Эксперты Департамента расследований компании F.A.C.C.T. на протяжении последнего десятка лет исследовали рынок скама, иерархию различных преступных группировок, участвовали в задержании киберпреступников. Мы запускаем серию статей об эволюции интернет-мошенничества в России.
Скам-эволюция: от форумов к Telegram-каналам
Участники криминальных сообществ очень хорошо знакомы с теневыми форумами и прекрасно знают, куда и зачем нужно идти: на XSS или Exploit можно найти специалистов по вредоносному коду, на Darkmoney – обнальщиков, на Мигалках и Дубликате – поддельные документы.
На каждом форуме образуется собственное сообщество “по интересам” — активные участники, продавцы товаров и услуг, работодатели и клиенты. Некоторые принимают нейтральный вид, позиционируя себя как площадку для дискуссии, но есть и те, которые глубоко интегрируются в криминальную среду, предоставляя рекламные места, услуги гарантов и арбитражные разбирательства.
В силу специализации, сообщества не конкурируют друг с другом, а многие злоумышленники представлены на нескольких форумах одновременно.
Вот так выглядят разделы популярного форума “Дубликат”:
На манеже - все те же
Обычно в новости попадают одни и те же общеизвестные площадки. Исследования Ransomware наполнены скриншотами с XSS, а в историях о телефонных мошенниках и криминальных колл-центрах упоминают Darkmoney. Крупные утечки данных обычно приводят на Raid/Breached. Форумы, которые не связаны с крупными утечками, обычно не попадают вызывают большого интереса у специалистов.
К таким площадкам относятся Lolz, Youhack и, например, Miped. Наряду с множеством других, они образуют собственное сообщество, интересы которого долгое время не привлекали особого внимания. Здесь никогда не предлагали обналичить похищенные миллионы, не продавали наркотики, оружие, 0-day да и вообще сколько-нибудь серьезный вредоносный код. Сюда приходили за мелкими товарами и услугами, востребованных в различных схемах вокруг социальных сетей и игровой индустрии.
Так средний чек на условном Lolz был обычно невелик: страницу Вконтакте предлагали за пол сотни рублей, утечку Steam оценивали по играм и инвентарю - от пары сотен до нескольких тысяч, накрутки лайков и подписчиков порой и вовсе раздавали чуть ли не даром, а электронный Qiwi-кошелек уходил по цене SIM-карты. Примерно такие же суммы фигурировали в предложениях работы, услуг и арбитражных разбирательствах.
Ущерб от деятельности подобных сообществ был невелик, обычно основной контингент составляли несовершеннолетние. Не привлекая внимания правоохранительных органов и исследователей, эти форумы постепенно множились и развивались.
Поскольку спрос рождает предложение, со временем криминализация этих сообществ сильно выросла. Для того, чтобы добыть больше учетных записей того же Steam, злоумышленники освоили инструменты для брута (подбора паролей), стилеры (вредоносные программы для кражи конфиденциальных данных с зараженного устройства) и методы социальной инженерии, начали задумываться о собственной безопасности, контр-форензике. С ростом объема на рынке на нем начали появляться “компетентные специалисты”.
К 2017-2018 годам иерархия криминальных площадок выглядела довольно четкой и структурированной. На форумах работали постоянные модераторы, действовали гаранты, институты арбитражных разбирательств, администрация продавала рекламные места, действовала техподдержка. Несмотря на то, что суммы сделок все еще были ничтожно малы в сравнении с ценниками, которые обсуждали на том же Darkmoney, сообщество выглядело солидно.
Пример объявления с теневого форума о покупке аккаунтов:
Однако для совершения каких-либо значимых действий не хватало опытных хакеров, разработчиков, хороших организаторов и адекватных исполнителей. Участники постоянно обманывали друг друга, а те, кто смог чему-то научиться, уходили на более солидные площадки. И даже в этих условиях желания заработать победило.
Криминальному сообществу удалось адаптироваться. Нехватка средств для взлома стала компенсироваться методами социальной инженерии, а недостаток хороших исполнителей - их количеством.
Первые организованные группы, образовавшиеся на Lolz и аналогичных форумах, занимались, в общем-то, все тем же – хищением учетных записей в Steam и социальных сетях. Но организация работы вышла на новый качественный уровень.
Мануал по эффективному «адверту»
Схема получила название «адверт» или «MA:FILES» (для работы по Steam). Организатор предоставлял всем желающим ссылки на фишинговые сайты, имитирующие страницы социальный сетей или игровых платформ. Способы распространения ссылок и убеждения жертвы ввести свои реквизиты целиком и полностью делегировались исполнителю, хотя для понимания механики работы предоставлялись простые руководства («мануалы»).
Пример объявления о покупке аккаунтов популярной соц.сети:
В случае успешного фишинга организатор сам занимался перепродажей добытых учетных записей, а исполнитель получал свое вознаграждение - фиксированную сумму или долю от условной цены аккаунта на рынке.
Эта идея имела успех, ведь все смогли получить желаемое. Исполнители не погружались в сложную для них инфраструктуру создания фишинговых сайтов и возню с перепродажей аккаунтов, организатор не тратил силы на распространение фишинговых ссылок, оплачивая только результативную работу.
