Во второй части обзора о развитии криминальной скаминдустрии авторы анализируют события с 2018 по 2022 гг. Эксперты подробно рассказывают об автоматизации инструментов, возрастающей роли Telegram-ботов, мировой экспансии схемы «Мамонт» и развитии скамерской субкультуры. Если пропустили начало — не беда, первую часть обзора можно прочитать в нашем блоге.
Звенящие треки гангста-рэпа
В период 2018-2020 гг. количество и масштабы мошеннических групп стремительно росли. Воркеры — рядовые работники — были ограничены только доступностью SIM-карт, которые требовались для регистрации на площадках и переписки с жертвами. Эта проблема решалась сервисами аренды абонентских номеров. Все остальное – фотографии товаров и шаблоны объявлений – было доступно на тех же площадках.
Поскольку повышать долю воркера выше условных 80-90% было уже нерентабельно, для привлечения исполнителей группы начали улучшать условия их работы. Так в арсенале злоумышленников появились Telegram-боты, заменившие административные панели. Теперь все необходимое для работы исполнителя сосредоточилось в одном мессенджере: создав объявление, воркер отправлял боту ссылку – и тут же получал готовую фишинговую страницу. Успешно обманув человека, воркер получал от бота уведомление с указанием его доли, и мог сразу же потребовать у ТС (Topic starter, организатора) свою выплату.
Рис. Пример формирования фишинговой ссылки на продажу ноутбука и сообщения о выплате в Telegram-боте
Схема работы была проста, эффективна и прозрачна для всех участников, и она требовала все больше и больше людей. Конкуренция за воркеров начала выражаться не только в рыночных, но и в маркетинговых механизмах: организаторы групп нанимали дизайнеров для художественного оформления своих тем, проводили между воркерами конкурсы, заказывали звенящие треки в жанре гангста-рэпа.
Рис. Пример объявления о записи рекламных треков на форуме lolz
Рис. Примеры композиций в Telegram-канале исполнителя
Со временем организаторы групп столкнулись с проблемой роста. В состав отдельных команд входило несколько сотен воркеров, которые, несмотря на автоматизацию процессов хищения, требовали немало административных усилий. ТС увязали в замене заблокированных доменов, выплатах, решении мелких конфликтов и консультациях. Некоторые группы решили эту проблему созданием административного аппарата – по сути множеством «суппортов», которые брали на себя часть этой рутины.
Мы не халявщики. Мы — партнеры
Некоторые группы переформатировались в партнерские программы. В «партнерке» под началом одного организатора действовало несколько «ТС», управлявших внешне независимыми командами. Каждая из них имела собственную тему на форуме, конференцию, Telegram-ботов и фишинговые домены. При этом технически все они пользовались одним и тем же сервером, на котором работал общий для всех скрипт, генерирующий фишинговые страницы.
Рис. Именно эта «скам-тима» стала такой крупнейшей «партнёркой»
Новыми «ТС» в партнерках становились успешные воркеры. Они хорошо представляли себе механизмы работы, умели набирать собственные команды и обучать новичков. Доля такого «ТС» в хищении была невелика: после выплаты 80% воркеру и 10-15% владельцу партнерки оставалось не так уж и много, но зато он получал ее от каждого хищения, совершенного командой.
Рис. Открытый список директорий на сервере «партнёрки». Каждая директория – отдельная «тима».
Состав партнерской программы не декларировался, но прослеживался из общей для нескольких групп инфраструктуры фишинговых доменов и серверов, а также из сообщений на форумах. Члены партнерки активно комментировали темы и профили друг друга, рекомендуя новых «ТС» как «надежных и порядочных».
Рис. Фрагмент связей фишинговых доменов и инфраструктуры партнёрки, выявленных с помощью Графа сетевой инфраструктуры F.A.C.C.T. Threat Intelligence
Постепенно совершенствовались и механизмы фишинга: на страницу внедрялись формы обратной связи, а в составе групп появились «возвратеры», действовавшие под видом сотрудников техподдержки площадок.
Весной 2020 года началось использование схемы «2.0», посредством которой обманывали не покупателей, а продавцов товаров. Осваивались новые поля деятельности: после популярных маркетплейсов жертвами воркеров становились клиенты сервисов каршеринга или совместных поездок и других популярных сервисов.
