Спам и фишинг

Использование досок объявлений в фишинге

Мошенничество на торговых площадках существует уже очень давно. Злоумышленники выманивают деньги как у доверчивых покупателей, так и у продавцов. В последнее время появились целые группировки, работающие по модели «мошенничество как услуга» (Fraud-as-a-Service) и специализирующиеся именно на обмане пользователей торговых площадок, в частности досок объявлений. Преступники постоянно изобретают новые схемы, направленные на кражу персональных данных и денежных средств. Потом такие схемы быстро распространяются за счет автоматизации и продажи фишинговых инструментов другим мошенникам. В этой статье мы разберем, как злоумышленники ищут и обманывают жертв, кто входит в состав группировок, а также рассмотрим кампанию, нацеленную на пользователей нескольких европейских досок объявлений.

Как обманывают пользователей досок объявлений

Существует два основных направления мошенничества на досках объявлений.

  1. Мошенник выдает себя за продавца и предлагает покупателю получить товар доставкой. Когда покупатель интересуется условиями доставки и оплаты, мошенник (в роли продавца) просит прислать ФИО, адрес и номер телефона, а также оплатить заказ на сайте. Если жертва соглашается, ей присылают фишинговую ссылку для оплаты товара (в стороннем мессенджере или в самом диалоге на площадке, если площадка не блокирует такие ссылки). Как только пользователь вводит данные карты на поддельном сайте, мошенник получает к ним доступ и списывает все средства.
    Такой вид скама называется scam 1.0 или скам покупателей, поскольку злоумышленники обманывают покупателей от имени продавца. Он считается устаревшим, так как уже известен большинству пользователей досок объявлений. Кроме того, этот способ подразумевает долгое ожидание покупателя, которого заинтересует выложенный товар.
  2. Мошенник представляется покупателем и обманывает продавца, уговаривая его отправить товар доставкой и совершить так называемую «безопасную сделку» или воспользоваться «безопасным способом оплаты». Как и в случае scam 1.0, злоумышленники присылают согласному на сделку продавцу фишинговую ссылку в стороннем мессенджере или непосредственно в диалоге на площадке. Страница по ссылке запрашивает данные платежной карты. Если продавец их вводит, злоумышленник списывает с карты все деньги.
    Этот способ обмана называется scam 2.0 или скам продавцов, поскольку злоумышленники обманывают продавца от имени покупателя. Такой вид скама превосходит предыдущий по популярности, так как с ним знакомо меньше пользователей, а значит, шанс найти жертву выше. Кроме того, при этом способе мошенничества злоумышленник активно ищет жертву, а не дожидается ее, что дает возможность завершать больше сделок в короткие сроки.

В обоих случаях после перехода по ссылке откроется фишинговый сайт — почти точная копия настоящего сайта торговой площадки или платежного сервиса. С единственным отличием: все данные, которые вы там введете, попадут в руки мошенников. Далее мы подробно рассмотрим схему scam 2.0, нацеленную на продавцов.

Как злоумышленники выбирают жертв

У мошенников есть несколько критериев отбора потенциальных жертв. В первую очередь их интересуют объявления, за продвижение которых продавец заплатил. Такие объявления обычно отображаются на первых позициях поиска и имеют специальную отметку. С точки зрения мошенника, они привлекательны по двум причинам: во-первых, у продавца, оплатившего продвижение, с большей вероятностью есть деньги. Во-вторых, такой продавец может быть заинтересован в ускоренном поиске покупателей.

Помимо отметки о продвижении злоумышленники смотрят на фотографии в объявлении. Если снимки высокого качества и кажется, будто их сделали на фотосессии, скорее всего, это предложение магазина. Такие объявления мошенникам не интересны.

Наконец, злоумышленники ищут продавцов, которые используют сторонние мессенджеры и готовы предоставить номер телефона. Это выясняют уже на стадии общения с продавцом.

Как обманывают жертву

Основная цель злоумышленника — убедить жертву перейти по фишинговой ссылке и ввести платежные данные. Как и любой покупатель, мошенник начинает общение с приветствия и уточнения, актуально ли еще предложение. После этого он задает продавцу различные вопросы о товаре, например в каком он состоянии, давно ли продавец его приобрел, почему решил продать и так далее. Опытные скамеры задают жертве не более трех вопросов, чтобы не вызвать подозрений.

Затем злоумышленник говорит, что товар его устраивает, но он не может забрать его лично и оплатить наличными, потому что, например, находится в другом городе (тут мошенник может указать любую причину, на которую хватит фантазии), после чего спрашивает, удобно ли будет воспользоваться доставкой с «безопасным платежом».

Чтобы у продавца не возникало вопросов, мошенник подробно объясняет схему оплаты приблизительно следующим образом.

  1. Я плачу за ваш товар на [название площадки].
  2. Вам приходит ссылка для получения денег.
  3. Вы переходите по ссылке и указываете номер счета, на который удобно получить деньги.
  4. Как только вы получаете деньги, с вами связывается служба оформления заказов и назначает удобный для вас способ доставки. Доставка уже будет оплачена. Товар упакуют и оформят за вас.

Если жертва начинает спорить и настойчиво отказываться от такого способа оплаты, мошенник пропадает, так как не хочет терять время. Если продавец просит продолжить переписку на официальном сайте торговой площадки, злоумышленник делает вывод, что он знает о мошенничестве и вряд ли перейдет по фишинговой ссылке, поэтому также перестает отвечать и начинает искать новую жертву.

Если же жертва переходит по фишинговой ссылке и вводит платежные данные, мошенники снимают с ее карты все доступные средства. Стоимость товара при этом не имеет значения: даже если продавец указал в объявлении незначительную сумму, злоумышленники спишут все, что успеют.

Как выглядят фишинговые страницы

В схеме scam 2.0 есть два основных варианта фишинговых страниц: одни представляют собой копии страницы торговой площадки с объявлением жертвы, другие имитируют сервисы безопасной оплаты, такие как Twin. Ниже приведен пример фишингового объявления и оригинал на официальном сайте.

Фишинговое объявление

Фишинговое объявление

Оригинальное объявление

Оригинальное объявление

Как можно видеть, злоумышленники практически полностью копируют интерфейс торговой площадки. Поддельная страница отличается от оригинальной лишь незначительными деталями. В частности, вместо кнопки Inserent kontaktieren («Связаться с автором объявления») на фишинговой странице присутствует кнопка Receive 150 CHF («Получить 150 швейцарских франков»). Если нажать эту кнопку, откроется страница с формой ввода платежных данных.

Фишинговые страницы оплаты

Фишинговые страницы оплаты

Если по изначальной ссылке открывается копия сервиса безопасных платежей, то форма ввода данных карты отображается прямо на этой странице — без дополнительных переходов.

Группировки

В последнее время появились целые группировки мошенников, которые специализируются на досках объявлений. Они практикуют оба варианта мошенничества (scam 1.0 и scam 2.0) и объединяют в своих рядах организаторов, поддержку и рядовых участников.

Мы подробно изучили деятельность одной из группировок, нацеленной на пользователей досок объявлений из Швейцарии. На ее примере мы покажем, как устроена деятельность таких структур изнутри.

В состав группировки могут входить следующие роли.

  • ТС (топикстартер) — основатель и главный администратор команды.
  • Кодер — человек, ответственный за всю техническую составляющую: каналы, чаты и боты в Telegram и т. д.
  • Возвратер («техподдержка») — мошенник, отвечающий в чате технической поддержки на фишинговых сайтах. Он помогает довести жертву до конечной цели злоумышленников — до ввода банковских данных. Название «возвратер» возникло в связи с тем, что к этим же «специалистам» жертву отправляют, если она недовольна списанием денег и требует их вернуть.
  • Вбивер («на ручке») — человек, главная задача которого — снять деньги с банковского счета жертвы. Как правило, получив данные карты, вбивер оплачивает этой картой различные товары, услуги, кредиты и прочее. Сам процесс оплаты покупок чужой картой называется вбив.
  • Вдохновитель — человек, оказывающий моральную поддержку скамерам. Его задача — сделать так, чтобы скамеры не падали духом и всегда «саморазвивались». Вдохновитель предлагает подкасты и поддержку в личных сообщениях (обсуждать с ним можно любые проблемы, в том числе личные, не связанные с мошенничеством). Такой «сотрудник» существует только в крупных группировках, которые имеют достаточно средств для оплаты его услуг. Работает вдохновитель за процент от украденных денег.
  • Маркетолог — человек, который отвечает за рекламные кампании проекта, оформление бота и дизайн сопутствующих материалов — в основном на различных теневых площадках и в Telegram-каналах для мошенников. Реклама нужна для привлечения новых воркеров.
  • Воркер — это скамер, то есть тот, кто непосредственно обманывает жертв: находит объявления, откликается на них, убеждает собеседника перейти по фишинговой ссылке и так далее. Воркер отличается от обычного мошенника только тем, что работает на группировку и пользуется ее инструментами и поддержкой. В качестве оплаты воркер получает средства, которые ему удалось украсть, за вычетом определенной комиссии. Сам процесс обмана жертв называется ворк.
  • Наставник — один из самых опытных воркеров, который закрепляется за новичком и помогает ему.
  • Консуматорша — девушка, которая подталкивает мужчину покупать подарки и разводит его на деньги. Эту роль предлагают всем девушкам, вступающим в закрытые группы, где мошенники общаются между собой.

Из прочего лексикона мошенников стоит выделить еще несколько терминов.

  • Доверчивого пользователя, которого уже обманули, называют мамонтом.
  • Сумма на банковской карте, которую указала жертва при переходе по фишинговой ссылке, называется логи.
  • Сумма, снятая с карты жертвы, называется профит.

Группировки общаются в закрытых группах и каналах в Telegram, где ищут новых воркеров, поддерживают ботов для создания фишинговых ссылок, отслеживают переходы по отправленным ссылкам и ведут статистику по каждому кейсу, по прибыли отдельных воркеров и группировки в целом.

Мошенничество как услуга (Fraud-as-a-Service)

Группировки работают по модели «мошенничество как услуга», в которой основным потребителем услуг является воркер. Организаторы обеспечивают функционирование сервисов (каналы/чаты/боты в Telegram, фишинговые сайты, обработка платежей, отмывание и вывод средств), предоставляют моральную поддержку и мануалы по ворку, а взамен забирают себе комиссию с каждого платежа.

На какие страны направлен скам с досками объявлений

Мошенничество вида scam 1.0 и scam 2.0 появилось несколько лет назад, и обе схемы до сих пор можно встретить на русскоязычных досках объявлений. Но скам, направленный на российский сегмент, среди опытных мошенников считается устаревшим, поскольку российские пользователи уже осведомлены о схемах обмана и высок риск, что злоумышленников найдут и арестуют. Поэтому скамеры переключаются на другие страны.

Исследуемая нами группировка нацелена преимущественно на Швейцарию. В своем чате мошенники отмечают, что такой выбор связан с меньшим риском обнаружения и тем, что пользователи из этой страны мало знакомы с данным видом скама. Кроме того, прежде чем размещать объявления или откликаться на них, скамер интересуется рынком страны и основными фактами о ней — например, на каких языках и диалектах говорят ее жители. Это требуется для того, чтобы понимать, на каком языке обращаться к жертве, чтобы вызвать у нее больше доверия. В Швейцарии, по данным на 2023 год, свыше 2/3 населения в возрасте 15 лет и старше используют для общения не менее двух языков.

Также исследуемая группировка действует в Канаде, Австрии, Франции и Норвегии.

Мануал по ворку

Мы проанализировали инструкции, которые группировка предоставляет новым воркерам, и выяснили, с чего начинается работа мошенников. Первым делом воркер покупает на теневых ресурсах аккаунты на досках объявлений, где в дальнейшем будет искать жертв. Злоумышленники покупают учетные записи, а не создают новые, поскольку регистрация на площадке несет в себе больше рисков. После этого воркер создает аккаунт в стороннем мессенджере для общения с жертвой: некоторые пользователи сами просят номер для того, чтобы связаться в мессенджере, в других случаях это предлагает воркер, чтобы снизить риск бана аккаунта на торговой площадке. Для регистрации используют виртуальные номера телефонов.

