В популярном сейчас сериале “Слово пацана. Кровь на асфальте” мать главного героя обирают до нитки наперсточники. “Кручу-верчу запутать хочу!”, — популярная в 90-х мошенническая схема в эпоху интернета породила не менее популярный развод “Коробочки”. Здесь также, как и в случае с вокзальными кидалами, жертве нужно правильно сделать выбор. Но вот механика отличается: если в случае с наперстками, угадать, под каким из них скрыт шарик, практически нереально, то в цифровых “Коробочках” пользователь обязательно должен выиграть солидный денежный приз. Но, чтобы получить деньги, нужно раскошелиться на небольшую сумму. Оплатить “комиссию” или “конвертацию”. В итоге — ни приза, ни денег.
Рис. 1 Мошенническая страница с розыгрышем
Рис.2 Мошенническая страница с фейковым переводом
Рис.3 Мошенническая страница с компенсацией
Всё это и множество других сценариев — мошеннические интернет-схемы, которые уже много лет создаются и тиражируются через специализированные мошеннические партнерские программы.
В бизнесе давно использует партнерские, или реферальные, программы — это способ привлечения трафика и новых клиентов для увеличения продаж. Например, компания-дистрибьютор парфюмерии создает оффер (предложение) на привлечение потенциальных покупателей на страницу бренда и готова выплачивать деньги за каждый купленный товар партнеру, который готов привлечь аудиторию на целевой ресурс). Если партнеров много то, для отслеживания того, кто привел покупателя, каждому партнеру генерируется персональная реферальная ссылка.
Но в один прекрасный момент киберпреступники решили тоже воспользоваться подобной бизнес-моделью.
Когда появились первые партнерские программы точно сказать сложно. Самое старое предложение (оффер), который мы обнаружили датируется 1 октября 2018 года и он все еще активен. Если одни“партнерки” закрываются, то взамен их появляются новые. С начала 2023 года экспертами F.A.C.C.T. было выявлено 10 активных мошеннических партнёрских программ, направленных на интернет-пользователей из России. В среднем только одна из них может приносить прибыль мошенникам более 4,3 миллиона рублей в месяц с 5 900 платежей. Мы изучили “внутреннюю кухню” партнерских программ и готовы рассказать вам о ней.
Схема работы партнерских программ
Рис. 4 Примеры ресурсов и в Telegram-бота партнерских программ
Рис. 5 Примеры ресурсов и в Telegram-бота партнерских программ
Рис. 6 Примеры ресурсов и в Telegram-бота партнерских программ
Рис.7 Схема работы мошеннических партнёрских программ
Большинство партнёрских программ работают следующим образом:
- Автор оффера (предложения) регистрирует домен, создает мошеннические веб-страницы, размещает их на хостинге. После этого регистрируется и заходит на сайт партнерской программы, где размещает оффер с созданным сайтом и тематическим дизайном веб-страницы.
- Администрация партнерской программы проверяет размещенный ресурс и, в случае успешной проверки, предоставляют фишинговые формы или формы приема оплаты для внедрения в сайт. В некоторых случаях единственным автором офферов является администратор площадки, но это является скорее исключением.
- Партнёры выбирают оффер, получают реферальную ссылку для распространения и разными способами привлекают трафик на эту ссылку. Под способами распространения подразумевается СМС-рассылка, почтовые письма, сообщения в соц. сетях и мессенджерах, реклама и тд.
Рис.8 Способы привлечения трафика на реферальную ссылку
На мошенническом сайте пользователей в зависимости от конкретного предложения поджидают следующие угрозы:
1. Мошенничество с оплатой. В этом случае жертву побуждают самостоятельно перевести деньги преступникам под различными предлогами. Например, пользователь выигрывает приз, но для его получения необходимо оплатить комиссию. После оплаты один раз, обычно жертву просят оплатить что-то ещё.
