Group-IB обнаружила более 700 доменов фейковых сайтов театров, стендап-шоу, ресторанов, кинотеатров, которые мошенники используют для кражи денег под видом приглашения на свидание. За последние три года схему Fake Date (фальшивое свидание — с англ.) взяли на вооружение два десятка преступных групп — выручка одной из них за год составила более 18 миллионов рублей.
Красотку из Tinder звали Анна: "Я в тиндере всего день, не привыкла общаться в интернете и тем более знакомиться :) Я больше за живое общение. Но у меня щас неделя сильно загружена… Завтра, правда, немного времени найдется, иду на спектакль в 8 вечера, если хочешь — можем сходить вместе!" Чтобы пойти на свидание, нужно было купить билет — Анна сама скинула ссылку на сайт театра.
Но горькая правда в том, что никакого первого свидания в партере не будет, деньги, перечисленные за билет, украдут, а Анна больше не выйдет на связь. Юлия Зинган, аналитик CERT-GIB, рассказывает, как работает популярная мошенническая схема Fake Date.
Первые массовые случаи использования в России схемы Fake Date с приглашением на лжесвидания специалисты Group-IB фиксировали еще в 2018 году, после обращений обманутых пользователей.
Тогда в соцсетях или на сайте знакомств симпатичная девушка приглашала кавалера в "антикино" — кинотеатр с отдельными романтическими залами для двоих — и просила купить два билета на сайте. Естественно, сам ресурс оказывался фишинговым, данные карты и деньги похищались. После того, как эксперты Group-IB предупредили об опасности, засвеченная афера практически перестала использоваться.
Однако всплеск интернет-мошенничества в период пандемии, появление новых инструментов для генерации фишинговый сайтов и использование переводов card-to-card привели к тому, что схема с фейковыми свиданиями переживает второе рождение.
Для сравнения: если в 2019 году под схему Fake Date было зарегистрировано всего 25 фишинговых сайтов, то в 2020 году их было уже 263, а в 2021 году — 428. В этом году самым популярным местом для "свидания" у мошенников оказались театры и стендап-шоу (60%). Чуть меньше приходится на долю фейковых сайтов ресторанов, спа и кальянных (35%), а вот тема с кинотеатрами после «засветки» исследователями практически себя изжила (менее 5%).
Независимо от места для романтической встречи, cценарии везде примерно одинаковые: симпатичная девушка знакомится в сервисах Tinder, Badoo или соцсетях с кавалером, быстро переводит диалог в мессенджер (обычно Telegram) и сама приглашает на свидание. Как бы случайно у девушки оказывается билет на какой-то спектакль или на выступление звезды разговорного жанра — якобы подарили на день рождения, мама заболела и не смогла пойти, больше не с кем пойти и прочее.
Она скидывает QR-код своего билета и предлагает купить место рядом с ней, а также направляет ссылку, где можно билет приобрести. Пользователь оплачивает «билет» и теряет деньги, а девушка больше не выходит на связь. В некоторых случаях, воспользовавшись доверчивостью жертвы, злоумышленник может подвести к еще двум-трем списаниям средств под предлогом, что нужно купить еще один билет или вернуть деньги.
Работая по схеме Fake Date, мошенники, как правило, предварительно пытаются узнать интересы своего собеседника, составить его психологический портрет и, исходя из этого, предлагают ту или иную «наживку». Например, цены «билетов» в театр (2500 рублей в партере, до 5500 рублей в VIP-ложу) более демократичные, чем билеты в «антикино» (4900-6900 рублей), но жертве придется заплатить трижды: при "оплате" своего билета, при незапланированной покупке еще одного билета, например, для «подруги», и при оформлении возврата.
На основе обращений граждан, графового анализа, а также исследований преступных сообществ специалистам CERT-GIB удалось выявить больше 716 причастных к Fake Date доменных имен, почти 60% которых были зарегистрированы с начала 2021 года.
