В заключительной части обзора скаминдустрии эксперты Департамента расследований F.A.C.C.T. проанализировали события последних двух лет. После внедрения российским компаниями решений для борьбы со скамом и фишингом мошенники перестроили свою инфраструктуру, взяли на вооружение «платежные сервисы» и лучшие практики маркетинга.
По итогам скам-эволюции злоумышленникам удалось занять самое козырное место в киберпреступной иерархии. Подробности вы узнаете в этой статье.
Первая и вторая часть обзора доступны по ссылкам.
Операция «Адаптация»
К условному 2022 году рынок нормально реагировал на экспоненциальный рост фишинговых страниц и хищений. Так платформы объявлений учились выявлять и блокировать аккаунты скамеров, адаптировались системы банковского антифрода, срок жизни фишинговых доменов и обслуживающих серверов сильно сократился.
Часть групп скамеров начала сталкиваться с определенными трудностями. Для получения желаемых «профитов» уже было недостаточно создать десяток дешевых доменов на простом сервере и пары виртуальных карт. Это все начало успешно блокироваться, вызывая простой в работе и недовольство «воркеров».
Так множество мелких групп начало распадаться. Их «ТС» либо понижали долю выплаты «воркерам», чтобы окупить свои усилия и затраты на организацию процесса, либо и вовсе сами переходили на позиции «воркеров» в более успешные группы. В свою очередь, крупные команды, имевшие за счет оборота определенный запас прочности, начали адаптироваться под новые реалии рынка.
Серьезно усложнилась информационная инфраструктура мошенников. Внешне поменялось немного, разве что вместо красивых, хорошо имитирующих рабочую платформу доменных имен, в обиход вошли «технические» домены, вроде id32789.com. Наименование нужной платформы выносилось в субдомен, что позволяло с горем пополам решать задачу имитации оригинального сайта, под который рисовалась фишинговая страница.
Пример инфраструктуры злоумышленников с субдоменами под разные проекты:
Если говорить про внутреннюю часть инфраструктуры, она претерпела ряд изменений. Обращения к управляющим серверам теперь производятся не напрямую, а через несколько отдельных «прокладок». Генерация фишинговой страницы, учет работы «воркера», передача данных банковской карты «вбиверу» — для каждой операции зачастую заводится отдельный сервер, между которыми выстраиваются достаточно сложные схемы взаимодействия.
Функционал самих фишинговых страниц таже несколько усложнился: переходы по ним начали анализироваться для отсечения активности исследователей и сотрудников правоохранительных органов, а время существования отдельной страницы сокращено до минимума, достаточного для «обработки» одной конкретной жертвы.
Создание и поддержка подобной инфраструктуры требует серьезной компетенции разработчиков. Поначалу это было доступно только крупным командам, но постепенно вновь вышло на уровень отдельного сервиса с соответствующим ростом стоимости услуги. «Скам-бот под ключ» все еще можно приобрести за пару тысяч рублей, но действительно работающее решение, которое позволит «ТС» не погружаться в технические сложности, доступно только в формате аренды или подписки, и стоит уже десятки тысяч в месяц.
«Мерч», «обнал» и «профит»
Аналогичные процессы происходили и в сфере обналичивания похищенных средств. Здесь скамерам не пришлось выдумывать ничего нового, поскольку рынок «обнала» всегда был достаточно масштабен и динамичен в своем развитии, обслуживая все существующие направления киберпреступности. Конечно, отдавать за «обнал» более трети, а то и половину похищенного неприятно, но это все еще выгоднее и намного безопаснее, чем самостоятельная вербовка дропов, закупка карт и снятие наличных в банкоматах.
В обиход скамеров вошли «платежные сервисы», которые в разговорной речи именуются «платежка» или «мерч». Возникшие в совершенно других сферах киберпреступности (прием платежей от мошеннических опросов, нелегальных казино и обычного фишинга), они предоставляют клиентам готовую страницу для ввода жертвой данных банковской карты, самостоятельно занимаясь как обслуживанием соответствующей инфраструктуры, так и выводом полученных средств – скамерам достаточно всего лишь направить на нее жертву и передать параметры ожидаемого платежа.
Пример рекламы платёжного сервиса для скамеров:
В итоге деятельность современного «ТС» свелась к тем же самым преимущественно административным задачам по руководству своими «воркерами», а для всего остального достаточно выбрать подходящие сервисы. Доля от «профита» для всех участников группы значительно снизилась, но это более-менее компенсируется количеством успешных хищений.
Совершенствовались и методы привлечения жертв на ресурсы злоумышленников. Имея в своем распоряжении уже готовую устойчивую среду для конечной обработки жертвы, скамеры начали применять классические способы маркетинга – теперь на их фишинговые страницы вполне реально наткнуться в поисковой выдаче Яндекса, Google и в социальных сетях.
Галя, у нас отмена
Довольно оригинальным способом скамеры начали осваивать и крупные маркетплейсы. Злоумышленники регистрируют собственные магазины и размещают товары по привлекательным ценам. Поступающие от клиентов маркетплейса заказы отменяются под благовидными организационными предлогами (например, отсутствие конкретной модели товара на складе) или по «техническим причинам». При этом, получив от маркетплейса контактные данные клиента, скамеры обращаются к нему с предложением «переоформить заказ» и отправляют все те же самые ссылки на фишинговые страницы.
Арсенал специалистов по «антикино» со временем пополнился схемой «эскорта». В ней скамеры все также под видом девушек ищут жертв на сайтах знакомств, однако вместо имитации романтических отношений и приглашения на свидание прямо заявляют о том, что работают в сфере интимных услуг. Для заказа и оплата «встречи» жертве предлагается перейти в Telegram-бота, где под видом пополнения лицевого счета в эскорт-агентстве, оплаты страховочного взноса и т.п. у нее выманиваются денежные средства. Фактически из «Антик» исключили «романтик», и по вполне понятным причинам жертвы такого мошенничества обращаются в правоохранительные органы гораздо реже, чем в случаях с классическим «антикино».
Пример объявления о наборе воркеров в команду для скама на эскорте:
Также скамеры изобрели новые векторы направления работы, которым требовалось владение неплохими навыками социальной инженерии, однако они менее зависят от инфраструктуры. Например, направление «казино» -простая адаптация скамерами достаточно старой схемы привлечения пользователей на сайты азартных игр под видом 100% работающего способа «обмана казино».
«Казино» скамеры организуют в виде Telegram-бота, а жертву заманивают под видом успешного игрока (чаще всего – девушки), который просит сделать пару ставок за его счет. Увидев, как «успешный игрок» выигрывает и выводит прибыль, жертва делает собственные ставки, по которым в «казино» скамеров выиграть уже невозможно.
Второе успешно развивающееся направление – фиктивные обменники криптовалюты. «Трафик» (методы привлечения жертв) по данному направлению достаточно сложный, однако получение «профита» в чистой криптовалюте вполне оправдывает усилия злоумышленников — это на порядки упрощает вывод и обналичивание похищенных средств.
Наиболее актуальной в настоящий момент угрозой является адаптация скамерами давно забытых в России хищений через вредоносные приложения под Android. «Кодеры» маскируют их под обновленные версии клиентов маркетплейсов и другие актуальные приложения, «воркеры» — активно распространяют их привычными методами социальной инженерии, а «вбиверы» быстро обрабатывают перехватываемые у жертв данные банковских карт и коды подтверждения платежей.
Пример объявления из скам-группы с описанием современной схемы атаки на мамонта с использованием ВПО:
По прошествии 7 лет сообществу скамеров удалось возникнуть из ничего, пережить становление, проблемы роста, адаптации к противодействию и занять вполне значимое место среди прочих видов киберпреступности – потому что даже малое зло, оставленное безнаказанным, имеет свойство множиться.
Для того, чтобы оставаться в курсе актуальных новостей в сфере информационной безопасности, подписывайтесь на канал «Кибербез по фактам», а также на наш остросюжетный телеграм-канал.