Для учета работы исполнителей применялись административные панели, где зарегистрированные участник получал готовую ссылку, в тексте которой содержался его личный идентификатор. Так организатор мог отслеживать переходы жертв по конкретным ссылкам и определять, кто из подручных успешно справился с задачей.
Подобные группы существуют до сих пор, хоть и не приносят ее участникам большой прибыли. Со временем схема усложнилась и успешно применяется для хищения аккаунтов популярных блогеров, которые не перепродаются, а предлагаются к выкупу владельцу.
У такой схемы работы был один серьезный недостаток - похищались не чистые денежные средства, а недорогие аккаунты, которые в дальнейшем еще и требовалось продать для получения прибыли. Даже создав фишинговый сайт, имитирующий банк, платежную систему или интернет-магазин, организаторы групп не имели возможности заманить туда жертв. Имеющиеся исполнители, хоть их и было много, не владели ничем кроме методов социальной инженерии.
Вскоре решение проблемы нашлось.
Премьера в «Антикино»
В 2018 году на форумах появились объявления о наборе людей в тему “Антикино” (FakeDate). Теперь фишинговые ссылки имитировали частные кинотеатры, а жертв искали на сайтах знакомств и в социальных сетях, действуя от имени желающих познакомиться девушек. Сами аккаунты социальных сетей и женские фотографии недорого продавались на этих же форумах и отлично подошли исполнителям.
Примеры переписки с приглашением на свидания и сам фейковый сайт по схеме “Антикино”:
Деятельность организаторов изменилась незначительно: теперь вместо перепродажи похищенных аккаунтов требовалось быстро выводить похищенные средства в наличный оборот или криптовалюту. В остальном все осталось по-прежнему – исполнители получали фишинговую ссылку и действовали по своему усмотрению. При этом все участники группы стали больше следить за собственной безопасностью – ответственность за мошенничество и хищение не сравнима с ответственностью за кражу аккаунта.
Схема «Антикино» привела к кардинальному изменению обстановки на форумах и в действующих группах. В сообществе наконец-то появилась прибыльная схема работы — сумма одного хищения составляла несколько тысяч рублей. Стал расти и рынок сопутствующих услуг – поставщиков аккаунтов, прокси, виртуальных карт. Повысился спрос на программистов, способных создавать новые фишинговые ресурсы, появились средства для их оплаты.
Именно в этот период на форумах сформировалась характерная терминология, описывающая устройство мошеннических групп: организатор стал называться «ТС» (Topic Starter), а исполнители – «воркерами». Сама группа называлась «тимой», рабочие чаты «конфами». Сформировалась роль «суппорта», которому организатор делегировал административные или технические функции. Здесь же прибыль от успешной операции получила емкое название «профит».
Хороший воркер приносил организатору высокую прибыль, но найти его было непросто. Этот специфический «кадровый голод» вызвал конкуренцию за исполнителей между отдельными группами, и ее методы были довольно рыночные: организаторы увеличивали выплаты исполнителям. Крупные команды могли позволить себе выплачивать воркерам 70-80% похищенного, даже в тех случаях, когда деньги блокировались по жалобам жертв. Это привлекало в сообщество все больше и больше желающих заработать.
Объявление о найме “воркеров” на работу по схеме “Антикино”:
К 2019 году на форуме уже действовало большое количество групп, работавших по схеме “Антикино”. Участники прекрасно осознавали, что занимаются мошенничеством, но задержания происходили редко. Доступные средства безопасности, а именно VPN и криптовалюта, оказались довольно эффективными.
Организаторы групп все еще были ограничены в способах хищения, полагаясь исключительно на методы социальной инженерии, но уже были готовы быстро адаптироваться под любые рынки. Создание новой группы не требовало особых усилий: достаточно приобрести шаблоны фишингового сайта, арендовать сервер, несколько доменных имен и создать тему на форуме. Исполнителей было много – как вновь приходящих новичков, так и выходцев из действующих команд.
Поступь «Мамонта»
Параллельно с “Антикино” в России появилась еще более прибыльная и масштабная интернет-афера, связанная с интернет покупкой товаров на досках бесплатных объявлений. Схема получила название “Мамонт” («Курьер», Classiscam), поскольку на жаргоне жуликов так называют жертву фейковой курьерской доставки, у которой похищают деньги и данные банковских карт.
Качественный скачок оформления рекламы “Тимы”:
Именно в этой схеме произошел скачок вперед: вместо статичного шаблона фишингового сайта стали использоваться скрипты, которые создавали страницу на основе конкретного объявления маркетплейса. Усилия разработчиков многократно окупились.
Внешний вид скам-панели, где скамер создавал фишинговые объявления под разные виды мошенничества:
С появлением новой схемы поле деятельности злоумышленников увеличивалось в десятки и сотни раз. Каждая площадка объявлений охватывала множество рынков различных товаров во всех городах страны.
Шаблон фишинговой страницы подходил к любому объявлению – от пары ботинок за 3000 рублей до смартфона за 40 000. Именно в этот период времени участники групп начали называть себя «скамерами».
Продолжение следует…
Оставайтесь в курсе актуальных новостей в сфере информационной безопасности и подписывайтесь на канал "Кибербез по фактам", а также на наш остросюжетный телеграм-канал.