Рис. В Telegram-чате команды указаны контакты «поддержки», ссылки на мануалы, ботов и другие дополнительные ресурсы.
Рос рынок сопутствующих услуг: появлялись магазины продажи аккаунтов, отрисовщики документов и фотографий, автоматические парсеры объявлений, абузоустойчивые хостинги. Появилось множество скриптов для генерации фишинговых ссылок, которые можно было не только купить, но и взять в аренду. Теперь новоиспеченный ТС мог вообще не связываться с арендой хостинга и установкой скриптов – достаточно было указать специальному Telegram-боту свой домен и карту для приема похищенных средств.
Одновременно развивалась специфическая субкультура. Группы порождали множество специфических мемов, высмеивая незадачливых мамонтов, иронизируя над неудачными попытками мошенничества и задержанными злоумышленниками. Основной площадкой для этого контента ожидаемо стал Telegram. Десятки скамерских групп образовали собственную медийную инфраструктуру. Там рекламируются сервисы, набираются воркеры, конфликтуют и деанонимизируют друг друга.
Рис. Примеры мемов, стикеров и оформления скам-сообществ
«Мамонт» покоряет мир
В течение 2020 года скамеры практически полностью оккупировали все площадки объявлений в России. Следующим шагом стало освоение зарубежных рынков в 2021-2022 годах. Первыми жертвами скамеров стали площадки объявлений стран СНГ – белорусский Куфар, украинский и казахстанский филиалы OLX, популярный в Киргизии Lalafo. При этом схема не изменилась технически или организационно, достаточно было адаптировать скрипты для работы с новыми платформами.
Рис. Пример объявления о наборе скамеров в тиму для работы по Казахстану
Переход от стран СНГ к европейским площадкам занял у скамеров гораздо больше времени. Помимо языкового барьера, они столкнулись со сложностями с обналичиванием похищенных средств. Виртуальные карты, широко доступные в России, оказались бесполезными в Европе. Для приема платежей требовались карты местных банков, которые было не так просто достать, да и процессы вывода средств оказались более сложными.
Впрочем, эта проблема просуществовала недолго. Хищения у жителей страны Европы приносили на порядок больше денежных средств, чем аналогичные операции в России и СНГ. Это полностью перекрывало сложности вывода и обналичивания. Скамеры достаточно быстро переняли и адаптировали методы сообщества кардеров. Банковские карты с невысоким балансом, невостребованные для вбива и доступные на рынке по бросовым ценам прекрасно подходили для приема денежных средств от европейских «мамонтов».
В составе работающих по Европе групп появилось множество «вбиверов», а воркеры начали подстраиваться под их активность и доступность. Теперь отдельные хищения совершались не так быстро, стоимость обналичивания выросла почти до классических 50%, но эти хищения были более прибыльными и намного более безопасными. Вероятность задержания при обмане европейцев невелика, учитывая сложности международного взаимодействия полиции разных стран.
Рис. Вот примерно так скамеры оценивали работу по зарубежным странам.
Современные группы скамеров предоставляют возможность генерировать фишинговые страницы под десяток различных площадок разных стран – охвачена не только Европа, но и платформы азиатского региона. Из-за особенностей работы сервисов объединять весь функционал в скромном интерфейсе Telegram-бота стало сложнее, и некоторые группы вновь вернулись к административным панелям. Формируется иерархия исполнителей – более прибыльные сервисы Европы доступны только опытным воркерам, а новичкам предлагают работу по России и СНГ. В отдельных группах для самых эффективных исполнителей действуют «элитные конфы».
Бурное развитие скамеров привлекло много внимания к породившим их форумам. В публикациях стали часто появляться скриншоты и псевдонимы с Lolz и аналогичных площадок. Администрация сообщества отреагировала точно так же, как XSS и Exploit отреагировали на ситуацию с Ransomware – темы скамеров, даже не работающих по России и СНГ, оказались под запретом, хотя услуги разработчиков, поставщиков аккаунтов и прочих материалов для успешного «ворка» все еще вполне доступны.
Впрочем, это не слишком отразилось на активности групп – основной состав участников давно сформирован, а новичков успешно привлекают через рекламу в тематических каналах Telegram и даже в TikTok.
Мы можем продолжать писать бесконечно, но пока остановимся на этом. Продолжение следует.
Расследования F.A.C.C.T.
