В заключительной части исторического обзора скаминдустрии, авторы анализируют события последних двух лет. В ответ на внедрение российскими компаниями решений для борьбы со скамом и фишингом, мошенники перестроили свою инфраструктуру, взяли на вооружение «платежные сервисы», лучшие практики маркетинга и по итогам свой эволюции заняли самое козырное место в киберпреступной иерархии. Первая и вторая части обзора доступны по ссылкам.
Операция «Адаптация»
К условному 2022 году рынок вполне нормально реагировал на экспоненциальный рост фишинговых страниц и хищений: платформы объявлений учились выявлять и блокировать аккаунты скамеров, адаптировались системы банковского антифрода, сильно сократился срок жизни фишинговых доменов и обслуживающих их серверов – их начали достаточно оперативно выявлять и блокировать.
Часть групп скамеров начала сталкиваться с массой сложностей. Для получения желаемых «профитов» больше не хватало десятка дешевых доменов на простом сервере и пары виртуальных карт. Все это достаточно быстро блокировалось после первых же успешных операций, вызывая простой в работе и недовольное ворчание «воркеров». Технические и организационные проблемы все еще были вполне решаемы, но это требовало от «ТС» серьезных усилий, и это выдержали не все.
Множество мелких групп начало распадаться. Их «ТС» либо понижали долю выплаты «воркерам», чтобы окупить свои усилия и затраты на организацию процесса, либо и вовсе сами переходили на позиции «воркеров» в более успешные группы. Крупные команды, имевшие за счет оборота определенный запас прочности, начали адаптироваться под новые реалии рынка.
Прежде всего серьезно усложнилась информационная инфраструктура мошенников. Внешне поменялось немного, разве что вместо красивых, хорошо имитирующих рабочую платформу доменных имен в обиход вошли «технические» домены, вроде id32789.com. Наименование нужной платформы выносилось в субдомен, что позволяло с горем пополам решать задачу имитации оригинального сайта, под который рисовалась фишинговая страница.
Рис. Пример инфраструктуры злоумышленников с субдоменами под разные проекты
Внутренняя часть инфраструктуры претерпела на порядок более серьезные изменения. Обращения к управляющим серверам теперь производятся не напрямую, а через несколько отдельных «прокладок». Генерация фишинговой страницы, учет работы «воркера», передача данных банковской карты «вбиверу» — для каждой операции зачастую заводится отдельный сервер, между которыми выстраиваются достаточно сложные схемы взаимодействия.
Несколько усложнился и функционал самих фишинговых страниц: переходы по ним начали анализироваться для отсечения активности исследователей и сотрудников правоохранительных органов, а время существования отдельной страницы сокращено до минимума, достаточного для «обработки» одной конкретной жертвы.
Создание и поддержка подобной инфраструктуры требует серьезной компетенции разработчиков. Поначалу это было доступно только крупным командам, но постепенно вновь вышло на уровень отдельного сервиса, с соответствующим ростом стоимости услуги. «Скам-бот под ключ» все еще можно приобрести за пару тысяч рублей, но действительно работающее решение, которое позволит «ТС» не погружаться в технические сложности, доступно только в формате аренды или подписки, и стоит уже десятки тысяч в месяц.
«Мерч», «обнал» и «профит»
Аналогичные процессы происходили и в сфере обналичивания похищенных средств. Здесь скамерам не пришлось выдумывать ничего нового, поскольку рынок «обнала» всегда был достаточно масштабен и динамичен в своем развитии, обслуживая все существующие направления киберпреступности. Конечно, отдавать за «обнал» более трети, а то и половину похищенного неприятно, но это все еще выгоднее и намного безопаснее, чем самостоятельная вербовка дропов, закупка карт и снятие наличных в банкоматах.
В обиход скамеров вошли «платежные сервисы», которые в разговорной речи именуются «платежка» или «мерч». Возникшие в совершенно других сферах киберпреступности (прием платежей от мошеннических опросов, нелегальных казино и обычного фишинга), они предоставляют клиентам готовую страницу для ввода жертвой данных банковской карты, самостоятельно занимаясь как обслуживанием соответствующей инфраструктуры, так и выводом полученных средств – скамерам достаточно всего лишь направить на нее жертву и передать параметры ожидаемого платежа.
Рис. Пример рекламы платёжного сервиса для скамеров.
В конечном итоге деятельность современного «ТС» свелась к тем же самым преимущественно административным задачам по руководству своими «воркерами», для всего остального достаточно выбрать подходящие сервисы. Доля от «профита» для всех участников группы значительно снизилась, но это более-менее компенсируется количеством успешных хищений – надежность сервисов намного выше, чем самостоятельная организация инфраструктуры и обналичивания, которой первые «ТС» занимались в 2017-2020 годах.