Но это только верхушка айсберга. В ходе исследования аналитики обнаружили связи доменных имен фишинговых сайтов из схемы Fake Date с ресурсами из популярной схемы «Курьер» (или «Мамонт»), нацеленной на кражу денег и данных банковских карт пользователей с помощью фейковых сайтов популярных курьерских служб и маркетплейсов. Более того, в некоторых случаях сайты были зарегистрированы одними и теми же людьми.
Всего эксперты CERT-GIB насчитали как минимум 24 команды мошенников, работающих по схеме Fake Date, причем их количество растет из года в год. Так, в 2019 году — 2 группы, 2020 году — 7 групп, 2021 году — 15 групп.
Любопытно, что схема Fake Date практически полностью переняла у «Мамонта» иерархию, техническую базу, модель функционирования и даже сленг («мамонтом» на языке мошенников называют жертву). Вся работа рядовых участников (воркеров) координируется через Telegram, где созданы специальные чат-боты с готовыми фишинговыми сайтами под различные площадки: кинотеатры, театры, рестораны, кальянные — c генерацией билетов, чеков, подробными скриптами.
Для продвинутых скамеров налажена продажа записанных «голосовушек» — аудио- и видеосообщений от лица девушек, предлагающих сходить на свидание. Кроме того, существуют отдельные каналы с информацией о выплатах и чаты для общения воркеров. Все необходимые продукты, включая ботов в Telegram, продаются под ключ.
Набор в команды ведется на тематических форумах, где будущему воркеру обещают большие деньги без каких-либо вложений, а также обучение новичков и полную поддержку в ходе работы. Согласно данным одного из скам-проектов, за год выручка лишь одной группы составила более 18 миллионов рублей при более чем 7000 транзакций.
Похищенные деньги поступают на карты или кошельки админов, которые выплачивают воркерам процент от каждой транзакции (от 70% до 85%). Когда жертва оплачивает возврат, часть суммы получает прозвонщик из технической поддержки. Чтобы присоединиться к команде, как и в случае с "Мамонтом", необходимо пройти небольшое, достаточно формальное собеседование.
Эксперты Group-IB рекомендуют не оплачивать покупки на незнакомых сайтах, не переходить по ссылкам, которые присылают неизвестные, приобретать билеты самостоятельно и только на проверенных ресурсах.
Тщательно проверяйте доменное имя ресурса, на котором находитесь, и если оно отличается от оригинального или просто кажется вам подозрительным — не стоит ничего покупать или заказывать.
Включите двухфакторную аутентификацию для всех аккаунтов, где есть такая возможность. Необходимо регулярно обновлять браузеры до последних версий и устанавливать обновления безопасности.
Не разглашайте свои персональные данные и реквизиты банковской карты. Перезвоните по официальным номерам или дойдите до офиса компании.
Для пресечения подобных продвинутых скам-схем классического мониторинга и блокировки брендам уже не достаточно — необходимо выявлять и блокировать инфраструктуру преступных групп.
Нужно больше информации? Подпишитесь на остросюжетный Telegram-канал Group-IB (https://t.me/Group_IB) об информационной безопасности, хакерах, APT, кибератаках, мошенниках и пиратах. Расследования по шагам, практические кейсы с применением технологий Group-IB и рекомендации, как не стать жертвой. Подключайтесь!
Комментарии (48)
sergeymolchanovsky
14.10.2021 18:52-4Интересно, откуда автор узнал про данный вид мошенничества )
mikka1
14.10.2021 19:18+12А, если пофилософствовать, то насколько же сложным стал на сегодняшний момент "рынок знакомств" для мужчин, что они готовы ради встречи с абсолютно незнакомым абстрактным виртуальным образом за свои деньги покупать билет на мероприятие, про которое они даже никогда не слышали...
На реддите в какой-то момент в сабе r/dataisbeautiful вообще запретили публиковать визуализации своих свайпов/мэтчей в Тиндере, видимо, потому что уж слишком много эмоций они вызывали, когда на тысячи свайпов вправо был от силы десяток мэтчей. Эх...
K0styan
14.10.2021 20:49+3Дейтинги тоже в бигдату умеют. И они заинтересованы в поддержании иллюзии сложности, чтобы смотреться этакой палочкой-выручалочкой.
Разумеется, сложность тоже поддерживается до какого-то момента, чтобы совсем уж не разочаровывать. И такие штуки очень хорошо при достаточном объёме данных ловятся.
stalinets
14.10.2021 21:24+6Когда уже придумают нормальный дейтинг, где будут невозможны: фейки с целью мошенничества, реклама проституток, дикпики и извращенцы... Ну технически в первом приближении это не выглядит сложным. Можно ведь попробовать формализовать требования к этой системе?
1) нужно дать всем посетителям дейтинга как-то понять, что вот этот акаунт существует давно, а не зареган вчера, 2) иметь возможность сообщить с пруфами о факте попытки мошенничества (или о летящих картинках с непристойностями) и чтоб все прочие посетители этого акаунта видели общую оценку поведения и историю отзывов на него, при этом отделять отзывы в отношении парней типа "Да он жмот, не заплатил за меня в ресторане, оценка 1/10" от "Извращенец, шлёт непристойности, вот пруф, оценка 1/10" - первое не должно проходить, а второе да. Как и в отношении девушек, типа "Она страшная и скучная, 2/10" - не должно проходить, а "Это мошенница, три дня общались, потом попросила денег якобы на билет и похороны бабушки и исчезла, вот пруф, 1/10" - это должны видеть все. 2.1) придумать механизм наказания (удаления) за попытки написать "ложный донос", 3) затруднить человеку регистрацию и раскрутку новых акаунтов (я, конечно, не говорю о привязке к госуслугам, но что-то придумать надо. Блокчейн? Просто запрет писать с акаунта, которому меньше 1 года?), 4) как-то работать над сильным перекосом в соотношении числа знакомящихся парней и девушек, например, придумать какие-то особые "плюшки" для девушек, чтобы охотнее приходили знакомиться. Тут, наверное, программистам, пишущим эту систему, должны помогать женщины-психологи. Навскидку, не знаю там, сделать на дейтинге некий фонд, в который каждый парень сможет скинуть пару соток "для милых дам", а милая дама за активность на сайте сможет из этого фонда иногда получать сертификат на бесплатный кофе или пиццу))
Goodwinnew
14.10.2021 21:31+6так прямо можно дойти и того, что бы на работных сайтах точно предлагаемый оклад gross указывать, а не ЗП от XX руб. ...
сарказм :)
прямо пчелы против меда.
vyachin
15.10.2021 12:21+2я за один день 4 рекрутеров забанил за предложения без указания ЗП. Присоединяйтесь)
unsignedchar
14.10.2021 22:59+7Когда уже придумают нормальный дейтинг, где будут невозможны: фейки с целью мошенничества, реклама проституток, дикпики и извращенцы...
Регистрация по паспорту, никакой анонимности и ощутимая сумма на депозит, который в случае жалоб не возвращается. Но многие ли согласятся таким сервисом пользоваться?
Wesha
15.10.2021 01:19+1... особенно в случае, если собрался разводиться с женой и ищешь новую :)
unsignedchar
15.10.2021 08:01+1В анкете для этого факта отдельное поле должно быть ;)
Anrikigai
15.10.2021 10:02+4И пруф от жены
dopusteam
17.10.2021 09:06А лучше отзыв
SnakeSolid
18.10.2021 07:30Боюсь большая часть отзывов от бывших будет в формате пил/бил/не любил. Бывшие, как правило, не заинтересованы в том, чтобы выставить честные отзывы о партнере.
SnakeSolid
15.10.2021 07:28+1Что-то похожее, за исключением отзывов, можно получить действуя по такому алгоритму: лайкать только анкеты с указанным Instagram, предварительно проверяя, даты и содержимое фотографий в Instagram (скорее всего можно это делать скриптом). А с перекосом, как мне кажется, никакими плюшками/психологами не справиться. К большинству девушек, в любом сервисе, и так очередь на знакомство стоит, в том числе из готовых заплатить в кафе/ресторане.
Chuvi
15.10.2021 07:38+9А что делать тем у кого Instagramm нет?
Я, например, искренне не понимаю для чего мне нужен альбом в интернете с моими фоточками.
SnakeSolid
15.10.2021 12:41Я всего лишь предложил вариант покрывающий некоторые пункты исходного комментария. Если нет возможности проверить, что ваша анкета не развод - имеет смысл рассматривать ее как потенциальный развод и пропустить. В моем примере Instagramm просто средство такой проверки - человек давно существует и него есть определенные интересы.
Tsimur_S
15.10.2021 13:20+1и него есть определенные интересы.
Например раскрутка инстаграмма.SnakeSolid
15.10.2021 17:06Да, вероятно вы правы. Но с таким подходом интроверту вообще не возможно будет с кем либо познакомиться, особенно после окончания учебы. Соц сетей нет, в приложениях одни мошенники, на улице отшивают.
Sonzanie
15.10.2021 13:11+2Беда в том, что 99% (число КРАЙНЕ приблизительное, на данный момент я не проводил никаких исследований и мне не из чего сделать выборку) с указанным инстаграмом сидят там исключительно ради пиара своей инсты.
JDBiber
15.10.2021 09:12+4Вы правда считаете что такие сайты хотять "сделать людей счастдивыми"? То есть моя теория что они просто тупо зарабатывают используя любые методы (фейк, подлог, подтасовка, намеки и обещания) ложна?!?!
Gordon01
15.10.2021 09:14+1Зачем это все, если можно не тратить кучу времени на скроллинг, а познакомиться с девушкой в реальной жизни?
WQS100
15.10.2021 12:56+5А что подразумевается под "познакомиться с девушкой в реальной жизни"? При использовании таких сервисов по крайней мере можно предполагать, что другие люди, которые им тоже пользуются, также заинтересованы в знакомстве, как и вы, а вот есть ли подобная заинтересованность у "девушки за соседним столиком" (просто пример, можно заменить на любую повседневную ситуацию) лично мне совершенно не очевидно. А если рассматривать быстрые свидания и прочие похожие IRL-активности, направленные именно на поиск партнёра, то это тоже не обязательно приведёт к положительному результату даже при больших временных затратах. Просто у каждого способа есть своя специфика, и люди выбирают, что им удобнее.
Gordon01
15.10.2021 14:24также заинтересованы в знакомстве, как и вы
Гарантии нет, но вероятность крайне высока. В столице, по крайней мере. Если заинтересованности нет, то вы узнаете об этом через 30-60 секунд. В тиндере за это время дай бог если "привет, да я на работе постоянно, время на встречи с 18 до 19 по нечетным дням у метро Братиславская".
Крайне редкто кто негативно отвечает. С другой стороны, когда меня игнорят в тиндере, это бесит сильнее, чем если это делают в жизни.
WQS100
15.10.2021 14:47С другой стороны, когда меня игнорят в тиндере, это бесит сильнее, чем если это делают в жизни.
Ну вот, кажется, это и есть ключевой момент (по крайней мере один из), и если для вас это так, то понятно, почему вам в жизни удобнее. У меня, например, ситуация обратная: на тот же игнор в сети мне в целом всё равно, а вот неудачный опыт общения в жизни получать гораздо более неприятно
Gordon01
15.10.2021 15:13Плюс в жизни все быстрее. Вместо вечера скроллинга и переписок — какое-то событие, даже на концерт ноунеймов одному сходить и ни с кем не познакомиться лучше.
Плюс бывают места, которые задуманы как полудейтинги, вроде танцев. В Москве вообще всякие каддл-пати есть, возраста - любые. Знакомься не хочу.
