В результате мошеннических действий чешские пользователи понесли ущерб в размере сотен миллионов крон. Следы злоумышленников чаще всего ведут в Россию, Узбекистан и Украину.
Злоумышленники общаются в сети Telegram, где русскоязычные разработчики предлагают программное обеспечение, способное создать убедительную фишинговую атаку на пользователей онлайн-рынков.
По словам Роберта Шумана, руководителя исследовательской группы ESET в Праге, этот инструмент очень изощренный.
Целью злоумышленника может стать любой человек. Создатели программного обеспечения предоставляют инструменты для создания фишинговых сообщений, поддельных снимков экрана, QR-кодов и прочего.
В Telegram доступны инструкции по работе с жертвами, статистика успешности тех или иных афер, ежедневно обновляемые wiki-страницы и тому подобное. Также ведется учет взаимодействия с жертвами (что-то вроде CRM).
Технология представляет собой платформу, которая постоянно развивается. На рынке она с 2015 года, и, помимо Чехии, предлагается в ряде других стран, а также ориентирована на крупные маркетплейсы, такие как Amazon. Злоумышленники не используют элементы искусственного интеллекта и действуют вручную.
Они называют жертв "мамонтами". По данным ESET, в русскоязычных странах с этим словом ассоциируют тех, кого легко "развести". Именно поэтому вредоносный инструмент называется Telekopye, что представляет собой комбинацию слов "Telegram" и "копье".
Десять групп с четкой иерархией
В Чехии действуют около десяти группировок, которые причастны к махинациям на Bazoš и подобных платформах. Число жертв достигает несколько тысяч. Точной статистики успешности атак нет — лишь часть случаев, о которых сообщили пользователи, доходит до полиции.
Группы злоумышленников организованы в виде иерархии с несколькими ролями и структурой комиссий.
Новички попадают в группу только по рекомендациям от действующих участников, рекомендациям с различных хакерских форумов или из так называемых обучающих групп, которые предназначены для начинающих мошенников. Затем им автоматически присваивается роль "работника" и они получают доступ ко всем функциям Telekopye, которые необходимы для мошенничества.
пояснил Радек Йизба из ESET
Новые работники начинают с худшей комиссией, где они должны платить 35 процентов от каждой суммы, которую зарабатывают на жертвах. После того, как они достигают определенного количества совершенных мошенничеств или определенной суммы украденных денег, они переходят в роль "хорошего работника", и процент выплачиваемых комиссий снижается. Таким образом, в новой роли они начинают зарабатывать в среднем на 10 процентов больше.
добавил Йизба
Система организационно проработана и может превратить в мошенника кого угодно. В системе даже работают люди, которые зарабатывают на жизнь обучением новичков. Проценты от мошенничеств также распределяются на тех, кто привел в группу новых участников.
Модераторы, которые утверждают новых участников, тоже имеют свою роль.
Если один из участников нарушает правила группы, он подвергается наказанию и автоматически получает роль "заблокированный" и таким образом теряет доступ к Telekopye.
Высшую роль представляет администратор, который также может самостоятельно изменять настройки Telekopye — добавлять новые шаблоны, изменять ставки комиссий, их тип и тому подобное.
При этом он контролирует счет, куда уходят все украденные средства. Злоумышленник отправляет их не себе, а на центральный счет, где ведется точный учет.
Как только человек получает право на оплату, он запрашивает одобрение через Telekopye, и сумма отправляется на его криптокошелек. Записи о платежах находятся в отдельном Telegram-канале.
Развивающиеся схемы
Все чаще появляются мошенничества, в которых злоумышленники выбирают своих жертв, а потом пишут им и проявляют интерес к их товару.
Завоевав доверие, они заманивают жертву на фишинговые сайты, где требуется ввести данные платежной карты. В качестве аргумента приводится, например, что данная торговая площадка требует комиссию.
Также распространена так называемая афера с возвратом денег. Жертва получает электронное письмо с благодарностью за покупку товара, и если что-то не так, ей необходимо связаться с указанным лицом (в реальности — мошенником).
Кроме того, мошенники исследуют рынок по возрасту или категориям доходов. Два конца спектра им не интересны. Очень дорогой товар означает, что продавцы более осторожны. Очень дешевый товар часто означает, что у целевой жертвы, вероятно, нечего украсть. Чаще всего выбираются жертвы, продающие товары на сумму 5 000 Kč, или те, у кого на карте имеется не менее 7 000 Kč.
Поэтому платформы электронной коммерции, такие как Vinted, вводят модерацию в своих чатах. Пользователей, отправляющих ссылки, блокируют, либо общение прерывает техподдержка. Поэтому злоумышленники пытаются перевести жертву на другие платформы с искаженными названиями вроде Sbazarr и тому подобным.
Коммуникация злоумышленников улучшается. Например, они используют таблицы перевода, где приведены часто используемые фразы на хорошем чешском языке. Они все чаще используют DeepL вместо Google Translate, потому что он запоминает определенный вид контекста и лучше переводит.
Мошенников много
По данным полиции, подобные дела о киберпреступлениях очень проблематичны. Именно интернет-мошенничество является наиболее представленной группой.
На уловки попадаются не только менее умные люди, как часто говорят. Атаки становятся все более изощренными и нацелены на больший масштаб и процент успеха.
заявил Ондржей Капр из Президиума полиции
По данным полиции, социальная инженерия и манипуляции становятся все лучше. Легенды об атаках тоже совершенствуются, и у мошенников есть вариант ответа на каждый вопрос.
В прошлом году полиция зафиксировала 18 554 случая киберпреступлений, в 2021 году — 9 518. Рост продолжает ускоряться, за период до июля этого года уже зарегистрирован 11 561 случай.
По мнению полиции, ключевым моментом являются профилактика и просвещение.
Мы никогда не сможем поймать всех преступников.
заявил Капр
По его словам, если люди будут владеть большей информацией о мошенничествах, злоумышленникам будет сложнее их обмануть, это будет отнимать много времени, что не будет окупаться.
На это указывает, например, тот факт, что, когда злоумышленники во время общения замечают у потенциальной жертвы определенные сомнения, они прерывают общение и предпочитают уйти в другое место.
