Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Group-IB предупреждает об активизации аферы по возврату денег, украденных интернет-мошенниками

09/04/20

На фоне тревожной новостной повестки, вызванной пандемией коронавируса, перехода на «удаленку» и финансовых трудностей в отдельных сегментах бизнеса, интернет-мошенники активнее используют проверенные психологические приемы с социальной инженерией. Одной из самых успешных интернет-афер остается схема «Двойной обман», которая этой весной активизировалась в интернете.

money for nothing2

 

Суть схемы состоит в том, что людям, однажды уже ставших жертвами интернет-мошенников предлагают помощь в получении компенсации за ущерб. Сценариев у схемы несколько – мошенники предлагают возместить деньги за участие в популярных фейковых опросах, give away или «недобросовестных» лотереях. В другом случае обещают компенсацию НДС за расходы на покупку иностранных товаров: лекарств и БАДов, одежды и обуви, продуктов питания, топлива, стройматериалов, бытовой техники и т.д. Мошенники активно используют «синдром обманутого вкладчика» — так, в 90-е годы, жертвы финансовых пирамид, поддавшись на рекламу возврата потерянных средств, добровольно несли оставшиеся деньги в структуры типа «МММ» и вновь оказывались жертвами аферы.

Рассчитайте выплату и будет вам счастье  

Group-IB исследовал инфраструктуру одного из мошеннических ресурсов — Международной службы «Единый центр возвратов» (ЕЦН), и обнаружил целую сеть связанных сайтов, включавшую более 170 доменных имен, зарегистрированных на одно и то же лицо. Параллельно с ЕЦН работает ее схема-клон: от лица “Национального Лотерейного Содружества” посетителям обещают страховую выплату за “недобросовестную” деятельность организаторов лотерей.

 

Пытаясь избежать блокировок, мошенники уходят из Рунета. Если два года назад доменной зоне ru. были зарегистрированы всего несколько сайтов с предложением компенсаций, то в конце 2019 года появились порядка 200 доменов в международной доменной зоне .xyz (именно здесь часто регистрируют образовательные, инженерные и юридические ресурсы, —прим Group-IB), чтобы избежать быстрой блокировки. В марте 2020 года появились три десятка новых доменов под схему с компенсацией НДС.

Атака, как правило, начинается с рассылки в мессенджерах, по почте или в соцсетях. Эксперты CERT-GIB предполагают, что мошенники проводят свои рассылки, как «на холодную» , так и таргетировано, по жертвам прошлых афер, поскольку в различных схемах (например, «Кроличья нора») злоумышленники специально собирают данные пользователей — ФИО, телефоны или адреса электронной почты, чтобы использовать их повторно для рассылки спама или ссылок на новые мошеннические акции. 

В кейсе с компенсацией НДС была выбрана более изощренная модель продвижения: мошенники рекламировали в группах local.yandex фейковое интервью со специально созданного сайта-клона популярного издания  Лента.ру:  "76 летняя пенсионерка получила 170 000 руб компенсации НДС и потратила все деньги на стрептизера» (орфография сохранена). Публикацию сопровождали новости о коронавирусе, самоизоляции и отзывы «счастливчиков», получивших деньги. Из интервью ссылка вела на посадочную страницу, где посетителям предлагали рассчитать сумму компенсации НДС — на сайт «Центра финансовой защиты».

На сайте «Единый центр возвратов» говорится, что максимальная сумма компенсации составила 250 000  рублей.  В «лотерейной схеме» пострадавшим от лица несуществующего «Национального Лотерейного Содружества» обещают выплатить чуть больше —  до 280 000 рублей, на сайте «Центра финансовой защиты» - до 300 000 рублей.

money for nothing 3

Чтобы получить возврат за участие в опросе или лотерее, посетителям необходимо рассчитать сумму компенсации, вбив последние 4 цифры своей банковской карты (на сайте "Центра финансовой защиты" - 6 цифр ). По легенде мошенников, сумма возврата якобы рассчитывается, исходя еще и из IP-адреса посетителя и его локации (страна, город), что, конечно же, является фейком.

Введя вымышленные цифры, специалисты Group-IB обнаружили, что могут рассчитывать на сумму возврата в 231 926 рублей (компенсация 181 700 рублей + 50 228 рублей «страховка»). Наличие подобной «уязвимости» - ввести можно абсолютно любые цифры -  свидетельствует о том, что мошенники не только завлекали реальных жертв прошлых кампаний, но и просто любопытных посетителей, решивших испытать судьбу. Понятно, что выплаты были одобрены абсолютно всем. Для большей убедительности на сайтах были опубликованы многочисленные позитивные отзывы и «истории успеха» тех «счастливчиков», которые якобы смогли получить компенсацию и не скрывали своей радости.

money for nothing4

 

После расчета и одобрения суммы компенсации, пользователю необходимо ответить на вопросы «юриста отдела страховых выплат». Его аватарка появлялась тут же во всплывающем окне  «чат-бота» — юрист предлагал пользователю заполнить анкету, указав ФИО и телефон, а затем оплатить его «услуги» за оформление документов. Разумеется, разговор с «юристом» - имитация живого диалога, все сообщения представляют собой заранее подготовленный скрипт для чат-бота, что еще раз свидетельствует о технологичности придуманной схемы.

Чтобы у жертвы не было желания покинуть сайт, злоумышленники угрожают потерей денег, ссылаясь на несуществующий документ — "О страховых возмещениях №319» п22, согласно которому, если в течение 24 часов обманутый пользователь не получит деньги, вся сумма якобы вернется организаторам интернет-опроса.

Продолжение классическое: для получения компенсации, жертве нужно внести небольшую сумму - как правило до 1000 рублей за юридических помощь в заполнении анкеты. Перейдя по ссылке на новую страницу — пользователь попадал на фишинговый сайт. Здесь уже организаторы «Двойного обмана» запрашивают данные банковской карты — номер, имя владельца, срок действия, CVV-код. Таким образом, как и в более ранних схемах мошенничества, со счета жертвы списывается небольшой «взнос», а данные банковской карты остаются в руках интернет-преступников.

Эксперты Group-IB предупреждают, что сайты схемы «Двойной удар» продолжают появляться в Интернете: наиболее активные ресурсы, часть из которых заблокирована, часть в процессе блокировки, приведены ниже:

r24compencationscenter.xyz

rmoneybackservice.xyz

rvozvratmoment.xyz

rcashbackk0.ru

rdengikompencation.ru

rloteryhappy.ru

rvozvratonline1.ru

rcashpower.ru

rchep1pc.ru

rcashe.ru

rcsmxpqh.ru

rcpi51roc.ru

rc0p9xvc.ru

rhappywinner2020.ru

Темы:ПреступленияGroup-IBМошенничество
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...