Интернет-мошенники активнее используют проверенные психологические приемы с социальной инженерией на фоне тревожной новостной повестки, вызванной пандемией коронавируса, переходом на удаленку и финансовыми трудностями в отдельных сегментах бизнеса.
Новую схему обнаружили специалисты компании предотвращения кибератак Group-IB: пользователям, уже пострадавшим от интернет-преступников, предлагают получить компенсацию ущерба, но вместо этого списывают деньги и похищают данные банковских карт.
Злоумышленники действуют под видом несуществующих организаций — Международной службы «Единый центр возвратов», «Национального лотерейного содружества», «Центра финансовой защиты» и др. Помимо стандартного привлечения жертв через рассылку по почте, в мессенджерах или соцсетях, мошенники для повышения доверия используют фейковые СМИ, где размещены интервью тех, кто якобы уже получил возврат денег.
Сценариев у схемы несколько: мошенники предлагают возместить деньги за участие в популярных фейковых опросах, give away или «недобросовестных» лотереях. В другом случае обещают компенсацию НДС за расходы на покупку иностранных товаров: лекарств и БАДов, одежды и обуви, продуктов питания, топлива, стройматериалов, бытовой техники и т. д.
Если два года назад в доменной зоне ru. были зарегистрированы всего несколько сайтов с предложением компенсаций, то в конце 2019 года появились порядка 200 доменов в международной доменной зоне .xyz (именно здесь часто регистрируют образовательные, инженерные и юридические ресурсы, — прим Group-IB), чтобы избежать быстрой блокировки.
В марте 2020 года появились три десятка новых доменов под схему с компенсацией НДС. Атака, как правило, начинается с рассылки в мессенджерах, по почте или в соцсетях. Эксперты Group-IB рассказывают, что в одном из случаев мошенники рекламировали фейковое интервью со специально созданного сайта-клона популярного издания Лента.ру. Публикацию сопровождали новости о коронавирусе, самоизоляции и отзывы «счастливчиков», получивших деньги. Из интервью ссылка вела на посадочную страницу, где посетителям предлагали рассчитать сумму компенсации НДС — на сайт «Центра финансовой защиты».
В «лотерейной схеме» пострадавшим от лица несуществующего «Национального лотерейного содружества» обещают выплатить чуть больше — до 280 тысяч руб., на сайте «Центра финансовой защиты» — до 300 тысяч руб. Чтобы получить возврат за участие в опросе или лотерее, посетителям необходимо рассчитать сумму компенсации, вбив последние 4 цифры своей банковской карты (на сайте «Центра финансовой защиты» — 6 цифр).
Для большей убедительности на сайтах были опубликованы многочисленные позитивные отзывы и «истории успеха» тех «счастливчиков», которые якобы смогли получить компенсацию и не скрывали своей радости. После расчета и одобрения суммы компенсации пользователю необходимо ответить на вопросы «юриста отдела страховых выплат». Юрист в чате предлагал пользователю заполнить анкету, указав ФИО и телефон, а затем оплатить его «услуги» за оформление документов. Сумму просят небольшую — как правило, до 1 тысячи руб.
Разговор с «юристом» — имитация живого диалога, все сообщения представляют собой заранее подготовленный скрипт для чат-бота, что еще раз свидетельствует о технологичности придуманной схемы. Чтобы у жертвы не было желания покинуть сайт, злоумышленники угрожают потерей денег, ссылаясь на несуществующий документ — «О страховых возмещениях №319» п. 22, согласно которому, если в течение 24 часов обманутый пользователь не получит деньги, вся сумма якобы вернется организаторам интернет-опроса.
Переходя по ссылке на новую страницу, пользователь попадал на фишинговый сайт. Здесь уже мошенники запрашивают данные банковской карты — номер, имя владельца, срок действия, CVV-код. Таким образом, как и в более ранних схемах мошенничества, со счета жертвы списывается небольшой «взнос», а данные банковской карты остаются в руках интернет-преступников.
Иллюстрация к статье: