Система специальных цифровых пропусков для поездок по Москве и Московской области применяется с 15 апреля. Предоформление пропусков началось с 13 апреля. Мошенники, в свою очередь, активизировались заблаговременно: еще до запуска официального сайта в Telegram появились первые объявления о «помощи» с оформлением пропусков. Мы изучили ресурсы, якобы торгующие цифровыми пропусками: самые крупные занимаются воровством персональных данных, а отдельные сервисы еще и воруют деньги, используя «левые» кредитные карты.
Об активизации мошенников накануне старта оформления цифровых пропусков сообщила пресс-служба Департамента информационных технологий Москвы:
«В Telegram появился бот, который предлагает горожанам оформить пропуск через мессенджер. Он запрашивает номер телефона и персональные данные гражданина, необходимые для оформления цифрового пропуска, в том числе паспортные. Также предложения оформить пропуск появляются в социальных сетях».
По информации Telegram-канала «Черный треугольник», некоторые каналы в Telegram с меткой SCAM (так администрация мессенджера помечает мошеннические и спамерские каналы) начали распространять фейковые новости о том, что Минкомсвязь РФ якобы запустила бота в Telegram для получения пропуска на передвижение по Москве и Московской области. Активное распространение фейк-ньюс началось 12 апреля, за день до старта официального предоформления пропусков.
Корреспондент Daily Storm ознакомился с работой упомянутого бота.
Он называется «НеДома! — Цифровой пропуск». В его интерфейсе используется символика сайта московской мэрии. Также бот ссылается на указ мэра о введении режима повышенной готовности, а в случае возникновения проблем с оформлением «пропуска» предлагает получить консультацию по телефону справочной службы правительства Москвы. Для получения «пропуска» необходимо лишь нажать кнопку «Подтвердить номер телефона»: система сама определяет регион получателя по номеру телефона.
Однако после нажатия кнопки пользователь не получит желаемого результата, а вот его данные будут внесены в базу данных злоумышленников.
Мы выяснили, что разработчики этого бота — создатели известного сервиса по «пробиву» людей. Они презентовали его как новый инструмент для сбора данных о людях. Задав боту определенную команду, можно открыть секретное меню, в котором будет ваша персональная ссылка и информация о тех, кто оставил вам свои данные.
После того как жертва зарегистрируется в боте, данные о ней будут показаны злоумышленнику в чате.
В Telegram также появилось несколько каналов, предлагающих услуги по оформлению цифровых пропусков. Зачастую в своих рекламных постах они используют популярный хэштег «#оставайтесьдома», при этом торгуя «пропусками» на свободное передвижение по городу. Скорее всего, никаких пропусков они не продают: недобросовестные граждане будут переводить ощутимые суммы денег злоумышленникам, а желаемого результата не получат.
Корреспондент Daily Storm написал некоторым поставщикам услуг по «предоставлению цифрового пропуска» под видом клиента.
Оператор крупнейшего Telegram-канала «Цифровой Пропуск. Москва. Россия», специализирующегося на подобном мошенничестве, сразу обозначил прайс: «1 день — 1500 рублей, 7 дней — 15 тысяч рублей, до конца апреля — 30 тысяч рублей». Помимо денег, от покупателя потребуется фотография первых страниц паспорта и номер телефона.
Мошенник уточнил, что оплата проходит в формате «50 на 50»: сначала покупатель отправляет половину суммы, затем якобы получает цифровой код, а уже после оплачивает вторую часть суммы. Примечательно, что оператор предлагает выслать деньги на номер лицевого счета карты Сбербанка — то есть работает фактически в открытую.
Судя по всему, злоумышленники используют дропов (подставных номиналов) или украденные банковские карты. Мы связались с владельцем карты: он сообщил, что «скорее всего, мою карту кто-нибудь украл». Связь с злоумышленниками он отрицал, а карту пообещал сразу же заблокировать.
После разговора корреспондента с владельцем карты оператор начал сообщать потенциальным покупателям номер лицевого счета другого человека. Можно предположить, что у мошенников есть целая сеть из дропов.
Судя по истории сообщений в канале «Цифровой Пропуск. Москва. Россия», он был создан 12 апреля 2020 года. Тем не менее на данный момент на него подписаны более трех тысяч человек — это крупнейший канал в Telegram, предоставляющий «пропускные» услуги. В связи с этим мы предположили, что канал создавался не «с нуля».
Примечателен никнейм оператора, с которым говорил корреспондент Daily Storm, — @prava010. Если загуглить его ник, то выяснится, что этот человек также является оператором в Telegram-канале «Водительское удостоверение. Права» (сейчас канал имеет другой адрес), якобы торгующем водительскими удостоверениями. В интернете можно найти отзывы о том, что владельцы данного канала кидают на деньги. Один пострадавший даже создал Telegram-канал, посвященный «Водительским удостоверениям»:
«Все их услуги — подделка, все отзывы фейковые. После получения денег добавляют вас в черный список».
Создатели Telegram-каналов «Цифрой пропуск... » и «Водительское удостоверение» стараются максимально разрекламировать свои услуги: создают сайты (сохранилась копия в веб-архиве) и группы в социальных сетях. В том числе следуют последним трендам: ведут Instagram, в котором торгуют медицинскими масками по 100%-ной предоплате, не забывая пиарить смежные каналы по продаже водительских прав.
В Telegram есть и продавцы помельче. Их прайсы на «пропуска» волатильны: один из админов согласился изготовить пропуск на все время карантина за 10 тысяч рублей, другой — за пять тысяч. Нашелся любитель демпинга, который и вовсе предложил смешную цену: две тысячи рублей. После оплаты продавцы обычно просят предоставить следующие данные: ФИО, серия и номер паспорта, кем и когда выдан паспорт, адрес почты от аккаунта госуслуг. Якобы после внесения мошенником этих данных «в реестр», на почту поступит письмо с «индивидуальным QR-кодом». Один из продавцов счел нужным успокоить корреспондента:
«Если вас остановят правоохранители, что, скорее всего, произойдет, нужно лишь показать QR-код, его сверят с паспортом и отпустят вас. Такая же процедура, плюс проверка прав будет в случае, если вы передвигаетесь на машине. В реестре числиться будете как курьер, доставляющий документы в госкомпании».
Подобные Telegram-каналы плодятся с огромной скоростью, заимствуя друг у друга контент и приветственное сообщение. Корреспондент Daily Storm в процессе общения с мошенниками замечал «скопипащенные» слово в слово сообщения, описывающие механизм услуги. Разница была лишь в цене.
Злоумышленники не ограничиваются мессенджером Telegram — уже создаются сайты, якобы продающие цифровые пропуска. Некоторые сайты предлагают оформление справки для передвижения по Москве (три тысячи рублей), по регионам (3,5 тысячи рублей) и пропуска для въезда в город (четыре тысячи рублей). Другие предлагают оформить удостоверение фармацевта (пять тысяч рублей) или врача (семь тысяч рублей). Мошенники ссылаются на пункт 4.б в указе президента «О мерах по обеспечению санитарно-эпидемиологического благополучия в связи с распространением новой коронавирусной инфекции (COVID-19)». Согласно тексту указа, ограничительные меры не распространяются на работодателей и работников медицинских и аптечных организаций.
Генеральный директор компании «Интернет-розыск», эксперт в сфере кибербезопасности Игорь Бедеров в разговоре с Daily Storm пояснил механизм работы подобных сайтов:
«Они (сайты. — Примеч. Daily Storm) работают по схеме «кроличья нора». Киберпреступники не только получают денежные средства от граждан, но и воруют их данные: персональная информация, данные кредитных карт, доступ к социальным сетям и электронной почте. После этого персональные данные будут продаваться на черном рынке, с кредитных карт могут быть украдены деньги, а доступы к соцсетям и почте будут использованы для вымогательства и дальнейшего распространения мошеннической схемы по спискам друзей и подписчиков».