На следующем этапе воркер ищет прокси-сервер, с помощью которого он обеспечит себе анонимность и конфиденциальность. При соединении через сервер торговая площадка видит IP-адрес и прочие данные этого сервера, что позволяет скрыть идентификационные данные злоумышленника. При этом хорошими считаются прокси, при работе через которые аккаунт не банят сразу после регистрации. Так, если воркер будет работать с VPN, то его аккаунты будут очень быстро банить: подключение через VPN подразумевает частую смену IP-адреса и геолокации, отчего площадки часто принимают такие аккаунты за ботов.

Помимо инструкций по подготовительной работе, в мануале для новичка более опытные участники группировки делятся шаблонами, которые начинающий воркер может использовать в диалоге с жертвой, чтобы уговорить ее на сделку и успокоить, если у нее возникнут опасения по поводу предложенного способа оплаты.

Также в мануале содержатся инструкции по обходу введенных площадками ограничений. Доски объявлений постоянно обновляются и улучшают внутреннюю систему безопасности, поэтому воркерам все сложнее использовать привычные формулировки при общении с жертвами. Например, с ноября 2023 года одна из известных площадок отказалась от проведения платежей через Tripartie — популярную в Швейцарии платформу для безопасных сделок — и начала блокировать аккаунты за частое упоминание этой системы. Чтобы обойти это ограничение, воркеры пишут Tripartie с опечатками, например «теряют» символы или заменяют их другими. Более опытные воркеры используют кириллицу, чтобы сделать название платежной системы нечитаемым для защитных систем площадки.

Монетизация украденных карт

Если продавец ввел данные своей карты, воркер передает их вбиверу, который снимает с карты средства в пределах установленных лимитов. Делает он это различными способами: приобретает технику, переводит деньги на электронные кошельки, такие как PayPal, и так далее. Также вбивер пытается оформить на владельца карты кредит, взять займ или открыть вклад. Для этого он использует онлайн-банки, которые не требуют подтверждения по SMS. При этом некоторые из них просят прислать скан паспорта — на этот случай у вбивера есть данные паспортов, украденные или взятые у людей без определенного места жительства. Хотя эти данные не имеют отношения к владельцу украденной карты, онлайн-банки не всегда проверяют, принадлежат ли паспорт и карта одному человеку — на это и рассчитывают мошенники.

Автоматизация мошенничества с помощью Telegram-бота

Для упрощения работы воркеров у группировки есть фишинговый Telegram-бот. Он позволяет автоматизировать процесс создания фишинговой страницы и общения с жертвой, а также отслеживать успехи мошенника. На главной странице бота находятся кнопки для создания фишинговой ссылки, просмотра личного профиля, быстрого перехода в чаты и каналы группировки, а также кнопка настроек.

Главная страница бота

Главная страница бота

При нажатии кнопки создания фишинговой страницы появляется возможность выбрать страну, для которой будет создана уникальная ссылка.

Кнопка выбора региона

Кнопка выбора региона

Далее воркер указывает название товара, который заинтересовал жертву (если жертва — покупатель) или который разместила жертва (если жертва — продавец).

Выбор названия товара

Выбор названия товара

Эти данные воркер вводит, чтобы бот создал полную копию оригинального объявления, но уже на фишинговой странице. Также воркер загружает в бот фотографию, стоимость, описание и другую информацию из объявления, чтобы у жертвы создалось впечатление, что она находится на оригинальной странице.

После заполнения всех данных бот предоставляет фишинговые ссылки для всех доступных досок объявлений на всех релевантных для страны языках и для обоих вариантов мошенничества (скама продавцов и скама покупателей). Затем воркер выбирает нужную ему ссылку.

