«Мамонт» штурмует банки: мошенники атакуют клиентов финансовых организаций

Начиная с 2019 года специалисты Digital Risk Protection компании F.A.C.C.T. пристально следят за развитием схемы «Мамонт» — популярного онлайн-мошенничества, связанного с хищением данных банковских карт и денег при оплате фейковой покупки или продаже товаров, бронировании жилья, оплате совместных поездок. Подобно грибу-паразиту кордицепсу из популярного сериала, эта криминальная схема стремительно развивается, поражая новые страны и сферы бизнеса.

На момент написания этого блога экспертам F.A.C.C.T. известно о 16 активно действующих крупных скам-группах, работающих по схеме «Мамонт» в России и странах СНГ, в которых задействованы более 20 000 рядовых воркеров. Только за год, с июля 2023-го по июнь 2024-го, с помощью этой схемы скамеры похитили у жителей этих государств более 1,2 млрд рублей. А суммарный ущерб от действий мошенников по схеме «Мамонт» во всех странах, где они развернули свою деятельность, с начала 2021 года превысил 8,6 млрд рублей.

Три главных тенденции, которые выявили аналитики за последний год:

• использование нового способа доставки RAT (Remote Access Trojan, или троян удалённого доступа) на устройства пользователей, совершивших платёж по фишинговой ссылке, для получения полного контроля, оформлением кредитов на жертв и выводом всех средств с их банковских счетов;
• расширение числа брендов банков таких государств, как Армения, Киргизия, Узбекистан, Азербайджан и Казахстан, используемых злоумышленниками для создания фишинговых страниц и увеличения суммы похищенных у пользователей денежных средств за счёт получения доступа к их личным кабинетам;
• включение схемы «Антикино» в функционал некоторых крупных команд, работающих по схеме «Мамонт».

Неизменной остаётся только иерархия и инфраструктура киберпреступников, всё остальное постоянно меняется. Злоумышленники добавляют в схему новые страны для атак, новые бренды, придумывают новые сценарии для поиска жертв и их обмана, пути обхода возникающих угроз. История с задержанием Павла Дурова в Париже, похоже, приведёт к новому этапу эволюции «Мамонта» — мы уже наблюдаем отток скам-групп из Telegram и падение выручки злоумышленников.

Подробности читайте в нашем исследовании.

Быстрее, злее, наглее

Личные кабинеты

Злоумышленники улучшили фишинговые страницы, предназначенные для потенциальных жертв в некоторых странах. Теперь они включают поддельные страницы входа в личные кабинеты местных банков таких государств, как Армения, Киргизия, Узбекистан, Азербайджан и Казахстан. На этих страницах жертве предлагают ввести свои учетные данные банковских аккаунтов. Мошенники собирают эти данные, входят в счета жертв и переводят деньги на счета дропов.

Рис.1. Выбор банка на фишинговом сайте

Рис.2. Ввод данных от личного кабинета банка на фишинговом сайте

Также начали появляться фишинговые страницы личных кабинетов банков России.

Рис.3. Ввод данных от личного кабинета банка на фишинговом сайте

Объединение Мамонта и FakeDate

Раньше эти криминальные схемы, хотя и схожие по внутреннему устройству, не пересекались между собой. Но теперь некоторые крупные команды из схемы «Мамонт» добавили в свой функционал возможность создания ссылок по схеме FakeDate («Антикино»).

FakeDate (Антикино) – популярная схема мошенничества, которая появилась в 2018 году. Злоумышленники от имени девушек на сайтах знакомств и в социальных сетях предлагали жертвам пойти с ними на кино. Для этого предлагалось приобрести «последний оставшийся билет» по ссылке, которая вела на фишинговый сайт.

Рис.4. Меню Telegram-бота с пунктом генерации ссылки для схемы FakeDate

Для поиска жертв вместо досок объявлений, как в большинстве случаев принято в схеме «Мамонт», скамеры в схеме FakeDate используют сайты знакомств. Зачастую регистрируются под женскими именами и после небольшого диалога с откликнувшимся мужчиной предлагают сходить в кинотеатр, театр, стендап или куда-нибудь ещё. Иногда, чтобы сократить время жертвы на раздумья, мошенники от лица девушки сообщают, что рядом с её местом осталось только одно, которое вот-вот выкупят.

