Спам и фишинг

Особенности «нигерийского» бизнеса

Страна, где много интернет-мошенников

Нигерия — страна, в которой по уровню доходов от внешних валютных операций мошенничество занимает четвертое место. После экспорта нефти, природного газа и какао.

Причину столь необычной специализации нигерийцев объясняют по-разному. По результатам исследования World Bank, в этой стране с достаточно высоким уровнем образования и безработицы четверть выпускников колледжей оказываются не у дел. Вероятно, их и используют при осуществлении интернет-афер криминальные элементы, которые расплодились за время хаоса и военных диктатур, сменявших друг друга в течение двадцати лет.

Журналист Assosiated Press рассказывает о Festac Town — одном из районов столицы Нигерии, где интернет-мошенники ночами «творят» в Сети, а днем щеголяют шикарными костюмами и автомобилями, хвастают успешными операциями и планируют новые атаки. Там же действуют подпольные телефонные линии, которые обеспечивают мошенникам связь с любым городом мира.

Надо отдать должное нигерийским аферистам — они изобретательны и умелы, идет ли речь о краже персональных данных, поддельных извещениях о выигрыше в лотерею, массовой рассылке мошеннических писем, содержание которых продумано до мелочей, или выуживании денег у получателей, будь то частное лицо или сотрудники бразильского банка.

Отдадим должное и нынешним демократическим властям Нигерии: три года назад они объявили войну интернет-мошенничеству и достигли несомненных успехов. Однако до полной победы еще далеко — этот криминальный бизнес в Нигерии процветает, а разработанные местными умельцами приемы подхватили спамеры всего мира.

«Нигерийский» сюжет

Получившее широкое распространение «ноу-хау» нигерийцев — ставшие классическими мошеннические «нигерийские» письма. Схема проста: в спамовых письмах, изначально рассылавшихся от имени вдовы (или иных родственников или доверенных лиц) опального нигерийского диктатора, рассказывается о миллионах долларов, которые отправитель может заполучить только с помощью третьего лица, т.е. получателя сообщения. Естественно, предлагается солидное вознаграждение за услугу. Для успешного проведения операции от посредника требуются незначительные по сравнению с грядущими барышами деньги, получив которые безутешная вдова (или другой персонаж «правдивой» истории) исчезает.

Просто, эффективно и до сих пор работает. Подход у мошенников творческий: учитывается текущая политическая ситуация в мире и в соответствии с ней меняются имена миллионеров; используются поддельные документы; для пущей солидности в переговорах участвуют «пасторы» и «адвокаты» и присылаются фотографии участников будущей сделки.

Кроме нажитых неправедным путем миллионов, которые нужно вывезти из охваченной беспорядками страны (например, деньги иракских генералов), в «нигерийских» письмах используются и другие формы приманок. Речь может идти либо о банковском вкладе, владелец которого умер, не оставив наследников, либо о контракте, сумма по которому также стала никому не нужной, и т.п.

«Нигерийские» письма рассылаются спамерами многих стран, и в разных странах люди попадаются на удочки мошенников. Если вы полагаете, что до России и стран СНГ они еще не добрались, то глубоко ошибаетесь. Мало того, что нас атакуют заграничные «нигерийцы», так еще и наши, местные, навострились. Так что теперь письма с предложением помочь «вытащить» миллионы Ходорковского приходят не только на английском, но и на русском языке. Впрочем, в арсенале мошенников не только имена известных персон.

Иногда используемые ими приемы просто виртуозны. Об одном из любопытных случаев атаки «нигерийцев», о которой нам написал читатель Спамтеста, речь пойдет ниже. Разумеется, с разрешения участника событий.

Бриллианты — лучшие друзья девушки

Получив второе письмо от мисс Замани (Zamani) из Сьерра-Леоне, Владимир насторожился. Судя по фотографии, его корреспонденткой была симпатичная веселая девушка с шоколадным цветом кожи. Да и само письмо было приятным во всех отношениях — романтичная особа была полна надежд на их будущие отношения. Из текста следовало, что в настоящее время девушка находилась в стесненных обстоятельствах, но была из обеспеченной семьи и получила приличное образование. Насторожило Владимира упоминание покойного папы, который имел какое-то отношение к алмазам.

Дело в том, что мисс Замани была второй девушкой из далекой Африки, которая написала Владимиру после того, как он опубликовал свою анкету и адрес электронной почты на одном из украинских сайтов знакомств. Первой была мисс Дружба (Drugba) из Сенегала, и активная переписка с ней оборвалась совсем недавно.

Мисс Дружба рассказала о себе душераздирающую историю. Жила она в лагере беженцев, хотя и была наследницей миллионов долларов, которые достались ей после убийства родителей. Нежная и трепетная темнокожая красавица (фотография прилагалась и производила должное впечатление) готова была последовать за крепким мужским плечом хоть на край света и просила Владимира помочь ей выбраться из страны вместе с унаследованными миллионами — разумеется, за вознаграждение.

Учитывая предложенную в качестве комиссионных сумму, предложение было заманчивым. Да и кто из представителей сильной половины человечества смог бы устоять перед призывами о помощи беззащитной африканской девы, которой не на кого было надеяться? Разве что те, кто хорошо знаком с приемами мошенников. Владимир не устоял.

Он попытался помочь, звонил пастору в далекий Дакар, обсуждал возможные действия с банковским работником и адвокатом. По ходу дела выяснилось, что для успешного решения проблемы Владимиру необходимо выложить 1500 долларов, которых у него просто нет. После чего переписка оборвалась, и влюбленная африканка испарилась вместе со своими проблемами и наследством.

Вот почему в ответном письме мисс Замани Владимир сразу написал, что у него нет денег. После чего, как и ожидалось, отправители потеряли к нему всякий интерес.

Маленькое расследование

Как выяснилось, на украинском сайте есть ссылка на аналогичный сайт знакомств, только африканский, а на африканском — ссылка на украинский сайт. Вероятно, именно с помощью этой ссылки и был выявлен сайт-мишень.

Заполучить электронные адреса мужчин, опубликованные на сайте знакомств, не составило для умельцев труда. Собрав адреса потенциальных жертв, мошенники разместили на украинском сайте несколько анкет якобы африканских девушек, жаждущих серьезных отношений. С этого же сервера с помощью робота рассылались письма по собранным адресам. Фальшивая мисс Замани, например, получив 19 писем (два из которых ей отправил Владимир), умудрилась отослать около 1000 сообщений.

В почтовый ящик Владимира по ошибке попало еще одно из писем, рассылаемых роботами. В нем слово в слово повторяется история мисс Дружбы — о погибших родителях и унаследованных миллионах, — отличаются только имена и фотография девушки другая.

Помимо технической стороны, мошенники продумали и содержание писем-ловушек. В результате складывался милый сердцу многих мужчин образ дев нежных и беззащитных, готовых ко всему ради любимого и нуждающихся в помощи.

Деньги мошенники пытались заполучить с помощью приемов «нигерийских» писем: обещая значительные суммы комиссионных, просили оплатить текущие расходы. Стоит ли говорить, что жертвы мошенников никогда бы не увидели ни обещанных денег, ни знойных темнокожих красавиц.

Не известно, пострадал ли кто-нибудь в результате действий аферистов и сколько человек в настоящее время переписываются с мнимыми девушками, пасторами и адвокатами.

И еще один вопрос: откуда у африканок взялись фамилии, столь значимые для русскоговорящих людей: Дружба и Замани.

Особенности «нигерийского» бизнеса

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике