Мошенники нашли способ выманивать деньги у российских художников-фрилансеров под видом иностранных заказчиков, сообщает компания-разработчик средств информационной безопасности F6.
Контакт начинается в мессенджере: художнику пишет аккаунт с минимальным профилем — например, без фото, с привязкой к свежесозданной странице на X и случайным набором букв в юзернейме. «Заказчик» просит нарисовать портрет ребёнка в подарок, причём гонорар сразу заявляется выше рыночного — без торга и уточнений, что само по себе должно вызывать вопросы, но на практике работает как мощная наживка.
После согласия художника начинается основная часть схемы. «Заказчик» сообщает, что перевёл оплату через криптоплатформу, и присылает скрин якобы пришедшего уведомления. Деньги, разумеется, не приходят. Дальше в переписке появляется первая просьба: аккаунт получателя имеет лимит, и чтобы его «повысить до бизнес-уровня», нужно перевести 60 долларов из своих средств — после чего эту сумму вернут вместе с основным платежом. Жертва уточняет, точно ли вернут деньги после перевода — и получает уверенные заверения.
После перевода переписка идёт практически в реальном времени, с интервалами в одну-две минуты: «отправил», «получили?», «да, всё пришло» — темп специально не даёт жертве паузы на размышление. На электронную почту параллельно начинают приходить письма, оформленные как уведомления от криптобиржи с фирменным логотипом. Подписаны они от имени «команды» банка — судя по всему, в шаблон автоматически подставляется название банка жертвы. Сначала это вежливое письмо о «плате за активацию страхового полиса», затем — сообщение о том, что баланс на счету «обновился» до внушительной суммы и для завершения верификации нужно «лучше всего» внести ещё 180 долларов. Слово «лучше всего» в письме выделено отдельным цветом — характерный приём шаблонного фишинга, рассчитанный на то, чтобы взгляд цеплялся за рекомендацию к действию.
К этому моменту жертва обычно уже потратила куда больше, чем планировала, и переписка превращается в попытки убедить мошенника, что денег больше нет. Судя по тону одного из сообщений — с признанием, что человек "в истерике" и физически не может найти средства — на этом этапе жертва находится в состоянии паники. Но собеседник не отступает: предлагает альтернативные способы перевода через сторонние платёжные сервисы или карты другого банка, торопит и говорит, что нужно сделать это «как можно скорее». А когда вариантов больше нет — звучит спокойный совет занять денег у друзей и родственников, причём сообщение приходит сразу на русском, что выдаёт автоматический перевод и, вероятно, иностранного оператора схемы.
Финальное письмо в цепочке озаглавлено как «ПОСЛЕДНЕЕ ПРЕДУПРЕЖДЕНИЕ» и содержит прямую угрозу: если в течение трёх часов не предоставить отсканированный чек об оплате, против жертвы могут быть возбуждены судебные дела, а банковские счета — заморожены. Угроза абсолютно фиктивна, но в сочетании с уже потраченными деньгами и предыдущим эмоциональным давлением многие продолжают платить.
Деньги мошенники выводят через подарочные карты Apple iTunes — жертве присылают ссылку на маркетплейс цифровых товаров с высоким рейтингом и сотнями тысяч продаж, где можно купить карту нужного номинала (например, 60 долларов за 5839 рублей). После оплаты открывается платёжная страница со сторонним продавцом и указанным для связи Telegram-ботом — ещё одно звено в цепочке посредников, через которую обналичиваются переводы жертв.
По словам старшего аналитика департамента Digital Risk Protection F6 Анастасии Князевой, мошенники постепенно наращивают эмоциональный градус: начинают с позитивного фона заказа для ребёнка и завышенного гонорара, а затем переходят к нарастающему давлению и угрозам, при этом жертва воспринимает каждый новый платёж не как потерю, а как шаг к получению крупного гонорара. В F6 отмечают, что похожая схема ранее активно применялась на международных арт-маркетплейсах, а теперь сместилась в мессенджеры с русскоязычной аудиторией — там проще установить доверительный контакт и снизить бдительность.
Отдельная угроза для художников связана с QR-кодами. Их работы без разрешения публикуют на сторонних ресурсах с подписью «Кисти художника» и QR-кодом, который ведёт на маркетплейс цифровых товаров. При попытке скачать кисти бесплатно пользователь вводит платёжные данные и соглашается с условиями сервиса, среди которых по умолчанию включена платная подписка — спустя время на карте начинают появляться неожиданные списания.
Похожие приёмы давно используются и за пределами арт-индустрии. Классическая схема с переводом «лишних» денег, который нужно вернуть для получения крупной выплаты, встречается у фейковых покупателей на маркетплейсах объявлений: покупатель якобы переводит оплату через сервис с эскроу, затем пишет, что отправил больше нужного, и просит вернуть разницу — после чего исчезает с обеими суммами. Та же логика лежит в основе фишинга, имитирующего банки и службы доставки: жертве сообщают о «зависшей» посылке или выплате, для получения которой нужно оплатить небольшую таможенную или страховую комиссию. А фейковые вакансии с предоплатой используют схожий механизм давления — соискателю обещают высокий доход, но перед началом просят оплатить «оборудование» или «страховой депозит», который якобы вернётся вместе с первой зарплатой. Подарочные карты Apple, Google Play или Steam в роли инструмента обнала встречаются практически во всех этих сценариях — от фейковой техподдержки до псевдо-сотрудников компаний, требующих «вернуть» переплаченную зарплату именно картами.
Специалисты F6 рекомендуют фрилансерам критически относиться к заказчикам, предлагающим оплату значительно выше рынка без торга, не принимать платежи через незнакомые сторонние сервисы, игнорировать любые требования «взаимных переводов» и комиссий за получение собственных денег, немедленно прекращать общение при угрозах и обращаться в полицию при наличии оснований полагать угрозы реальными. Также советуют не переходить по ссылкам от незнакомцев, использовать двухфакторную аутентификацию везде, где это возможно, и заводить отдельную карту для финансовых операций в интернете.