Рис.5. Сгенерированная ссылка по схеме FakeDate

Ратники

Рис.8. Пост в мошеннической группе с предложением использовать ВПО

В стремлении увеличить свой доход злоумышленники придумывают новые способы доставить на устройства пользователей вредоносные приложения. ВПО позволяет списывать деньги со всех банковских счетов жертвы и оформлять на неё кредиты, минимизируя при этом риски автоматической блокировки карты из-за подозрительных действий. Ещё в 2023 году мы отмечали распространение некоторыми мошенническими группами RAT (Remote Access Trojan, или троян удалённого доступа) для заражения устройств пользователей на Android. За год злоумышленники сократили путь доставки «трояна» до одного клика.

Сразу после оплаты на фишинговой странице жертве, как и раньше, предлагают скачать приложение для отслеживания доставки только что оплаченного заказа. Но если раньше пользователю предлагалось сначала перейти по ссылке на фейковый GooglePlay, чтобы скачать вредоносный APK-файл, то сейчас предлагают скачать его сразу на странице оплаты фейкового заказа.

Рис.9. Предложение скачать вирусное приложение на фишинговом сайте

Приложение даёт злоумышленникам возможность не только вывести со счетов жертвы все имеющиеся деньги, но и вдобавок оформить на неё кредиты для последующего хищения.

Telegram WebApp

Ещё одно новшество – некоторые злоумышленники стали использовать в своей работе функционал Telegram WebApp.

Рис.13. Пример возможности создания Telegram WebApp

Жертве скидывают ссылку на Telegram-бот, похожий на официальный бот компании, и код-идентификатор заказа.

Рис.14. Пример созданной ссылки на бот

По этому коду жертва находит в боте свой заказ и получает возможность оплатить его.

Рис.15. Пример отображения заказа в боте

В открывшемся окне жертва вводит данные своей карты или данные для входа в личный кабинет банка.

Рис.16. Пример оплаты заказа

Скам покидает Telegram?

В конце сентября–октябре 2024 года некоторые мошеннические группы стали отказываться от взаимодействия в Telegram и переходить на специально созданные для этого сайты. Это произошло после того, как Павел Дуров выложил пост, в котором заявлялось, что теперь IP-адреса и номера телефонов нарушителей правил использования Telegram могут быть раскрыты соответствующим органам в ответ на обоснованные юридические запросы.

Одной из первых на заявление Дурова отреагировала крупная группа, работающая по схеме «Мамонт». В их канале с более 10 000 подписчиками было объявлено о полном переходе на собственную web-платформу и запуске анонимного onion-сайта.

Рис.17. Сообщение в одной из мошеннических групп об уходе с Telegram

Как результат, доходы 70% мошеннических групп, работающих по схеме «Мамонт», за четыре недели с момента публикации поста Павла Дурова сократились в среднем на 22% — с 58 млн до 45 млн рублей.

Дополнительные сложности возникли у злоумышленников после того, как платформа CryptoBot, используемая для вывода криминальных доходов, начала блокировать счета. Это привело к проблемам с выводом прибыли, что усугубило спад в мошеннической деятельности.

Большая семья «Мамонта»

Новые способы обмана опираются на успешный опыт криминальной деятельности, накопленный скамерами из схемы «Мамонт» за последние несколько лет. Самое время вспомнить, как она устроена.

Злоумышленники, регистрируя новые или используя взломанные аккаунты интернет-сервисов бесплатных объявлений, размещают лоты-приманки — объявления о продаже товаров, рассчитанных на разные целевые аудитории, начиная от смартфонов и заканчивая продуктами питания. Для привлечения потенциальных жертв злоумышленники занижают цену на товар, чтобы объявление выделялось среди остальных.

После того, как пользователи сервисов выходят на контакт со злоумышленниками с помощью внутреннего чата на самой интернет-платформе, им под разными предлогами предлагают уйти в мессенджеры для дальнейшего обсуждения вопросов покупки и доставки.

Мошенники на сайтах объявлений могут играть роль как покупателей, так и продавцов товаров. Когда скамер выступает в роли покупателя, он сообщает продавцу, что заказ оплачен. А затем присылает фишинговую сумму на страницу, на которой указана стоимость товара, и предлагает продавцу ввести номер карты, на которую эта сумма якобы зачислится.

Рис.18. Создание фишинговой страницы в Telegram-боте

В том же Telegram-боте скамерам доступны вспомогательные инструменты для отправки жертве SMS или письма с фишинговой ссылкой. Также на фишинговый сайт можно добавить так называемый «чекер баланса». В этом случае на странице, на которую по ссылке переходит жертва, рядом со стандартными формами ввода данных банковской карты появляется ещё одна – ввода баланса карты, в расчёте на пользователей, которые простодушно впишут в неё точную сумма остатка на счёте.

Также некоторые боты предлагают скамерам включить блокировку конкретных банков, с которыми могут возникнуть проблемы при списании похищенных денег. В этом случае, если жертва введёт данные от неподходящего банка, то получит сообщение: например, данный банк не является партнёром и с оплатой через него оформить скидку на товар не получится. Другой вариант – скамер может выбрать банки с высокими лимитами переводов. Чем выше лимит, тем больше сумма, которую может похитить злоумышленник.

Рис.19. Настройка блокировки банков в Telegram-боте

Некоторые боты предлагают услуги парсера – бесплатно или по скидке у партнёров. Мошенники используют их для автоматизации поиска объявлений на досках объявлений и, соответственно, быстрого формирования списка потенциальных жертв.

Парсер — это программа, сервис или скрипт, который собирает данные определённых веб-ресурсов, анализирует их и выдает в нужном формате.

На фишинговом сайте, ссылку на который прислал злоумышленник, жертве предлагают ввести свои банковские данные, оплатить покупку по QR-коду или перевести нужную сумму самостоятельно по реквизитам.

Рис.20. Страница оформления заказа на фишинговом сайте

Рис.21. Страница с вводом банковских данных

В некоторых случаях мошенники даже не создают фишинговые страницы, а просто присылают жертве номер карты, на который предлагают перевести определённую сумму. Эти номера они берут в тех же чатах скам-группы или боте.

Рис.22. Пост с реквизитами для прямых переводов

После оплаты, если жертва не догадалась об обмане, мошенники сразу или через некоторое время могут предложить возврат, например, под предлогом сбоя на почте или повреждения товара. Естественно, деньги не вернут, а лишь повторно спишут стоимость товара.

Описанная схема – лишь один из вариантов, которые используют злоумышленники. Помимо стандартной схемы с досками объявлений, активно применяются и другие.

1. Доставка

Привлечение жертв происходит как через сервисы бесплатных объявлений, так и другими способами, только при обсуждении сделки мошенник просит оформить заказ через сервис доставки.

Рис.23. Страница оформления доставки на фишинговом сайте

2. Перевозка животных

Злоумышленники выставляют объявление о продаже животного или передаче его бесплатно в добрые руки. Выбирают потенциальных жертв из других городов и предлагают для доставки питомца воспользоваться услугами специализированного такси. Если жертва согласна, ей присылают фишинговую ссылку для оплаты.

Рис.24. Страница оформления перевозки животного на фишинговом сайте

3. Поиск попутчиков

Мошенник создаёт поездку на специализированном сервисе по поиску попутчиков. Диалог с теми, кто хочет к этой поездке присоединиться, он переводит в мессенджеры, где присылает фишинговую ссылку на оформление/подтверждение брони.

Рис.25. Страница оформления бронирования на фишинговом сайте

4. Маркетплейсы

Скамер регистрирует аккаунт магазина в маркетплейсе (или добывает доступ к чужому, например, путем фишинговой атаки) и создает карточку популярного товара с заниженной ценой. После того, как жертва заказала товар, со стороны фейкового магазина происходит отмена. Затем злоумышленник присылает жертве присылает номер, по которому можно найти его в мессенджерах. Далее сообщает, что на складе данного маркетплейса товар закончился, и предлагает оформить заказ в другом маркетплейсе по ссылке, которую он пришлёт. Но эта ссылка, как уже понятно, ведёт на фишинговую страницу.

Рис.26. Страница оформления заказа на фишинговом сайте

5. Онлайн-ритейл

В основном применяются две схемы.

• На досках объявлений или в социальных сетях мошенники предлагают оформить заказ с хорошей скидкой. Тех, кто заинтересовался, переводят в мессенджеры, спрашивают о предпочтениях. Затем с помощью бота формируют корзину из товаров, которые хочет заказать жертва, и отправляют ей ссылку для оформления и оплаты заказа.
• Злоумышленники создают поддельные аккаунты техподдержки магазинов, от имени которых в ответ на жалобу, оставленную в комментариях в официальном канале, предлагают сообщить, какие товары не получилось заказать. По этому списку злоумышленники генерируют фишинговую страницу для оплаты, скамер может указать на ней скидку, которую обещал жертве.

6. Недвижимость

Мошенник ищет предложение об аренде квартиры на специализированном сервисе и пишет арендодателю: срочно нужна квартира. В ходе переписки предлагает жертве перевести диалог в мессенджер, где просит дополнительные фото квартиры, уточняет адрес, интересуется мелочами – словом, создаёт впечатление заинтересованного арендатора. Затем предлагает оформить договор через сервис по аренде (зачастую тот, где и нашёл объявление). Говорит, что самостоятельно через сайт заполнит все документы и всё оплатит, а арендодателю останется только получить деньги. Под этим предлогом злоумышленник отправляет ссылку на фишинговый ресурс, который ранее сгенерировал с помощью специального Telegram-бота.

Рис.29. Страница оформления аренды на фишинговом сайте

7. Сайты услуг

Скамер под видом заказчика публикует на сайтах услуг задания и ищет исполнителей. Желающих заработать переводит в мессенджеры, где предлагает получить аванс по ссылке, которая ведёт на фишинговый сайт. Обязательное условие перевода предоплаты, которое выдвигает заказчик – наличие на карте исполнителя суммы не меньшей, чем сумма аванса. Разумеется, для того, чтобы было что похитить.

Рис.30. Страница оформления аванса на фишинговом сайте

Рис.31. Страница с вводом банковских данных

8. Авиабилеты

Два самых распространённых варианта распространения фишинговых ссылок под этой легендой.

1. Через доски объявлений. Предлагают приобрести билет со скидкой, а затем переводят заинтересованных пользователей в мессенджер, где присылают ссылку на фишинговый сайт.
2. Более сложная схема рассчитана на тех, кто ищет работу вахтовым методом. Злоумышленник обещает высокооплачиваемую вакансию, но, чтобы получить эту должность, необходимо быстро добраться в другой город. Под этим предлогом мошенник заботливо отправляет ссылку для покупки дешёвых билетов.

Рис.32. Страница оформления бронирования на фишинговом сайте

9. Бронирование отелей

Злоумышленник создаёт аккаунт нового отеля/апарта или покупает аккаунт действующего, реально существующего отеля с отзывами. Под разными предлогами переводит диалог с потенциальными клиентами в мессенджер и там, предлагая оформить бронирование дешевле или забронировать номер категорией выше за ту же цену, присылает фишинговую ссылку для оплаты.

Рис.33. Страница оформления бронирования на фишинговом сайте

10. Банковский перевод

Привлечение жертвы зависит от тактики воркера. В диалоге мошенник предлагает произвести оплату или получить средства напрямую через банковский сервис (в роли которого выступает фишинговая страница). Предлоги могут быть разные, например, отсутствие комиссии за покупку.

Рис.34. Страница с вводом банковских данных

11. Социальная поддержка (выплаты от государства)

Злоумышленники создают сайт, на котором определённым категориям граждан (например, ветеранам, семьям с детьми) предлагается получить единовременную выплату (нередко «от президента страны»). Под этим предлогом требуется указать в специальной форме свои персональные данные, а также данные банковской карты.

Рис.35. Страница с фейковым сообщением для граждан Армении о якобы вступлении в силу закона, который даёт право семьям с детьми на получении выплаты

Рис.36. Страница с вводом банковских данных

Анатомия «Мамонта»

Нам известно о 1 566 различных группах, как работающих по схеме «Мамонт» в настоящее время, так и прекративших свою активность, которые были созданы с начала 2020 года по первую половину 2024-го. Большинство таких групп долго не «живут», но взамен закрывшихся сразу же появляются новые.

Рис.37. Количество групп, работающих по схеме «Мамонт»

За период с первого полугодия 2021-го по первое полугодие 2024-го мошенники, работающие по схеме «Мамонт», похитили у жертв из всех стран 8 624 275 268 рублей (в переводе на российскую валюту).

Средняя сумма, похищенная по схеме «Мамонт» в России, составила 9 008 рублей.

В схеме «Мамонт» по странам СНГ активно используется 97 уникальных брендов, некоторые из них – по нескольким странам.

1. Россия – 42
2. Армения – 30
3. Азербайджан – 18
4. Казахстан – 16
5. Узбекистан – 11
6. Киргизия – 6
7. Таджикистан – 5

А также 39 брендов на этапе входа в личный кабинет банка.

• Армения – 13
• Киргизия – 9
• Узбекистан – 9
• Азербайджан – 4
• Казахстан – 3
• Россия – 1

F.A.C.C.T. подсчитал примерное количество воркеров, которые задействованы в деятельности 16 скам-групп по схеме «Мамонт» и обманывают жителей России и стран СНГ – более 20 000 (на момент подготовки блога).

Индустрии, бренды которых которые используются на фишинговых страницах в схеме «Мамонт»:

Рис.38. Сферы деятельности, бренды которых мошенники используют для создания фишинговых страниц в схеме «Мамонт»

Заключение

Схема «Мамонт» развивается уже пятый год, поэтому обросла большим количеством используемых брендов, множеством вариаций сценариев и типов кибератак благодаря интеграции инструментов для совершения киберпреступлений из других схем. Количество участников схемы продолжает расти: развитие мошеннических сервисов избавляет новых участников криминальных схем от необходимости иметь технические знания. Мошенники множатся, как комары на болоте, и чем их больше, тем больше людей, пострадавших от обмана.

Рекомендации для пользователей

1. Заходите только на официальные сайты брендов. Проверяйте дату создания сайтов, на которых вы планируете совершить покупку. Для этого используйте бесплатные whois-сервисы, где по адресу сайта можно узнать дату его регистрации, сроки оплаты и информацию о владельце домена.
2. Большие скидки на технику на сайтах бесплатных объявлений — один из признаков лота-приманки, созданного мошенниками. Будьте внимательны! Для переписки с продавцом, оформления доставки и оплаты используйте только внутренние сервисы сайтов бесплатных объявлений. Если вы находитесь уже на финальном этапе покупки/продажи товара, убедитесь, что используете для просмотра реальный сайт интернет-сервиса объявлений, а не созданную злоумышленниками поддельную страницу.
3. Пользуясь услугами сервисов по продаже новых и б/у товаров, ведите всю переписку с потенциальными покупателями и продавцами только в чате сервиса. Ни в коем случае не переносите диалог в мессенджеры.
4. Не заказывайте товар по предоплате в непроверенных магазинах. Оплачивайте товар только после получения, если он совпадает с заказом, исправен и не испорчен.

Рекомендации для бизнеса

• Популярные бренды всегда использовались киберпреступниками для большего вовлечения потенциальных жертв на мошеннические ресурсы. Такое использование бренда влечёт репутационные риски, а вследствие этого — и финансовые. Рекомендуем проводить непрерывный мониторинг неправомерного использования бренда компании во всех источниках распространения информации.
• Компании могут защитить себя и своих клиентов, используя автоматизированные решения класса Digital Risk Protection, сочетающие анализ данных киберразведки и возможности машинного обучения, которые позволяют обнаруживать мошеннические ресурсы ещё до того, как злоумышленники приведут туда трафик.