Group-IB, обнаружила более 700 доменов фейковых сайтов театров, стендап-шоу, ресторанов, кинотеатров, которые мошенники используют для кражи денег под видом приглашения на свидание. За последние три года схему Fake Date (фальшивое свидание — с англ.) взяли на вооружение два десятка преступных групп — выручка одной из них за год составила более 18 миллионов рублей.
От «антикино» к «антитеатру»
Первые случаи использования в России схемы Fake Date с приглашением на фейковые свидания в «антикино»— кинотеатр с залами для двоих — специалисты Group-IB фиксировали еще в 2018 году после обращений обманутых любителей романтики. Однако расцвет этой интернет-аферы пришелся на период, связанный с пандемией коронавируса, то есть 2020 год и первую половину-2021 года.
Для сравнения: если в 2019 году под схему Fake Date было зарегистрировано всего 25 фишинговых сайтов, то в 2020 году их было уже 263, а в 2021 году — 428 доменов. В этом году самым популярным «местом для свидания» у мошенников оказались театры и стендап-шоу (60%). Чуть менее раскрученные локации — фейковые рестораны, СПА и кальянные (35%). А вот тема с «антикино» после того, как ее подробно описали исследователи Group-IB, практически себя изжила. На нее приходится менее 5%.
Независимо от места для романтической встречи сценарий обмана выглядит примерно одинаковым: симпатичная «девушка» знакомится в сервисах Tinder, Badoo или в соцсетях с молодым человеком, быстро переводит диалог в мессенджер (обычно, Telegram) и сама приглашает его на свидание. Как бы случайно у «девушки» оказывается билет на спектакль или выступление звезды стендап-шоу. Она отправляет QR-код своего билета и предлагает выкупить место рядом с ней. После чего скидывает ссылку на сайт, где этот билет можно приобрести. Молодой человек оплачивает «билет» — теряет деньги, а «девушка» добавляет его номер в блэклист и больше не выходит на связь.
«Работая по схеме Fake Date, мошенники, как правило, предварительно пытаются узнать интересы своего собеседника, составить его психологически портрет и, исходя из этого, предлагают ту или иную наживку, в том числе исходя из платежеспособности жертвы, — рассказывает замглавы департамента CERT-GIB Ярослав Каргалев. — Исследуя эту схему, мы встречались с самыми различными ее модификациями. В некоторых из них жертве приходилось платить трижды: за свой билет, за билет для «подружки» и при попытке оформления возврата».
След от «Мамонта»
Всего эксперты CERT-GIB насчитали как минимум 24 команды мошенников, работающих по схеме Fake Date, причем их количество растет из года в год. Так, в 2019 году — 2 группы, 2020 году — 7 групп, 2021 году — 15 групп. Правда, не все из них уже действующие. В ходе исследования аналитики обнаружили связи доменных имен фишинговых сайтов из схемы Fake Date с ресурсами из популярной схемы «Курьер» (или «Мамонт»), нацеленной на кражу денег и данных банковских карт пользователей с помощью фейковых сайтов популярных курьерских служб и маркетплейсов. Более того, в некоторых случаях сайты были зарегистрированы одними и теми ж людьми.
Любопытно, что схема Fake Date практически полностью переняла у «Мамонта» иерархию, техническую базу, модель функционирования и даже слэнг («мамонтом» на языке мошенников называют жертву). Вся работа рядовых участников, так называемых «воркеров», координируется через Telegram, где созданы специальные чат-боты с готовыми фишинговыми сайтами под различные площадки — кинотеатры, театры, рестораны, кальянные, с уже настроенной генерацией билетов, чеков, подробными скриптами для переписки с жертвой. Для продвинутых скамеров налажена продажа «под ключ» записанных от лица девушек «голосовушек» — аудио и видео сообщений с приглашением на свидание. Кроме того, существуют отдельные Telegram-каналы с информацией о выплатах и чаты для общения «воркеров».
Согласно данным одного из скам-проектов, его выручка за год составила более 18 млн рублей при более чем 7 000 транзакций. Похищенные деньги поступают на банковские карты или кошельки «админов», которые выплачивают «воркерам» процент (от 70 до 80%) от каждой транзакции. При оплате жертвой «возврата», часть суммы получает еще и «прозвонщик» из технической поддержки, который «ведет» клиента.
• Source: https://www.group-ib.ru/media/fake-date/
От «антикино» к «антитеатру»
Первые случаи использования в России схемы Fake Date с приглашением на фейковые свидания в «антикино»— кинотеатр с залами для двоих — специалисты Group-IB фиксировали еще в 2018 году после обращений обманутых любителей романтики. Однако расцвет этой интернет-аферы пришелся на период, связанный с пандемией коронавируса, то есть 2020 год и первую половину-2021 года.
Для сравнения: если в 2019 году под схему Fake Date было зарегистрировано всего 25 фишинговых сайтов, то в 2020 году их было уже 263, а в 2021 году — 428 доменов. В этом году самым популярным «местом для свидания» у мошенников оказались театры и стендап-шоу (60%). Чуть менее раскрученные локации — фейковые рестораны, СПА и кальянные (35%). А вот тема с «антикино» после того, как ее подробно описали исследователи Group-IB, практически себя изжила. На нее приходится менее 5%.
Независимо от места для романтической встречи сценарий обмана выглядит примерно одинаковым: симпатичная «девушка» знакомится в сервисах Tinder, Badoo или в соцсетях с молодым человеком, быстро переводит диалог в мессенджер (обычно, Telegram) и сама приглашает его на свидание. Как бы случайно у «девушки» оказывается билет на спектакль или выступление звезды стендап-шоу. Она отправляет QR-код своего билета и предлагает выкупить место рядом с ней. После чего скидывает ссылку на сайт, где этот билет можно приобрести. Молодой человек оплачивает «билет» — теряет деньги, а «девушка» добавляет его номер в блэклист и больше не выходит на связь.
«Работая по схеме Fake Date, мошенники, как правило, предварительно пытаются узнать интересы своего собеседника, составить его психологически портрет и, исходя из этого, предлагают ту или иную наживку, в том числе исходя из платежеспособности жертвы, — рассказывает замглавы департамента CERT-GIB Ярослав Каргалев. — Исследуя эту схему, мы встречались с самыми различными ее модификациями. В некоторых из них жертве приходилось платить трижды: за свой билет, за билет для «подружки» и при попытке оформления возврата».
След от «Мамонта»
Всего эксперты CERT-GIB насчитали как минимум 24 команды мошенников, работающих по схеме Fake Date, причем их количество растет из года в год. Так, в 2019 году — 2 группы, 2020 году — 7 групп, 2021 году — 15 групп. Правда, не все из них уже действующие. В ходе исследования аналитики обнаружили связи доменных имен фишинговых сайтов из схемы Fake Date с ресурсами из популярной схемы «Курьер» (или «Мамонт»), нацеленной на кражу денег и данных банковских карт пользователей с помощью фейковых сайтов популярных курьерских служб и маркетплейсов. Более того, в некоторых случаях сайты были зарегистрированы одними и теми ж людьми.
Любопытно, что схема Fake Date практически полностью переняла у «Мамонта» иерархию, техническую базу, модель функционирования и даже слэнг («мамонтом» на языке мошенников называют жертву). Вся работа рядовых участников, так называемых «воркеров», координируется через Telegram, где созданы специальные чат-боты с готовыми фишинговыми сайтами под различные площадки — кинотеатры, театры, рестораны, кальянные, с уже настроенной генерацией билетов, чеков, подробными скриптами для переписки с жертвой. Для продвинутых скамеров налажена продажа «под ключ» записанных от лица девушек «голосовушек» — аудио и видео сообщений с приглашением на свидание. Кроме того, существуют отдельные Telegram-каналы с информацией о выплатах и чаты для общения «воркеров».
Согласно данным одного из скам-проектов, его выручка за год составила более 18 млн рублей при более чем 7 000 транзакций. Похищенные деньги поступают на банковские карты или кошельки «админов», которые выплачивают «воркерам» процент (от 70 до 80%) от каждой транзакции. При оплате жертвой «возврата», часть суммы получает еще и «прозвонщик» из технической поддержки, который «ведет» клиента.
• Source: https://www.group-ib.ru/media/fake-date/
