Во второй части обзора о развитии криминальной скам индустрии эксперты Департамента Расследований компании F.A.C.C.T. анализируют события 2018-2022 гг.
В этой статье мы подробно расскажем об автоматизации инструментов, возрастающей роли Telegram-ботов, мировой экспансии схемы «Мамонт» и развитии скамерской субкультуры.
С первой частью обзора вы можете ознакомиться здесь.
Звенящие треки гангста-рэпа
В период 2018-2020 гг. количество и масштаб мошеннических групп продолжали стремительно расти. Воркеры (рядовые работники) были ограничены только доступностью SIM-карт, которые были нужны для регистрации на площадках и переписки с жертвами. Однако это проблема решалась сервисами аренды абонентских номеров.
Так как повышать долю воркера выше условных 80-90% было нерентабельно, для привлечения исполнителей группы было принято решение улучшать условия их работы. Так в арсенале у злоумышленников начали появляться Telegram-боты, которые заменяли административные панели.
Теперь все необходимое для работы исполнителя сосредоточилось в одном мессенджере: после создания объявления, воркер отправлял боту ссылку и тут же получал готовую фишинговую страницу. Успешно обманув человека, воркер получал от бота уведомление с указанием его доли и мог сразу же потребовать у ТС (Topic starter, организатора) свою выплату.
Пример формирования фишинговой ссылки на продажу ноутбука:
Новая схема была невероятно проста, прозрачна и эффективна. Теперь она требовала все больше и больше людей.
Так конкуренция за воркеров начала выражаться не только в рыночных, но и в маркетинговых механизмах. Организаторы групп стали нанимать дизайнеров для художественного оформления своих тем, проводили между исполнителями конкурсы и даже заказывали звенящие треки в стиле гангста-репа.
Пример объявления о записи рекламных треков на форуме lolz:
Примеры композиций в Telegram-канале исполнителя:
Со временем у организаторов произошло столкновение с проблемой роста. ТС увязали в замене заблокированных доменов, выплатах, решении мелких конфликтов и консультациях. Некоторые из них решили эту проблему созданием множества “суппортов”, которые стали брать часть этой рутины на себя.
Мы не халявщики. Мы — партнеры
Некоторые мошеннические группы трансформировались в партнерские программы. В такой “партнерке” у организатора было несколько “ТС”, которые управляли внешне независимыми командами. При этом каждая из них имела собственную тему на форуме, конференцию, Telegram-ботов и фишинговые домены. При этом технически все они пользовались одним и тем же сервером, на котором работал общий для всех скрипт, генерирующий фишинговые страницы.
Эта «скам-тима» стала крупнейшей «партнёркой»:
Новыми «ТС» в партнерках становились успешные воркеры. Они хорошо представляли себе механизмы работы, умели набирать собственные команды и обучать новичков.
Доля такого «ТС» в хищении была невелика: после выплаты 80% воркеру и 10-15% владельцу партнерки оставалось не так уж и много, зато он получал ее от каждого хищения, совершенного командой.
Открытый список директорий на сервере «партнёрки», где каждая директория – отдельная «тима»:
Состав партнерской программы не декларировался, но прослеживался из общей для нескольких групп инфраструктуры фишинговых доменов и серверов, а также из сообщений на форумах. Члены партнерки активно комментировали темы и профили друг друга, рекомендуя новых «ТС» как «надежных и порядочных».
Фрагмент связей фишинговых доменов и инфраструктуры партнёрки, выявленных с помощью Графа сетевой инфраструктуры F.A.C.C.T. Threat Intelligence:
Механизмы фишинга также постепенно совершенствовались: на страницу внедрялись формы обратной связи, а в составе групп появились «возвратеры», действовавшие под видом сотрудников техподдержки площадок.
Весной 2020 года началось использование схемы «2.0», посредством которой обманывали не покупателей, а продавцов товаров. Осваивались новые поля деятельности: после популярных маркетплейсов жертвами воркеров становились клиенты сервисов каршеринга или совместных поездок и других популярных сервисов.
Рос рынок сопутствующих услуг: появлялись магазины продажи аккаунтов, отрисовщики документов и фотографий, автоматические парсеры объявлений, абузоустойчивые хостинги. Появилось множество скриптов для генерации фишинговых ссылок, которые можно было не только купить, но и взять в аренду.
Одновременно развивалась специфическая субкультура. Группы порождали множество специфических мемов, высмеивая незадачливых мамонтов, иронизируя над неудачными попытками мошенничества и задержанными злоумышленниками. Основной площадкой для этого контента ожидаемо стал Telegram. Десятки скамерских групп образовали собственную медийную инфраструктуру. Там рекламируются сервисы, набираются воркеры, конфликтуют и деанонимизируют друг друга.
Примеры мемов, стикеров и оформления скам-сообществ:
«Мамонт» покоряет мир
В течение 2020 года скамеры практически полностью оккупировали все площадки объявлений в России. В 2021-2022 годах они стали осваивать зарубежные рынки. Первыми жертвами скамеров стали площадки объявлений стран СНГ – белорусский Куфар, украинский и казахстанский филиалы OLX, популярный в Киргизии Lalafo. Схема не изменилась технически или организационно, достаточно было адаптировать скрипты для работы с новыми платформами.
Пример объявления о наборе скамеров в тиму для работы по Казахстану:
Переход от стран СНГ к европейским площадкам занял у скамеров гораздо больше времени. Помимо языкового барьера, они столкнулись со сложностями с обналичиванием похищенных средств. Виртуальные карты, широко доступные в России, оказались бесполезными в Европе. Для приема платежей требовались карты местных банков, которые было не так просто достать, да и процессы вывода средств оказались более сложными.
Однако эта проблема просуществовала недолго. Хищения у жителей страны Европы приносили на порядок больше денежных средств, чем аналогичные операции в России и СНГ. Это полностью перекрывало сложности вывода и обналичивания. Скамеры достаточно быстро переняли и адаптировали методы сообщества кардеров. Банковские карты с невысоким балансом, невостребованные для вбива и доступные на рынке по бросовым ценам прекрасно подходили для приема денежных средств от европейских «мамонтов».
В составе работающих по Европе групп появилось множество «вбиверов», а воркеры начали подстраиваться под их активность и доступность. Теперь отдельные хищения совершались не так быстро, стоимость обналичивания выросла почти до классических 50%, но эти хищения были более прибыльными и намного более безопасными. Вероятность задержания при обмане европейцев невелика, учитывая сложности международного взаимодействия полиции разных стран.
Примерно так скамеры оценивали работу по зарубежным странам:
Современные группы скамеров предоставляют возможность генерировать фишинговые страницы под десяток различных площадок разных стран – охвачена не только Европа, но и платформы азиатского региона. Из-за особенностей работы сервисов объединять весь функционал в скромном интерфейсе Telegram-бота стало сложнее, и некоторые группы вновь вернулись к административным панелям. Формируется иерархия исполнителей – более прибыльные сервисы Европы доступны только опытным воркерам, а новичкам предлагают работу по России и СНГ. В отдельных группах для самых эффективных исполнителей действуют «элитные конфы».
Бурное развитие скамеров привлекло много внимания к породившим их форумам. В публикациях стали часто появляться скриншоты и псевдонимы с Lolz и аналогичных площадок. Администрация сообщества отреагировала точно так же, как XSS и Exploit отреагировали на ситуацию с Ransomware – темы скамеров, даже не работающих по России и СНГ, оказались под запретом, хотя услуги разработчиков, поставщиков аккаунтов и прочих материалов для успешного «ворка» все еще вполне доступны.
Впрочем, это не слишком отразилось на активности групп – основной состав участников давно сформирован, а новичков успешно привлекают через рекламу в тематических каналах Telegram и даже в TikTok.
Продолжение следует…
Оставайтесь в курсе актуальных новостей в сфере информационной безопасности и подписывайтесь на канал "Кибербез по фактам", а также на наш остросюжетный телеграм-канал.