Kanut
15.10.2021 15:36+4Вместо вечера скроллинга и переписок — какое-то событие, даже на концерт ноунеймов одному сходить и ни с кем не познакомиться лучше.
Как бы не то чтобы у меня был опыт онлайн-знакомств, но я не вижу особой проблемы в том чтобы вечерком с кем-то там переписываться сидя на диване и параллеьно смотря какой-нибудь сериальчик. И наверное можно даже и паралельно с несколькими людьми общаться.
Уж для меня это точно гораздо менее напряжное времяпровождение чем переться на какие-нибудь танцы-дискотеки :)
Tangeman
15.10.2021 17:31+3В реальной жизни есть некоторые нюансы — а именно:
- выбор очень ограничен, что особенно актуально для тех кто работает в небольшом коллективе (или вообще фрилансит) и не любит тусовки или многолюдные мероприятия — соответственно ищет примерно такую же пару;
- нет никаких гарантий что человек которым вы заинтересовались вообще заинтересован в знакомстве (не говоря уже про отношения);
- кроме внешнего вида (и изредка рода занятий/хобби) вы не имеете вообще никакой информации о человеке — хотя бы очень упрощенном круге интересов и/или предпочтений (к примеру — веганы часто не любят мясоедов, совы — жаворонков, и т.п.).
В общем, реальная жизнь это хорошо если круг общения очень широк или как минимум постоянно меняется, при этом человек легко может общаться с кем угодно и этот самый круг идёт на контакт — но это так далеко не у всех, так что виртуальные знакомства вполне имеют смысл, ибо буквально без усилий дают широкий круг общения (который в реальной жизни в принципе недостижим) и возможность фильтрации (если это важно).
unsignedchar
15.10.2021 22:01Проблема в чем? Большинству хочется, чтобы виртуальные знакомства (ни к чему не обязывающие, очень удобно, да) автоматически апгрейдились до реальных. И жулики на этом успешно играют Так то организовать сервис знакомства IRL реально. Но это будет стоить для участников чуть дороже.
Tangeman
17.10.2021 17:53Знакомства (не отношения) IRL тоже ни к чему не обязывают, в общем-то, только риски чуть выше.
Вообще во всей этой индустрии классический конфликт — люди хотят безопасно и надёжно, но в то же время анонимно до последнего момента, а это в принципе несовместимо, и они не готовы пожертвовать своей анонимностью (= пройти полную идентификацию на сервисе).
Если, как уже выше упоминалось, сделать сервис который будет гарантировать что конкретную личность за профилем можно найти при необходимости (с паспортом, адресом и видео которое подтверждает связь паспорта и фото в профиле, разумеется не для публичного доступа а в архив на случай запроса из полиции) — то все эти жулики (и даже просто неадекваты) выпиливаются очень быстро ибо подставные личности быстро закончатся, заодно будет безопасно, ибо если что — то ниточки быстро раскручиваются, при желании разумеется.
При этом сами профили можно оставить относительно анонимными — без реальных имён, адресов etc — только реальное фото и тэг "верифицирован" — в итоге и овцы сыты, и волки целы. Те кто не хочет "палиться" (типа "давно здесь сижу") могут обновлять фотки (только свои, т.е. с модерацией) и никнейм — на статус профиля это не влияет.
Правда, реализация подобного потребует железобетонных гарантий отсутствия утечек реальных данных, что в принципе реализуемо технически но никому (из владельцев сервисов) неинтересно.
unsignedchar
18.10.2021 07:10железобетонных гарантий отсутствия утечек реальных данных, что в принципе реализуемо технически
Я затрудняюсь вспомнить хоть один из достаточно распространенных публичных сервисов, из которых никогда не было утечек. Даже из банков были утечки данных. И из одного из платных dating сервисов тоже было. С гарантиями сложно.
Wesha
18.10.2021 09:45И из одного из платных dating сервисов тоже было.
Дело было лет так 10 назад. У меня собственный почтовый сервер, и когда мне нужно дать кому-то свой емейл, я завожу на этом сервере новый адрес — и его даю. Это хорошо тем, что всегда можно вычислить крысу, которая адрес налево слила. Так вот, один их платных dating сервисов такой крысой и оказался.
unsignedchar
18.10.2021 09:54Вот и печально, что ответственности у агрегаторов персональных данных — нет. И не предвидится.
Wesha
18.10.2021 09:59+1Кстати, о птичках: Wargaming оказался крысой аж два раза. После первого про...а я им даже адрес выдал этот_адрес_знает_только_wargaming@мой.сервер (можно ещё отмазываться, что, мол, первый раз "угадали перебором", но такой длинный перебором угадать невозможно) — но они и его про...ли. Наверняка кто-то из сотрудников базу слил.
titbit
18.10.2021 13:39+1сделать сервис который будет гарантировать что конкретную личность за профилем можно найти при необходимости (с паспортом, адресом и видео
Так вы чебурнет и описываете. Не думаю, что такой сервис будет популярен, хотя его и так по вашим заветам собираются делать принудительно. Чего уж там мелочиться, давайте сделаем раздел знакомств в госуслугах?железобетонных гарантий отсутствия утечек реальных данных, что в принципе реализуемо технически
Увы, это принципиально невыполнимо. По крайней мере при текущей централизованной системе принудительного «доверия» данных гос-ву.
yarglor
15.10.2021 16:43+21. нужно дать всем посетителям дейтинга как-то понять, что вот этот акаунт существует давно, а не зареган вчера
То есть, сообщать: "вот эта гражданка уже 5 лет не может никого найти, наверное, с ней что-то не так". Кстати, а как это отсечёт проституток и прочих?
3. ...я, конечно, не говорю о привязке к госуслугам...
Кстати, почему бы и нет. Заодно и возраст оттуда подгружать, чтобы не занижали, а заодно совершеннолетие проконтролируется.
4. ...фонд, в который каждый парень сможет скинуть пару соток...
Возможно, Вы только что изобрели "лёгкий вариант" проституции, с которой предлагаете бороться. ;-)
alliumnsk
19.10.2021 08:50Фильтрацию дикпиков лучше всего сделать на клиенте, а не ждать, пока везде сделают. Дейтинг тоже придется написать самому (-:
4. а это вообще невозможно.
rtkprg2
19.11.2021 10:45нужно дать всем посетителям дейтинга как-то понять, что вот этот акаунт существует давно,
Если аккаунт на сайте знакомств существует давно, то значит его владелец - неудачник, никому не нужный.
В дэйтинге любят свеженьких!
Interreto
15.10.2021 14:46+5Мое первое и единственное правило онлайн дейтинга: если тебе предлагают что-то купить/оплатить/установить - блокируй аккаунт без объяснений.
Wesha
18.10.2021 18:44Но горькая правда в том, что никакого первого свидания в партере не будет, деньги, перечисленные за билет, украдут,
Горькая правда заключается в том, что российские (насколько я понимаю) банки не отвечают за деньги, которыми управляют. Вот как такая проблема решается в США (сам это делал не один раз):
— Здравствуйте, это CapitalOne, чем могу Вам помочь?
— Я оплатил вашей карточкой, товар не был доставлен (услуга не была оказана). Пожалуйста, откатите транзакцию.
— Мы проведём расследование. Деньги Вам возвращены. Результат расследования мы сообщим Вам письмом в течение 2 недель.
И подтверждение по почте
Помните тот анекдот: "— Абрам, Мойша тебе 100 баксов должен? Так вот он не отдаст!!! ... Всё, Мойша, спи спокойно, пусть теперь Абрам ворочается." Доказывать, что услуга была реально оказана, должен не покупатель, а продавец/поставщик. А после того, как на продавца поступит несколько десятков жалоб, банк вообще откажется его обслуживать.
RiddickABSent
Graph Maltego по Fake Date конечно хорошо, мошенничество с оформлением кредитов было бы важнее.
Ждём следующие интересные кейсы.