Рис. 9 Пример платежной страницы на одном из офферов
2. Фишинговая форма. Данные предложения изначально нацелены на кражу личных данных, например, от личного кабинета банка или учётной записи в какой-либо соцсети.
Рис 10 Пример фишинговой формы на одном из офферов
Часто партнеры создают промежуточные сайты под тематику мошеннической страницы из оффера, на которой размещают скрипт, проверяющего при каждом переходе, рабочая ли реферальная ссылка. Если ссылка заблокирована, программа, которую можно получить во многих партнерских программах, автоматически подставляет новую.
Мошеннические страницы часто быстро блокируют, как и домены с реферальными ссылками, чтобы не потерять возможную прибыль из-за неработающей ссылки их надо постоянно перепроверять. Скрипт позволяет автоматизировать этот процесс. Также мошенники часто используют скрипты для клоакинга, способа маскировки фишинговых ресурсов, чтобы скрыть ресурс от нецелевой аудитории. акие программы усложняют процесс поиска и блокировки мошеннических ресурсов, так как чтобы попасть на сайт нужен целый список выполненных условий —IP-адрес, устройство, язык браузера/системы, источник, откуда пришёл пользователь).
Иногда можно встретить типичные настройки фильтрации при получении ссылки для распространения на партнёрских программах:
Рис.11 Настройки фильтрации
После того, как жертва выполнит оплату на сайте, партнер получает в среднем 60-90% от похищенных средств, а автор оффера — 10-40%. В редких случаях разделение выплат может составлять 50% на 50%, или вообще 99%/1%. Деньги зачисляются на внутренний счёт площадки. В некоторых партнерских программах выплата проходит автоматическая в конкретный день и время, а в некоторых можно заказать выплату в любой момент. В большинстве партнерских программ существует выбор вывода денег на карту, на крипто или электронные кошельки.
Рис.12 Пример осуществления выплат на одной из ПП
Почему мошеннические партнерские программы так популярны?
Начнем с того, что “партнерка” — это довольно эффективная бизнес-модель, в которой роли участников распределены: существуют администраторы программы, авторы офферов и партнеры и каждый занимается своим делом, что делает их работу более эффективной и позволяет масштабировать схему. На начальном этапе партнеру не обязательно обладать знаниями по привлечению трафика на реферальные ссылки, он может рассчитывать на помощь со стороны других участников партнерской программы. Для мотивации почти каждая партнерская программа организует дополнительные выплаты за попадание в топ самых активных партнеров или достижение иной цели. Например, в одной из партнёрских программ внедрена геймификация в виде различных достижений, за выполнение которых выплачиваются деньги:
Рис. 13.1 Общие задания на одной из ПП
Рис. 13.2 Ежедневные задания на одной из ПП
В другой партнерской программе все, кто за день попал в ТОП-10 по доходу, получают сверху 100 бонусных рублей:
Рис. 14 Выплаты топ воркерам на одной из ПП
Также почти в каждой партнёрской программе есть реферальная система, которая позволяет получать получать партнерам дополнительные 3-5% от заработка.
Партнерство в цифрах
С начала 2023 года специалистам F.A.C.C.T. было выявлено 10 активных мошеннических партнёрских программ. Инфраструктуру четырех из них мы детально изучили.
Четыре партнерские программы похищают денежных средств в среднем за месяц на 17 477 964 рублей с 23 594 платежей. Средний платеж составляет 740 рублей. На момент сбора статистики (июнь 2023) на данных ПП было 156 активных офферов.
Максимальное количество партнеров на одном оффере, которые нам удалось зафиксировать, — это 746. Некоторые партнёрские программы учитывают только активных партнёров — тех, кто привлек минимум одну жертву и успешно похитил денежные средства по своей реферальной ссылке.
Рис 15 Статистика партнерских программ
Рассмотрим ТОП-3 офферов:
Мошеннические “партнерские” ресурсы от легальных сайтов отличает то, что каждый требует что-то оплатить, зачастую, чтобы вывести заработанные деньги.
