В последние годы интернет-мошенничество является одной из самых актуальных, опасных и масштабных киберугроз. По данным МВД России, больше половины из всех зарегистрированных в 2023 году преступлений в сфере высоких технологий связаны с мошенничеством. Общая сумма украденных в прошлом году у населения денежных средств превысила, по оценкам ЦБ России, 15,8 млрд рублей. На протяжении последнего десятка лет эксперты Департамента расследований компании F.A.C.C.T. тщательно исследовали рынок скама, выявляли участников различных преступных группировок и помогали правоохранительным органам добиться их задержания, а самое главное — довести уголовные дела до обвинительного приговора. Собранной информации хватило бы на внушительную аналитическую монографию, однако в силу специфики работы — лишь часть из этих данных может быть опубликована в публичном доступе.
Часть 1
Криминальный дрейф: от форумов к Telegram-каналам
Когда речь заходит о теневых интернет-форумах, участники криминальных сообществ обычно знают, куда и зачем нужно идти: на XSS или Exploit можно найти специалистов по вредоносному коду, на Darkmoney – обнальщиков, на Мигалках и Дубликате – поддельные документы. Форумы четко специализированы. На каждом образуется собственное сообщество «по интересам» — активные участники, продавцы товаров и услуг, работодатели и клиенты. Некоторые форумы пытаются иметь подчеркнуто нейтральный вид, позиционируя себя как площадку для дискуссии, некоторые глубоко интегрируются в криминальную среду, предоставляя рекламные места, услуги гарантов и арбитражные разбирательства. В силу специализации, сообщества не конкурируют друг с другом, а многие злоумышленники представлены на нескольких форумах одновременно.
Рис 1. Скриншот с разделами популярного теневого форума «Дубликат»
Роли исполняют
Обычно в новости попадают одни и те же общеизвестные площадки. Исследования Ransomware наполнены скриншотами с XSS, а в историях о телефонных мошенниках и криминальных колл-центрах упоминают Darkmoney. Крупные утечки данных обычно приводят на Raid/Breached. Форумы, не связанные с серьезными инцидентами, обычно не слишком интересны специалистам.
К таким площадкам относятся Lolz, Youhack и, например, Miped. Наряду с множеством других, они образуют собственное сообщество, интересы которого долгое время не привлекали особого внимания. Здесь никогда не предлагали обналичить похищенные миллионы, не продавали наркотики, оружие, 0-day да и вообще сколько-нибудь серьезный вредоносный код. Сюда приходили за мелкими товарами и услугами, востребованных в различных схемах вокруг социальных сетей и игровой индустрии.
Средний чек сделки на условном Lolz обычно был невелик: страницу ВКонтакте предлагали за полсотни рублей, учетку Steam оценивали по играм и инвентарю – от пары сотен до нескольких тысяч, накрутки лайков и подписчиков порой и вовсе раздавали чуть ли не даром, а электронный Qiwi-кошелек уходил по цене SIM-карты. Примерно такие же суммы фигурировали в предложениях работы, услуг и арбитражных разбирательствах.
Ущерб от деятельности участников таких сообществ был невелик, а его контингент составляли в основном несовершеннолетние. Не привлекая особого внимания исследователей и правоохранительных органов, эти форумы постепенно множились и развивались.
Но, поскольку спрос порождает предложение, криминализация этих сообществ постепенно выросла. Для того, чтобы добыть на продажу больше учетных записей того же Steam, злоумышленники освоили инструменты для брута (подбора паролей), стилеры (вредоносные программы для кражи конфиденциальных данных с зараженного устройства) и методы социальной инженерии, начали задумываться о собственной безопасности, контр-форензике. С ростом объема рынка на нем начали появляться компетентные специалисты.
К 2017-2018 годам иерархия криминальных площадок выглядела довольно четкой и структурированной. На форумах работали постоянные модераторы, действовали гаранты, институты арбитражных разбирательств, администрация продавала рекламные места, действовала техподдержка. Несмотря на то, что суммы сделок все еще были ничтожно малы в сравнении с ценниками, которые обсуждали на том же Darkmoney, сообщество выглядело солидно.
Рис 2. Пример объявления с теневого форума о покупке аккаунтов
Но для совершения сколько-нибудь значимых хищений не хватало … не хватало всего. Не было ни опытных хакеров, ни разработчиков, ни хороших организаторов, ни адекватных исполнителей. Участники форума постоянно обманывали друг друга, а все, кто смог чему-то научиться – уходили на другие площадки. Однако, даже в этих условиях желание заработать победило.
Криминальное сообщество адаптировалось. Нехватку средств для взлома компенсировали методами социальной инженерии, а недостаток хороших исполнителей – их количеством. Первые организованные группы, образовавшиеся на Lolz и аналогичных форумах, занимались, в общем-то, все тем же – хищением учетных записей в Steam и социальных сетях. Но организация работы вышла на новый качественный уровень.
Мануал по эффективному «адверту»
Схема получила название «адверт» или «MA:FILES» (для работы по Steam). Организатор предоставлял всем желающим ссылки на фишинговые сайты, имитирующие страницы социальный сетей или игровых платформ. Способы распространения ссылок и убеждения жертвы ввести свои реквизиты целиком и полностью делегировались исполнителю, хотя для понимания механики работы предоставлялись простые руководства («мануалы»).
Рис 3. Пример объявления о покупке аккаунтов популярной социальной сети
В случае успешного фишинга организатор сам занимался перепродажей добытых учетных записей, а исполнитель получал свое вознаграждение – фиксированную сумму или долю от условной цены аккаунта на рынке.