Выбор созданной ссылки

Выбор созданной ссылки

Здесь же мошенник может отправить жертве сообщение на почту, в мессенджер или по SMS. Контактные данные злоумышленник получает из профиля жертвы на площадке или выманивает в личной беседе.

Выбор действий с объявлением

Выбор действий с объявлением

После успешно проведенной фишинговой атаки воркер может просмотреть в боте свой профиль, в котором отображена его личная информация: ID, ник, баланс карты и сумма, заработанная как лично воркером, так и всей группировкой.

Данные личного профиля

Данные личного профиля

Бот также предоставляет возможность напрямую обратиться к наставнику и получить дополнительный заработок по схеме «приведи друга».

Инструменты бота

Инструменты бота

Как выглядят фишинговые ссылки

Фишинговые ссылки, которые исследуемая группировка создает с помощью Telegram-бота, построены по одной схеме:

  • домен/язык/действие/номер объявления

Домен чаще всего содержит часть или полное название доски объявления, которую копирует фишинговая страница, но это необязательная составляющая.

Информация о языках может меняться и зависит от страны, на которую направлен фишинг. Например, для Швейцарии существуют такие варианты: en, it, fr, de.

Действие — это то, что должна якобы совершить жертва: оплатить товар или получить платеж. Этот элемент принимает одно из двух значений: pay — если мошенник выступает в роли продавца, или receive — если мошенник выступает в роли покупателя.

Фишинговая ссылка всегда заканчивается цифрами — это номер объявления, полная копия оригинального.

Примеры фишинговых ссылок

Примеры фишинговых ссылок

Обновление ботов

Telegram-боты группировок постоянно совершенствуются и обновляются. В них добавляют полезную для воркеров информацию и расширяют арсенал инструментов автоматизации.

Например, в исследуемом Telegram-боте за период наблюдения появилась информация о доходах группировки за день и за все время существования, а также информация о доходах воркера за неделю и месяц.

Информация из профиля пользователя

Информация из профиля пользователя

Также с очередным обновлением стала доступна подробная информация о наставниках и их загруженности. Всего в группировке пять наставников, к которым прикреплено в общей сложности больше 300 воркеров. На момент написания статьи в чате мошенников в Telegram было более 10 000 участников.

Наставниками могут стать самые опытные воркеры, сумма профитов которых превышает 20 000 евро. Для этого они подают заявку на рассмотрение главному наставнику. Наставники получают процент от выручки ученика. Размер комиссии наставник устанавливает сам и увеличивает с опытом.

Система наставничества

Система наставничества

Помимо изменения интерфейса произошло и обновление способа создания ссылок — расширился список платформ, на которые нацелен фишинг.

Платформы для фишинга

Платформы для фишинга

Что происходит после перехода по ссылке

Ссылка из бота ведет на фишинговый сайт, адрес которого может отличаться от оригинала всего одной буквой. Страница представляет собой полную копию оригинального объявления с логотипом сайта, названием, ценой и описанием товара, который заинтересовал жертву.

Фишинговое объявление, нацеленное на обман покупателя. Для продавца страница будет такой же, но вместо Pay на кнопке будет написано Receive

Фишинговое объявление, нацеленное на обман покупателя. Для продавца страница будет такой же, но вместо Pay на кнопке будет написано Receive

Когда пользователь переходит по фишинговой ссылке, воркеру приходит оповещение в бот о зафиксированной активности жертвы. В этом оповещении мошеннику предлагается проверить, находится ли жертва онлайн — то есть открыта ли у нее в данный момент фишинговая ссылка — и при необходимости перейти в чат. Такие уведомления созданы для упрощения задач воркера и для ускорения реагирования.

Оповещение о переходе по фишинговой ссылке

Оповещение о переходе по фишинговой ссылке

Когда жертва вводит данные карты, вбивер тут же списывает их, и в общий чат группировки приходит уведомление о поступлении оплаты. В сообщении указывается вся украденная сумма, а также информация о том, сколько денег получат вбивер и воркер. Доля воркера автоматически зачисляется на его счет, указанный в настройках бота. В сообщении от бота также присутствует имя пользователя, который выплачивает воркеру прибыль. Это сделано для того, чтобы мошенник сам не попал на обман бывали случаи, когда другие воркеры под видом оплаты выманивали деньги у «коллег» или просили занять определенную сумму и не возвращали ее.

