Двойной обман: как мошенники выманивают деньги россиян, используя тему COVID-19
Мошенники стали активно использовать тему коронавируса для того, чтобы выманить деньги россиян. На проблему уже обратил внимание ЦБ. Как отмечает Банк России, мошенники «обзванивают граждан, обещая отсрочки по выплате кредитов, разного рода компенсации, пособия, возврат денег за авиабилеты, услуги по диагностике заражения коронавирусной инфекцией, волонтерство». «Все в итоге сводится к тому, что человек должен под тем или иным предлогом сообщить данные своей банковской карты, пароль из СМС либо самостоятельно осуществить платеж на некий счет», — указывает регулятор. Кроме того, ЦБ предупреждает о письмах со ссылками на фишинговые сайты, которые копируют фирменный стиль ЦБ, ВОЗ и других известных организаций.
Активное использование темы коронавируса мошенниками зафиксировали в Сбербанке. «Мошенники традиционно могут воспользоваться любой актуальной тематикой, но их цель остается неизменной: украсть ваши данные и деньги», — сказал Forbes представитель Сбербанка. По его словам, в банк поступают жалобы клиентов на мошенничество такого рода. Данные о количестве обращений и потерях клиентов в банке не раскрывают, отмечая лишь, что «объемы успешного мошенничества минимальны».
Рост случаев мошенничества, связанных с эпидемией, зафиксировали и в Тинькофф Банке, сказали Forbes в его пресс-службе. ВТБ, Почта Банк, ВБРР, банк «Ак Барс», «Открытие», Райффайзенбанк новых случаев мошенничества или жалоб от клиентов по теме коронавируса не зафиксировали, сообщили Forbes в пресс-службах банков. Остальные банки из числа 20 крупнейших на запрос Forbes не ответили.
В целом январе-марте не менее 10% от всех атак кибермошенников так или иначе были связаны с коронавирусом, сообщил директор экспертного центра безопасности Positive Technologies Алексей Новиков. Причем рост активности мошенников наблюдается не только в России, но и за рубежом. Провайдер решений в сфере кибербезопасности Check Point опросил 411 специалистов по кибербезопасности по всему миру, и 71% из них фиксируют увеличении количества угроз или атак с начала пандемии.
Какие схемы используют мошенники
В последнее время началась массовая регистрация доменных имен с использованием терминов, связанных с коронавирусом — всего к текущему моменту, по данным Сбербанка, было зарегистрировано порядка 70 000 новых доменов. При этом с начала года «Лаборатория Касперского» зафиксировала несколько тысяч подозрительных ресурсов, содержащих в имени отсылки к коронавирусу, говорит ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.
Мошенники, эксплуатирующие тему COVID-19, используют самые различные методы, говорят опрошенные Forbes эксперты и участники рынка. В частности, они предлагают купить по предоплате маски и антисептики. С подобным видом мошенничества столкнулись, например, клиенты Тинькофф Банка. «В основном весь фрод, который встречали у наших клиентов – покупки масок и антисептиков на мошеннических сайтах (услуга не оказана) или операции с подменой формы для доставки масок и антисептиков», — рассказал представитель банка. По его словам, таких кейсов было немного, но в нескольких случаях мошенники пытались украсть от 70 000 до 120 000 рублей.
Другой популярный вид мошенничества, связанного с коронавирусом — фишинговые рассылки. Общая схема фишинга одна — мошенники рассылают письма и сообщения в мессенджеры со ссылками на мошеннические сайты, где собирают данные пользователей. Рост числа таких рассылок по теме коронавируса начался в марте, сейчас ситуация усугубляется с каждым днем, а сами рассылки имеют широковещательный характер, они уходят просто по всем доступным адресам, констатирует директор центра мониторинга и реагирования на кибератаки Solar JSOC Ростелекома Владимир Дрюков. То есть под угрозой находятся и сотрудники компаний, и частные пользователи. «При этом во время тестирования систем безопасности сотрудники компаний открывают «коронавирусные» письма примерно в 40% случаев, в то время как обычные фишинговые письма открывают в среднем 18% человек», — говорит Дрюков.
Некоторые мошенники также эксплуатируют в рассылках переход на удаленную работу, рассказывает Дрюков. Сотруднику компании приходит письмо от имени его ИТ-службы: адрес отправителя маскируется под домен компании. В сообщении сотрудника просят зайти на удаленный портал и протестировать удаленный доступ, там он вводит логин и пароль от учетной записи на рабочем компьютере, которые уходят киберпреступникам. С ними хакеры могут атаковать уже саму организацию.
В среднем 23% сотрудников открывают фишинговые письма, но в связи с коронавирусом успешность фишинговых атак повышается до 80% подтверждают в Digital Security. Например, если рассылка информирует об изменении программы мотивации сотрудников, с которыми можно ознакомиться, скачав файл.
Еще один вид мошенничества — обзвон клиентов от имени турфирм с предложением вернуть деньги за отмененную поездку. Делается это для того, чтобы собрать платежные данные пользователей для дальнейших хищений, причем жертв мошенники ищут на тематических форумах, говорит начальник отдела по противодействию мошенничеству «Инфосистем Джет» Алексей Сизов.
Раздача псевдокомпенсаций
Особенно популярной схемой среди мошенников стала компенсация каких бы то ни было затрат. Мошенники пишут письма от лица ВОЗ или общественных организаций, обещающих выплаты различным категориям населения, предлагают возмещение пострадавшим от вируса.
«Мошенники предлагают получение социальных выплат и компенсаций, тем самым собирая информацию о картах и персональные данные. Распространен также сбор средств якобы на различные благотворительные цели», — рассказал Forbes представитель Сбербанка.
Мошенники часто используют так называемую схему «Двойного обмана», отмечают специалисты Group-IB в своем свежем обзоре. В этой схеме они предлагают людям, которые уже пострадали от интернет-преступников, возместить ущерб. Для афер они используют названия несуществующих организаций, например, Международной службы «Единый центр возвратов», «Национального Лотерейного Содружества» и «Центра финансовой защиты».
Чтобы выманить деньги у человека, мошенники, в частности, рекламировали в группах local.yandex фейковое интервью, размещенное на специально для этого созданном сайте-клоне популярного издания Лента.ру. Материал назывался «76 летняя пенсионерка получила 170 000 руб компенсации НДС и потратила все деньги на стриптизера», говорится в обзоре. При этом публикацию сопровождали новости о коронавирусе, самоизоляции и отзывы «счастливчиков», получивших деньги. Из интервью ссылка вела на сайт не существующего «Центра финансовой защиты», который предлагал посетителям рассчитать сумму компенсации НДС, для чего ему нужно было бы ввести данные с личной банковской карты.
«Продолжение классическое: для получения компенсации, жертве нужно внести небольшую сумму — как правило, до 1000 рублей за юридическую помощь в заполнении анкеты. Перейдя по ссылке на новую страницу, пользователь попадал на фишинговый сайт. Здесь уже организаторы «Двойного обмана» запрашивают данные банковской карты — номер, имя владельца, срок действия, CVV-код. Таким образом, как и в более ранних схемах мошенничества, со счета жертвы списывается небольшой «взнос», а данные банковской карты остаются в руках интернет-преступников», — объясняют специалисты компании.
Подобные посты запрещены на сервисе, и в компании работают над тем, чтобы они не появлялись в лентах пользователей, сообщили Forbes в пресс-службе «Яндекса». «Для распознавания мошеннических постов у нас есть как автоматическая, так и ручная модерация. В данном случае по формальным критериям пост не был мошенническим, поэтому автоматическая модерация его пропустила. Но сразу после получения жалоб от пользователей пост был удален вручную. В ленте сервиса он находился меньше суток», — говорится в комментарии компании.