Введение
Пост в соцсети. Телеведущая Настя Ивлеева со следами слёз и пространная подпись: “Скандал вокруг Насти Ивлеевой! Проведение громкой голой вечеринки вызвало резкую реакцию общественности и внимание медийных ресурсов. Настя, активно обсуждаемая в соцсетях стала предметом широких обсуждений и критики. После чего была утечка переписки между Ивлеевой и Филиппом Киркоровым! В ходе обсуждения вечеринки они случайно заговорили о платформе для торговле акциями, которая приносит Насте 7000 евро ежемесячно на пассиве. По нашим данным, эта платформа уже доступна в Европе.”
Рис.1. Пример рекламного поста
Перед вами не очередные новости светской хроники, а нативная реклама инвестиционного мошенничества, использующая образ медийного персонажа.
За первые пять месяцев (Январь — Май) 2024 года количество рекламы мошеннических инвестиционных проектов в социальных сетях, направленных на русскоязычных пользователей, выросло в 39 раз по сравнению с аналогичным периодом прошлого года: с 201 до 7869 рекламных постов.
Что вообще такое инвестиционное мошенничество? Это вид финансового обмана с последующим вымоганием денежных средств под предлогом прибыльных инвестиционных вложений. В подобных схемах злоумышленники создают поддельные веб-ресурсы, аккаунты в социальных сетях и мессенджерах, разрабатывают приложения, имитируя инвестиционные проекты и биржи. После пополнения баланса в таком проекте первое время жертве могут “рисоваться” красивые графики об успешном наращивании капитала. Но через какое-то время активы начнут искусственно уменьшаться, а мошенники будут настаивать о новом пополнении баланса для “гарантированного” приумножения денежных средств. Как и в других современных мошеннических схемах, для привлечения аудитории на такие ресурсы зачастую эксплуатируются популярные бренды или публичные личности. Реклама таких проектов запускается по всем возможным типам источников: в социальных сетях, мессенджерах, видеохостингах, рассылка по почте, холодные звонки, через сайты-поисковики.
Отличительной чертой мошеннических схем с инвестициями в большинстве случаев является активное участие мошеннических колл–центров. Потенциальной жертве назначается личный “инвестиционный эксперт”, задача которого на протяжении всего этапа схемы убеждать вкладываться в проект, и продолжать это делать до тех пор, пока не вынудит вложить все деньги. Пополнение депозита на инвестиционной платформе — не единственный метод влияния на жертву для получения его денежных средств, перед попыткой вывода денег он всегда будет сталкиваться с различными препятствиями. Помимо похищения мошенниками денег, жертву будут вынуждать делиться конфиденциальными данными и персональными документами.
В 2022 году эксперты F.A.C.C.T. уже исследовали мошенническую схему с инвестициями, которая существует уже долгое время. На сегодняшний день данный вид интернет мошенничества не утратил свою актуальность,а наоборот, продолжил наращивать обороты. Также стало известно, что для реализации атак задействованы мошеннические партнерские программы (ПП), позволяющие скамерам эффективнее отрабатывать схему, разделяя работу между участниками программы и сотрудничая с мошенническими колл-центрами.
В первом полугодии 2024 года было обнаружено более 10 000 доменов, связанных с инфраструктурой мошеннических инвестиционных проектов, что на 25% больше выявленных в 2022 году. А за период с января 2023 года по май 2024 мошенники опубликовали 17 969 соответствующих рекламных постов на русском языке в Instagram и Facebook (принадлежат корпорации Meta, которая признана экстремистской и запрещена в РФ), причем 98% из них было запущено только с августа 2023. Точных причин такого роста нам не известно, но предполагаем, это связано как раз с популяризацией мошеннических партнерских программ по этому направлению. Также актуальность таких схем зависит от инфоповодов, следовательно настроения людей заниматься инвестирование, чем и пользуются киберпреступники.
Эксперты F.A.C.C.T. продолжают изучать мошеннические партнерские программы, и в первом полугодии 2024 года выявили 10 ПП, активно работающих в данном направлении. Это масштабные проекты, которые представляют серьезную угрозу как для обычных интернет-пользователей, так и компаний, в том числе в русскоязычном сегменте Интернета.
Как работают мошеннические партнерские программы по схеме с инвестициями
Рис. 2. Схема партнерской программы
Администрация партнёрской программы или иной человек, имеющий возможность создавать офферы на ней, размещает предложение для распространения с уже готовым сайтом, либо архив с файлами, который партнёру необходимо будет разместить на купленном самостоятельно домене.
Рис. 3. Пример интерфейса партнерской программы с выбором оффера
Рис. 4. Пример описания оффера
Далее партнёр должен привести на данный сайт жертву. Зачастую для этого используется реклама в социальных сетях, email-рассылки, а также под прикрытием открытой вакансии с высокой заработной платой и другие.
Пример привлечения через вакансии
Пример привлечения через вакансии
Пример привлечения через вакансии
Рис 5-2. Пример привлечения в соцсетях
Рис. 5-3. Пример привлечения c помощью email-рассылок
После того как жертва переходит на целевую страницу и вводит на ней свои контактные данные (имя, фамилия, почта и номер телефона), дальнейшие действия разделяются на 2 варианта:
Вариант 1
Если партнёрская программа не сотрудничает с колл-центрами и лид (полученные контактные данные) обрабатывать дальше некому, то партнер получает в среднем 10$ за привлеченного потенциального клиента, а администрация ПП данные лиды впоследствии продает.
Рис. 6. Пример рекламы по продаже собранных контактных данных
В другом случае партнёр может получить выплату только после обработки жертвы колл-центром, но вне зависимости от того, внесёт ли она депозит.
Вариант 2
Данные потенциального “клиента” сразу передаются в колл-центр и обрабатываются ими. Жертве звонят и убеждают внести деньги, чтобы заработать. Если деньги были внесены, то партнёр получает свою прибыль, она зачастую фиксированная, вне зависимости от суммы, которую перевел пострадавший, и в среднем составляет 300$ и зависит от страны жертвы, так как от этого зависит и минимальная сумма депозита “клиента”.
Вас приветствует инвестиционный эксперт
Участники мошеннических колл-центров выступают в роли “инвестиционных экспертов”, задача которых убедить человека пополнять депозит в инвестиционной платформе. На протяжении всего этапа схемы “эксперт” будет убеждать вкладываться в проект, и продолжать это делать до тех пор, пока жертва не вложит все деньги.
Рис. 7. Пример интерфейса мошеннической инвестиционной платформы
На примере интерфейса главной страницы мошеннической инвестиционной платформы видно, что учетные данные выдаются “инвестиционным экспертом”, либо регистрируются самой жертвой.
Как только жертва совершила пополнение баланса — она безвозвратно теряет деньги, а покупаемые на этих платформах ценные бумаги или криптовалюта не имеют никакую реальную ценность.
Тем более у киберпреступников есть возможность корректировки значений, отображаемых в инвестплатформе. Поэтому первое время они могут “рисовать” прибыль, но через определенное время занижают ее, чтобы стимулировать жертву пополнить депозит.
Рис. 8. Пример страницы пополнения депозита
В зависимости от вариации “инвестплатформы” пополнить депозит можно как банковской картой, так и переводом криптовалюты на предоставляемый адрес.
Обычно при попытке вывода денежных средств жертву просят загрузить фотографии личных документов якобы для верификации аккаунта с последующим выводом. На самом деле это не поможет с выводом денег, а загруженные документы будут использоваться в других мошеннических схемах или будут проданы третьим лицам. Пользователь платформы всегда будет сталкиваться с выдуманными проблемами при выводе своего депозита. Это также может быть как оплата комиссии за перевод или налог на доход.
Рис. 9. Пример страницы подтверждения личных документов жертвы.
Некоторые ПП пытаются организовать свои колл-центры, но в большинстве случаев они пользуются услугами отдельных структур. В одной из партнёрский программ приходящие лиды обрабатывает 25 разных колл-центров, так как их схемы нацелены на разные страны, требуется много языков для общения с потенциальными жертвами.
Зачастую партнёр от администрации получает уже готовыми следующие “элементы”:
Креативы для рекламы
Картинки, визуальное оформление для рекламного объявления или рассылки. Их цель привлечь внимание жертвы и заинтересовать. Даются не в каждой ПП, но нередко можно попросить уже готовые у личного менеджера.
Рис. 10-11 Объявление и пример креатива
Рис. 10-11 Объявление и пример креатива
Прелендинги
Это страницы на сайте, которые копируют известные новостные сайты, чтобы вызвать доверие перешедшего к ним клиента. В “статьях”, которые созданы для рекламы целевого сайта, также упоминаются знаменитые люди, которые якобы советуют данную платформу.
Рис. 12. Пример прелендингов
Лендинги
Рис. 13. пример выбора лендингов
Рис. 14. Пример лендинга
Появляются и новые ответвления: некоторые мошенники перестали использовать лендинги (страницы, на которой потенциальной жертве необходимо оставить свои данные), а перешли на Telegram-ботов. Они рекламируют бот в различных крупных Telegram-каналах, а пользователь, переходя в бот, также как и на сайте проходит опрос и вводит свои контактные данные.
Рис. 15. Пример рекламного поста инвестиционного проекта в крупном канале в Telegram
Такие способы также подходят под работу с партнёрскими программами: после регистрации по api данные могут передаваться напрямую.
Статистика
Эксперты F.A.C.C.T. выявили 10 партнерских программ, активно работающих в направлении мошенничества с инвестициями.
Одна из них предлагает 892 офферов на 33 языках. На первом месте англоязычные офферы — 162, 132 оффера направлено на русскоязычную интернет-аудиторию. Третье место делят испанский и польский язык — по 80 офферов.
За период с января 2023 года по май 2024 года специалисты F.A.C.C.T. выявили как минимум 17 969 сообщений созданных на сервисах Meta (Instagram и Facebook, Meta признана экстремистской и запрещена в РФ) рекламы на русском языке. Причем 98% из них было запущено с августа 2023-го.
Рис. 16. Количество запусков русскоязычной рекламы мошеннических инвестиционных платформ в Instagram и Facebook (признана экстремистской и запрещена в РФ) с января 2023 по май 2024
Несмотря на недоступность сервисов компании на территории РФ, пользователи продолжают ими пользоваться, используя VPN и будут видеть эти рекламные публикации.
Еще немного про рекламу
Креативности авторов рекламы мошеннических инвестиционных проектов позавидуют большинство скамеров по другим направлениям. Если не брать в расчет стандартные заготовки в виде лендингов и текста, которые участники могут получить в рамках партнерской программы, выходит немало рекламных сообщений с “удивительными” историями, которые сначала никак не связаны с инвестициями и финансами.
К концу все сводится к решению этих проблем с помощью инвестиций. Также мошенники не забывают использовать в своих интересах актуальные инфоповоды, и это относится не только к рекламе. Так, например, одним из способов убеждения является заверение, что жертва якобы сможет покупать зарубежные акции на инвестиционной платформе.
Рис. 17. Пример заготовленных текстов для рекламы
Рис. 18. Пример массового запуска однотипной рекламы на сервисах Meta
Рис. 19. Примеры “креативной” рекламы
Рис. 20. Примеры “креативной” рекламы
Заключение
Инвестиционное мошенничество остается серьезной угрозой для интернет-пользователей всего мира. Большое количество веб-ресурсов, офферов, партнерских программ, а также рекламы может свидетельствовать о том, что данный вид мошеннической схемы продолжает развиваться.
Не стоит недооценивать мошеннические партнерские программы — это большой бизнес с большим количеством вовлеченных участников. Изучение инфраструктуры подобных проектов позволяет эффективнее бороться с вытекающими угрозами.
Рекомендации
Для пользователей
- В первую очередь надо понимать, что инвестирование — это деятельность с повышенном риском, и реальная ожидаемая доходность будет значительно ниже той, которую обещают на сайтах сомнительных инвестиционных инструментов.
- Не стоить верить картинкам и информации, которая размещается на сайтах под видом лицензий на осуществление брокерской деятельности.
- Брокерская деятельность в РФ контролируется государством, осуществлять ее можно только на основании лицензии Банка России. Поэтому информацию о действительности лицензии можно проверить на сайте ЦБ (https://www.cbr.ru/finorg/), при этом там также указываются официальные интернет-ресурсы брокера. Поэтому необходимо тщательно сверить доменное имя с ресурсом, на котором вы оказались. Злоумышленники зачастую используют созвучные брендам домены. Также стоит обращать внимание на дату регистрации домена, используя специализированные Whois-сервисы.
- При этом иностранные брокеры тоже могут осуществлять деятельность в России только путем создания представительства и получения лицензии ЦБ.
- Инвестирование через участников, не имеющих лицензии ЦБ, влечет невозможность обратиться за судебной защитой на территории России.
- На сайте ЦБ есть черный список финансовых организаций с признаками нелегальной деятельности — https://cbr.ru/inside/warning-list/#search , поэтому дополнительно можно проверить компанию тут.
- Если все же в качестве владельца инвестиционной платформы указано зарубежное юр.лицо — можно проверить соответствующую информацию на сайтах регулирующих органов в соответствующей юрисдикции.
- В криптовалютном инвестиционном мошенничестве нередки случаи, когда злоумышленники выпускают свою крипту, ассоциирующуюся с популярными инфоповодами или просто разрекламированные как криптопроект с большим потенциалом. Стоит внимательно изучать криптовалюту, в которую вы планируете вкладываться.
Для компаний
- Популярные бренды всегда использовались киберпреступниками в схемах с целью большего вовлечения потенциальных жертв на мошеннические ресурсы. Подобное эксплуатирование интеллектуальной собственности влечет репутационные риски, а вследствие этого — и финансовые. Поэтому необходимо осуществлять мониторинг неправомерного использование бренда компании по всем источникам распространения информации.
- Компании могут защитить себя и своих клиентов, используя автоматизированные решения класса Digital Risk Protection, сочетающие анализ данных киберразведки и возможности машинного обучения, которые позволяют обнаруживать мошеннические ресурсы ещё до того, как злоумышленники приведут туда трафик.