Идея имела успех, потому как все получили желаемое. Исполнители не погружались в сложную для них инфраструктуру создания фишинговых сайтов и возню с перепродажей аккаунтов, организатор не тратил силы на распространение фишинговых ссылок, оплачивая только результативную работу.
Для учета работы исполнителей применялись простые административные панели, где зарегистрированный участник получал готовую ссылку, в тексте которой содержался его личный идентификатор. Отслеживая переходы жертв по конкретным ссылкам, организатор определял, кто из его подручных успешно справился с задачей.
Подобные группы действуют до сих пор, хотя и не приносят участникам высоких доходов. Со временем схема усложнилась и успешно применяется для хищения аккаунтов популярных блогеров, которые не перепродаются, а предлагаются к выкупу владельцу.
Схема работы была эффективной, но имела серьезный недостаток – похищались не чистые денежные средства, а недорогие аккаунты, которые еще и требовалось кому-то продать для получения прибыли. Даже создав фишинговый сайт, имитирующий банк, платежную систему или интернет-магазин, организаторы групп не имели возможности заманить туда жертв. Имеющиеся исполнители, хоть их и было много, не владели ничем кроме методов социальной инженерии.
И такое решение нашлось.
Премьера в «Антикино»
В 2018 году на форумах начали появляться темы о наборе людей в тему «Антикино» (FakeDate). Теперь фишинговые ссылки имитировали частные кинотеатры, а жертв искали на сайтах знакомств и в социальных сетях, действуя от имени желающих познакомиться девушек. Аккаунты социальных сетей и наборы женских фото, которые недорого продавались на этих же форумах, как нельзя лучше подошли исполнителям и начали пользоваться популярностью.
Рис 4. Так выглядит переписка с приглашением на свидание и примеры фейковых сайтов по схеме «Антикино»
Деятельность организаторов групп изменилась незначительно: теперь вместо перепродажи похищенных аккаунтов требовалось быстро выводить похищенные средства в наличный оборот или криптовалюту. В остальном все осталось по-прежнему – исполнители получали фишинговую ссылку и действовали по своему усмотрению. При этом все участники группы стали больше следить за собственной безопасностью – ответственность за мошенничество и хищение не сравнима с ответственностью за кражу аккаунта.
«Антикино» кардинально изменила обстановку на форумах и в действующих группах. В сообществе наконец-то появилась прибыльная схема работы — сумма одного хищения составляла несколько тысяч рублей. Стал расти рынок сопутствующих услуг – поставщиков аккаунтов, прокси, виртуальных карт. Повысился спрос на программистов, способных создавать новые фишинговые ресурсы – и появились средства для их оплаты.
Именно в этот период на форумах сформировалась характерная терминология, описывающая устройство мошеннических групп: организатор стал называться «ТС» (Topic Starter), а исполнители – «воркерами». Сама группа называлась «тимой», рабочие чаты «конфами». Сформировалась роль «суппорта», которому организатор делегировал административные или технические функции. Здесь же прибыль от успешной операции получила емкое название «профит».
Хороший воркер приносил организатору высокую прибыль, но найти его было непросто. Этот специфический «кадровый голод» вызвал конкуренцию за исполнителей между отдельными группами, и ее методы были довольно рыночные: организаторы увеличивали выплаты исполнителям. Крупные команды могли позволить себе выплачивать воркерам 70-80% похищенного, даже в тех случаях, когда деньги блокировались по жалобам жертв. Это привлекало в сообщество все больше и больше желающих заработать.
Рис 5. Объявление о найме «воркеров» на работу по схеме «Антикино»
К 2019 году на форумах действовало множество устойчивых групп, работавших по схеме «антикино». Участники осознавали, что занимаются явным мошенничеством, но задержания злоумышленников происходили редко. Доступные средства собственной безопасности – VPN и криптовалюта – показали себя достаточно эффективными.
Организаторы групп все еще были ограничены в способах хищения, полагаясь исключительно на методы социальной инженерии, но уже были готовы быстро адаптироваться под любые рынки. Создание новой группы не требовало особых усилий: достаточно приобрести шаблоны фишингового сайта, арендовать сервер, несколько доменных имен и создать тему на форуме. Исполнителей было много – как вновь приходящих новичков, так и выходцев из действующих команд.
Поступь «Мамонта»
Параллельно с «Антикино» в России появилась более прибыльная и масштабная интернет-афера, связанная с интернет-покупкой товаров на досках бесплатных объявлений. Схема получила название «Мамонт» («Курьер», Classiscam), поскольку на жаргоне жуликов так называют жертву фейковой курьерской доставки, у которой похищают деньги и данные банковских карт.
Рис 6. Качественный скачок оформления рекламы «Тимы»
Именно в схеме «Мамонт» произошел качественный скачок вперед: вместо статичного шаблона фишингового сайта использовались скрипты, которые создавали страницу на основе конкретного объявления маркетплейса. Нужно было аккуратно извлечь и перенести фотографии товара, описание и стоимость, сохранить функционал интерфейса. Но усилия разработчиков многократно окупились.
Рис 7. Внешний вид скам-панели, где скамер создавал фишинговое объявление под разные схемы мошенничества
Если жертвами фишинга под Steam становились участники ограниченных игровых сообществ, а от «Антикино» страдали посетители сайтов знакомств, то теперь поле деятельности мошенников увеличилось в десятки и сотни раз. Каждая площадка объявлений охватывала множество рынков различных товаров во всех городах страны. Шаблон фишинговой страницы подходил к любому объявлению – от пары ботинок за 3000 рублей до смартфона за 40 000. Именно в этот период времени участники групп начали называть себя «скамерами».
Мы можем продолжать писать бесконечно, но пока остановимся на этом. Продолжение следует.
Расследования F.A.C.C.T.