Больше всего предложений имитируют лотереи, где жертве сообщают, что бесплатно получен лотерейный билет. В итоге он, конечно же, выигрывает, но чтобы получить деньги необходимо заплатить комиссию.
Чуть менее популярны предложения связанные с криптовалютой. Это как розыгрыши криптовалюты или предложения по удвоению вложенного капитала, так и крипто-дрейнеры, которые появились не так давно, но становятся всё более популярными. Дрейнер — это фишинговый сайт, с помощью которого жертву обманом принуждают подтвердить вредоносную транзакцию, похищая таким образом криптовалюту и NFT.
На третьем месте по популярности фейковые предложения от маркетплейсов, в основном это псевдорозыгрыши от брендов известных маркетплейсов, в котором надо также оплатить комиссию, чтобы получить приз.
На графике выше “Другое” означает различные офферы по темам, заработка, например, от сдачи в аренду неиспользуемой мощности устройств, предсказаний Еще одна история из блока “Другое”— “аукцион брошенных сайтов”. Мошеннические ресурсы «Аукцион брошенных сайтов» предлагают жертве купить «красивое» доменное имя для последующей перепродажи. Для покупки необходимо пополнить внутренний счет, однако вывести денежные средства уже не удастся.
Помните те самые подарочные коробки, про которые говорили в самом начале? Сама мошенническая схема работает уже несколько лет и казалось бы уже не должна быть так актуальна. Тем не менее, партнеры до сих пор зарабатывают сотни тысяч за неделю на этом веб-шаблоне и это только одна партнерская программа и один вариант данного оффера, а их может быть несколько (например, может меняться цветовая гамма страницы).
Рис. 16 Статистика заработка за неделю на одном оффере
87% офферов нацелены на русскоязычный сегмент.
По одной из партнёрских программ, запущенной во второй квартале 2023 года, можно отследить динамику сумм выплат за три месяца лета:
В июне — начале запуска партнерской программы, мошенники заработали более 908 000 рублей. Уже в следующем месяце прибыль выросла более чем в 2 раза — 2 315 5000 месяце. В августе прибыль злоумышленников составила 3 118 000 рублей.
Выводы
Несмотря на то, что партнерские программы существуют уже давно, они все еще пользуются немалым спросом у злоумышленников и продолжают создавать угрозу для пользователей интернета. Какие-то “партнерки” закрываются, но их место занимают новые проекты, которые очень быстро набирают популярность.
Количество используемых брендов в схемах активно пополняется, нанося вред не только жертвам схемы, но и репутационные риски для компаний. Беря во внимание эти факты, с большой вероятностью можно утверждать, что в ближайшее время количество мошеннических ресурсов, как и количество жертв будет только расти.
Рекомендации
Рекомендации для пользователей:
- Проверяйте доменное имя сайта, на котором вы находитесь. Воспользуйтесь Whois-сервисами для определения даты создания домена. Если сайт выдает себя за популярный бренд, но был создан недавно, это должно насторожить.
- Не оплачивайте товары или услуги и не вводите свои персональные данные, если не уверены в сайте или источнике.
- Скептически относитесь к рекламе в интернете. Даже на легитимных ресурсах может быть размещена реклама, ведущая на мошеннические ресурсы, поэтому стоит анализировать конечные сайты.
Рекомендации для компаний:
- Использовать специализированные системы Digital Risk Protection, позволяющие проактивно выявлять появление поддельных доменов, мошеннической рекламы и фишинга.
- Обеспечить непрерывный мониторинг андеграундных форумов, чатов, партнёрских программ на появление фактов, связанных с попытками использовать бренд в неправомерных целях.
- Проводить анализ фишинговых атак, с целью атрибутировать преступную группу, раскрыть участников и привлечь к ответственности.
Попробуйте Digital Risk Protection от F.A.C.C.T.
Безопасность цифровых активов с применением инновационного решения для защиты бренда