Помимо инфраструктуры и механизмов обналичивания похищенного, совершенствовались и методы привлечения жертв на ресурсы злоумышленников. Имея в своем распоряжении уже готовую устойчивую среду для конечной обработки жертвы, скамеры начали применять классические способы маркетинга – теперь на их фишинговые страницы вполне реально наткнуться в поисковой выдаче Яндекса, Google и в социальных сетях.
Галя, у нас отмена
Довольно оригинальным способом скамеры начали осваивать и крупные маркетплейсы. Злоумышленники регистрируют собственные магазины и размещают товары по привлекательным ценам. Поступающие от клиентов маркетплейса заказы отменяются под благовидными организационными предлогами (вроде отсутствия конкретной модели товара на складе) или по «техническим причинам». При этом, получив от маркетплейса контактные данные клиента, скамеры обращаются к нему с предложением «переоформить заказ» и отправляют все те же самые ссылки на фишинговые страницы.
Арсенал специалистов по «антикино» со временем пополнился схемой «эскорта». В ней скамеры все также под видом девушек ищут жертв на сайтах знакомств, однако вместо имитации романтических отношений и приглашения на свидание прямо заявляют о том, что работают в сфере интимных услуг. Для заказа и оплата «встречи» жертве предлагается перейти в Telegram-бота, где под видом пополнения лицевого счета в эскорт-агентстве, оплаты страховочного взноса и т.п. у нее выманиваются денежные средства. То есть фактически из «Антик» исключили «романтик», и по вполне понятным причинам жертвы такого мошенничества обращаются в правоохранительные органы гораздо реже, чем в случаях с классическим «антикино».
Рис. Пример объявления о наборе воркеров в команду для скама на эскорте
Еще одним вектором адаптации скамеров стало изобретение новых направлений работы. Они также требуют неплохого владения методами социальной инженерии, но менее зависимы от инфраструктуры.
Первым из таких направлений стало «казино» — по большому счету, простая адаптация скамерами достаточно старой схемы привлечения пользователей на сайты азартных игр под видом 100% работающего способа «обмана казино».
Само «казино» скамеры организуют в виде Telegram-бота, а жертву заманивают под видом успешного игрока (чаще всего – девушки), который просит сделать пару ставок за его счет. Увидев, как «успешный игрок» выигрывает и выводит прибыль, жертва делает собственные ставки, по которым в «казино» скамеров выиграть уже невозможно.
Второе успешно развивающееся направление в современном скаме – фиктивные обменники криптовалюты, куда жертву заманивают выгодными курсами обмена. «Трафик» (методы привлечения жертв) по данному направлению достаточно сложный, однако получение «профита» в чистой криптовалюте вполне оправдывает усилия злоумышленников — это на порядки упрощает вывод и обналичивание похищенных средств.
Сочетание этих двух методов породило фиктивные скамерские «торговые платформы» для работы с криптовалютой. Чисто технически, это наиболее сложные из всех используемых скамерами фишинговых ресурсов, они выглядят и функционируют как реальные биржи. В среде скамеров это направление называется «трейд», а суть схемы не слишком отличается от популярного мошенничества на псевдоторговых площадках, хотя объемы отдельных хищений не слишком велики. Жертве для привлечения внимания демонстрируются крайне успешные сделки на определенной «торговой платформе», а ее собственные «инвестиции» просто похищаются.
При этом, организованные группы специалистов по социальной инженерии и платежным операциям – «воркеров» и «вбивал» — позволяют эффективно масштабировать самые разные преступные схемы.
Наиболее актуальной в настоящий момент угрозой является адаптация скамерами давно забытых в России хищений через вредоносные приложения под Android. «Кодеры» маскируют их под обновленные версии клиентов маркетплейсов и другие актуальные приложения, «воркеры» — активно распространяют их привычными методами социальной инженерии, а «вбиверы» быстро обрабатывают перехватываемые у жертв данные банковских карт и коды подтверждения платежей.
Рис: Пример объявления из скам-группы с описанием современной схемы атаки на мамонта с использованием ВПО
Таким образом, по прошествии семи лет сообщество скамеров фактически возникло из ничего, пережило становление, проблемы роста, адаптации к противодействию и заняло вполне значимое место среди прочих видов киберпреступности – потому что даже малое зло, оставленное безнаказанным, имеет свойство множиться.