Уведомление об оплате

Уведомление об оплате

В конце дня в общий чат приходит оповещение о сумме, заработанной всей группировкой за день, месяц и за все время. Исследуемая группировка была создана в августе 2023 года. Первую прибыль она получила спустя 3 дня 17 часов после создания. В то время количество воркеров составляло 2675 человек, а касса проекта — 1458 $.

Сумма выплат группировки на февраль 2024 года

Сумма выплат группировки на февраль 2024 года

Прибыль и статистика

Мы подсчитали статистику по деятельности группировки за период с 01.02.2024 по 04.02.2024 включительно.

Страна Сумма логов Сумма профитов
Канада 1084,999 CAD 0 CAD
Швейцария 50 431,17 CHF 10 273 CHF
Франция 850 EUR 0 EUR
Австрия 2900 EUR 0 EUR

За четыре дня группировка заработала 10 273 CHF (более 1 070 000 рублей). При этом, если посмотреть на суммы логов, злоумышленники могли бы украсть более пяти миллионов рублей только со швейцарских карт. Почему этого не случилось? Основная причина — вбивер не работает с логами, сумма которых составляет меньше 300 CHF (31 000 рублей). Скорее всего, это связано с тем, что сумма профитов, полученных с таких логов, будет меньше затрат на ее вывод. Кроме того, снятие денег с карты увеличивает риск обнаружения, поэтому вбиверов интересуют только карты, на которых лежат большие суммы. Наконец, некоторые жертвы могли успеть заблокировать карты до того, как они попали в руки вбиверу, или же ввести некорректные данные, которые, однако, повлияли на общую сумму логов.

Лимит вбивера

Лимит вбивера

Страна Количество логов
Швейцария 65
Франция 6
Австрия 4
Канада 4

Если смотреть по количеству полученных логов, то самым популярным направлением является Швейцария. На втором месте — Франция, а на третьем — Австрия и Канада.

Площадки Количество логов Сумма профитов
Facebook 26 0 CHF
Post.ch 16 3 887 CHF
Tutti.ch 16 2 434 CHF
Anibis.ch 11 3 952 CHF

Если рассматривать конкретные доски объявлений, пользователей которых злоумышленникам удалось обмануть, то самыми популярными площадками оказались Facebook, Post.ch и Tutti.ch. При этом логи с Facebook не принесли мошенникам никакой прибыли. Самой выгодной площадкой стала Anibis.ch, которая находится на четвертом месте по числу логов. На втором месте — Post.ch, на третьем — Tutti.ch.

Как не попасться на удочку воркера

Хотя мошенничество на досках объявлений автоматизировано и поставлено на конвейер, от него можно защититься.

  • Доверяйте только официальным сайтам. Прежде чем вводить куда-то данные своей банковской карты, изучите адрес сайта, убедитесь, что домен не содержит опечаток и лишних символов, и проверьте, когда он был создан: если сайту пара месяцев, то велика вероятность, что он мошеннический. Еще надежнее — вообще не вводить свои данные на сайтах по ссылкам, а набирать нужный адрес в адресной строке вручную или открывать страницу из закладок.
  • Если вы покупаете или продаете товары на досках объявлений, не переходите в сторонние мессенджеры и ведите всю переписку только в чате сервиса. Как правило, такие сервисы используют защиту от мошенничества и не позволяют пересылать подозрительные ссылки.
  • По возможности отказывайтесь от предоплаты — совершайте оплату только тогда, когда получили товар и убедились в его исправности.
  • Не используйте QR-коды, отправленные вам из ненадежных источников.
  • Не продавайте товар «с доставкой», если на площадке нет такой опции. Если покупатель в другом городе, выбирайте службу доставки самостоятельно, отдавая предпочтение крупным доверенным компаниям.

Использование досок объявлений в фишинге

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике