей предлагают ответить на несколько вопросов, выбрав соответствующие варианты. Все вопросы финансового характера и направлены на то, чтобы мотивировать потенциальную жертву участвовать в проекте. На финальном этапе посетитель увидит форму, предлагающую заполнить контактные данные.
Общение с оператором и торговля
После того, как посетитель оставил свои контакты, он получает уведомление, что скоро ему позвонят операторы сервиса.
И действительно, звонок не заставит себя ждать. Примерно в течение часа по указанному номеру с человеком связывается оператор, он же менеджер, он же куратор проекта. И тут начинается самое интересное.
"Оператор" рассказывает про уникальный проект, где якобы специальная программа/робот/искусственный интеллект помогает зарабатывать деньги на торгах — пользователю лишь нужно вносить депозиты. Пороговая сумма, как правило, начинается от 250 долларов.
Телефонный мошенник будет пытаться втереться в доверие, используя различные психологические уловки. Например, создавать образ "своего" человека. Так, в одном сценарии девушка пытается узнать возраст, специальность и цель инвестиций собеседника. Узнав имя, отвечает, что так же зовут ее брата. Получив информацию о месте работы, отвечает, что тоже работала в этой отрасли — и так далее.
В других случаях эксплуатировалось так называемое правило трех "да", когда мошенники произносят серию утверждений, с которыми абонент просто не может не согласиться, или вопросы, на которые нельзя ответить отрицательно. Например, мошенник задает вопрос: "Наверное, вы или кто-то из ваших близких в недавнем времени испытывали финансовые трудности? Вы бы хотели стать финансово независимыми и помогать своим близким? "
Заставляя положительно отвечать на все эти вопросы, мошенник в итоге приведет потенциальную жертву к основному вопросу: готов ли собеседник прямо сейчас начать вкладывать деньги. И уже "подготовленный" клиент, скорее всего, ответит "да". На протяжении всего разговора оператор будет снимать все сомнения, возникающие у будущего инвестора.
В рамках такого телефонного звонка может разворачиваться несколько мошеннических сценариев.
Сюжет №1: "Биткоин-кошелек"
Если абонент отказывается внести входной депозит — например, ссылается на отсутствие необходимого количества средств — оператор предлагает забронировать место в проекте, чтобы не упустить возможность заработать в будущем. Для этого лишь нужно создать Qiwi-кошелек и внести небольшую часть суммы — порядка 10 000 рублей. После этого в мессенджере присылают номер биткоин-кошелька и просят перевести туда деньги через популярный обменник, например, bestchange.ru.
Если жертва соблюдает условия и переводит деньги — она просто их теряет. Через некоторое время с жертвой снова могут связаться и попросить положить аналогичным способом еще небольшую сумму.
Сюжет №2: "Выманивание данных"
В этом случае оператор под различными предлогами — например, в рамках банковской проверки — просит сообщить данные банковской карты, с помощью которой потенциальный "участник" планирует инвестировать. Мошенник спрашивает номер, имя владельца, срок действия и секретный код (CVV-код, указанный на обратной стороне). Получив данные, оператор предлагает внести на карту депозит, говоря, что производит запрос в банк на совершение транзакции, которую будущей жертве нужно будет подтвердить.
На самом деле мошенники инициируют перевод денежных средств, в результате которого жертва просто теряет деньги со счета, к которому привязана карта.
Сюжет №3: "Торговый терминал"
Во время разговора оператор отправляет в мессенджер ссылку на сайт поддельного торгового терминала, в котором уже создана учетная запись для "клиента".
Переходя по ссылке, жертва получает доступ к торговому терминалу, где ей предлагается создать счет и пополнить его на $250, $500 или $1000. При попытке пополнения появляется страница с различными способами внесения средств.
Стоит обратить внимание на то, что оператор сопровождает жертву на протяжении всех действий, работая с возражениями и сомнениями, подбадривая или уговаривая выполнить все необходимые условия.
При исследовании данных схем нам попадались полностью автоматизированные сценарии — без привлечения операторов. Например, жертва после фейкового новостного сайта сразу перенаправлялась на поддельный торговый терминал с фиктивной регистрацией.
Аналогично предыдущей схеме, от посетителя требуется внести депозит.
Кроме мошеннического сайта, после перехода по рекламному объявлению пользователей могут направить в Google Play для установки мошеннического приложения. Аналогично сайтам, оно представляет собой инвестиционное приложение, позволяющее пополнять торговый счет сразу из приложения.
Интерфейс мошеннического мобильного приложения:
Получение фантиков
После того, как жертва внесла депозит, на сайте торгового терминала в личном кабинете или мобильном приложении отображается сумма, эквивалентная сумме депозита, однако это всего лишь "фантики", которые нельзя конвертировать обратно в валюту. Это становится очевидно, когда наивный вкладчик, увидевший крупную нарисованную прибыль в своем личном кабинете, пытается вывести ее. Так, при попытке перевода средств на карту, жертва увидит убедительные иллюзии совершения транзакций и работы платежных шлюзов, однако это приведет к неминуемым "ошибкам" и дополнительным условиям вывода денег:
Верификация
Вкладчику предлагается заполнить полную информацию о себе, включая паспортные данные (возможно, даже с фотографией) и данные банковской карты, если злоумышленники не получили их на ранних этапах.Зарубежный банк
Жертве якобы нужно заплатить комиссию за перевод, поскольку используется зарубежный банк или валюта.Комиссия платежного шлюза
Просят заплатить дополнительную платежную комиссию или налог на доход.
На самом деле у жертвы будут возникать постоянные ошибки систем, которые приходится оплачивать из своего кармана. Все эти траты на порядок меньше предполагаемого "заработка", что побуждает человека раз за разом переводить деньги мошенникам. Список причин бесконечен — он ограничен лишь тем, когда жертва поймет, что ее обманули.
Что в итоге?
В ходе анализа мошеннических проектов было выявленоболее 50 различных шаблонов-лендингов с разными инвестиционными легендами. В каждой легенде предлагался уникальный подход и техника заработка. Очевидно, что мошенники, разрабатывающие эти шаблоны, подошли к задаче креативно. А столь широкая вариативность мошеннических сценариев в рамках данной схемы может свидетельствовать об ее успешности: мошенники не желают прекращать свою активность, разрабатывая все новые и новые сценарии обмана.
В общей сложности было выявлено более 8000 доменов, связанных с инфраструктурой мошеннических инвестиционных проектов. Подсчет осуществлялся в рамках графового анализа сетевой инфраструктуры на основе большого массива данных: информации о владельцах доменов, указанной при регистрации, DNS-записей доменов, отпечатков сервисов на IP-адресах, выделенных хостингов и т.д.
В ходе анализа всего массива доменов, связанных с инфраструктурой мошеннических инвестиционных проектов, было установлено, что больше всего доменов зарегистрировали в первом полугодии 2021 года. Эксперты Group-IB предупреждают, что итог участия в подобных инвестпроектах в большинстве случаев одинаков — в погоне за сверхдоходами люди могут потерять все свои накопления и, более того, оказаться в кредитной кабале.
Комментарии (21)
Un_ka
09.02.2022 19:46Интерфейс мошеннического мобильного приложения чуть ли не в sketchware за вечерок сделан.
Yoooriii
09.02.2022 21:01+2Я бы хотел добавить небольшое продолжение к этой схеме. Иногда жертве позволяется вывести небольшие суммы, в пределах $100, после чего пользователь, уверовав в то, что чудо схема работает, переводит еще большую сумму в счет лохотрона. Некоторые умудряются продать квартиру и поставить деньги на кон. В итоге -- ожидаемый финал, чудо фирма пропадает, а на ее месте появляется другая. Но это ещё не конец истории. Через некоторое время, жертве звонит некий адвокат, который "раскрыл" схему и дело уже "передано в суд", и просит выступить свидетелем/потерпевшим, естественно за небольшое вознаграждение, например 10% от суммы. Деньги, естественно вперёд. И тут, жертва снова находит деньги, и отдаёт их фейковому адвокату. Как говорится, ваша песня хороша, начинай с начала. Есть и другие вариации на тему. Кому интересно, в телеге есть канал с разбором похождений горе инвесторов.
Demicro
10.02.2022 12:29Бывает что чудо-фирмы не пропадают, и продолжают абсолютно безнаказанно работать, особенно в небольших городах, где законникам не хватает опыта в таких делах.
ryo_oh_ki
10.02.2022 07:32Всё же в "итогах" статьи хотелось бы увидеть смелые предложения по профилактике подобных ситуаций. Ведь вера людям - это обратная сторона монеты успешной социализации человека в обществе, от неё не избавиться, да и, вероятно, не нужно. А вот, как предотвращать последствия, иметь возможность "undo" подобных действий, особенно, используя все эти новые (крипто) технологии, было бы интересно послушать.
Melonom
10.02.2022 08:53выявлено более 50 различных шаблонов-лендингов
было выявлено более 8000 доменов, связанных с инфраструктурой мошеннических инвестиционных проектов.
Это всё круто и хорошо, но где вот можно посмотреть весь список? Ну вот что бы когда очередной знакомый будет затирать, что он нашел мега крутой проект с кучей бабла, а ты ему бац, ссылочку на список туфты и всё.
Izhevsk
10.02.2022 10:02+1Коллега бывший взял кредит на 1.3млн и купил "биткоин" в конторе амиркапитал, уже полгода кредит платит, а в конторе постоянные ошибки и обещания что скоро начнут платить дивиденды. Взывания к разуму не помогли, отговоривал как мог в это болото лезть, не помогло.
iiwabor
10.02.2022 10:31Это все идет из детства - в сказках о Золотой рыбке, про Емелю, поймавшему волшебную щуку, про Конька-Горбунка и тому подобных, рекламируется, что нужно только поймать удачу и потом можно лежать на печи, а все придет - деньги, полцарства плюс принцесса/принц в партнеры)
А так не бывает в реальной жизни - простым людям деньги надо зарабатывать исключительно своим трудом, попытки "ухватить удачу за хвост", стать "инвестором" приводят в 99% случаев просто к потере денег.
Если посмотреть на это все со стороны, то обман выглядит очевидным, но, вроде бы здравомыслящие люди, ведутся на него, ИМХО потому, что до сих пор верят в сказки...
o_lvovich
10.02.2022 10:40+2"..."Россия-24", RT и РБК. Пользуясь популярностью и авторитетом этих медиаресурсов, мошенники вводят читателей в заблуждение фейковыми публикациями..."
Т.е. мошенники делали фейковые сайты мошенников? Сомневаюсь... Там уже все сделано давно.
А насчет аудитории этих ресурсов - нисколько. Быстро разбогатеть, не работая, она всегда готова)
oleginsite
10.02.2022 11:29Я прошу прощения за грубость, но ... просто работать и копить не пробовали? Смотрел видео с подобными "обманутыми", там через одного: "не хотел(а) работать, пассивный доход, посвятить время семье, набрали кредитов". Просто скудоумие, желание халявы и нежелание напрягаться в будущем. Не бывает такого.
2020-й год показал, разрушил представление о разумности людей, 90% людей на планете просто неграмотный балласт. "Маски носить не буду, вирусов не существует, ПДД придуманы не для меня, вложусь в МММ и первым заработаю". Не жалко никого из подобных ни разу.
nail84
10.02.2022 14:19+1Глубокоуважаемый д'Артаньян, с 90% вероятностью вы попадаете в эти самые 90% балласта.
oleginsite
10.02.2022 14:42"Д’Артаньян сделал карьеру в качестве курьера кардинала Мазарини в годы после первой Фронды. Благодаря преданной службе д’Артаньяна в этот период кардинал и Людовик XIV поручали ему много тайных и щекотливых дел, которые требовали полной свободы действий." - Wiki
Guest2
10.02.2022 12:30-2а разве сразу непонятно, что инвестиции это развод от тех, кто печатает деньги и придумывает законы?
alexzeed
12.02.2022 13:02Ну такое и до биткоина было, предлагали торговлю мировыми валютами с плечом 1:100500 с начала распространения интернета среди обычных людей. Из-за тех контор слово Форекс стало почти синонимом мошенников. Разве что операторов-гипнотизеров не было, люди сами туда лезли, без посторонней помощи :)
v1000
Недавно в Instagram видел рекламу, которая предлагала вложиться в криптомонету для метавселенной Facebook Meta.
В Instagram.
Который пренадлежит самой Meta.
я предполагал, что рекламодателям пофиг на то, что рекламировать. я не предполагал, что настолько пофиг.
PerseforeComplete
Погуглил Brave. Теперь на Youtube мне рекламируют Brave, у которого в рекламной кампании демонстрируется "как хорошо смотреть Youtube без рекламы, потому что у нас встроенный блокер"
Cheetahbf
Еще смешнее когда видишь эту рекламу в самом Brave
Jammarra
Вы серьезно думайте что обьявления проходят ручную модерацию. А даже если то то людям которые модерируют не пофиг?
Почему все представляют крупные компанию как нечто абстрактное со своими желаниями, мозгом и целями?
Это сотни тысяч людей, отделов, руководителей со своими целями, со своим мировозрением. Вот приходит студент в фейсбук работать, ему платят копейки и дают модерировать рекламу. И он пропускает ее через свой мозг по паре сотен объвлений в день. Думайте ему не пофиг?
Приходит разраб делать анализатор рекламы для авто модерации. Через 50 дней спамеры придумывают как его обойти и т.д.
Все это процессы которые выстраиваются и меняются годами. Это ИП "Васян" Может сам решать что делать отвечать за своих клиентов. Но в крупняке так не работает.
Собственно именно поэтому кстати любая крупная монополия смертна. Чем крупнее компания тем громче она схлапывается под весом неэффективных процессов. Но это занимает десятки лет, да.
И да когда не будь придет новая "абициозная компания" которая еще не успела так разжиреть и обрасти легаси процессами. И выдавит мету с рынка. И начнет жиреть она и становится такой же неэффективной.