Охота на мамонтов продолжается: «Неандертальцы» не оставляют шанса пользователям Авито, Юлы и СДЭК

В своём недавно опубликованном отчёте специалисты ESET рассказали о группе мошенников «Gipsy Team», которых окрестили «Неандертальцами». Группировка ответственна за разработку и поддержку мошеннического Telegram-бота под названием Telekopye, который помогает киберпреступникам обманывать людей на онлайн-плошадках, направленных на страны СНГ. Бот способен создавать фишинговые сайты, электронные письма, SMS и многое другое.

В августе у ESET уже выходил подробный отчёт касательно Telekopye, который мы также внимательно рассмотрели и сделали краткую выжимку . Однако мошенники не сидят на месте и постоянно эволюционируют, в связи с чем выход второй части расследования не заставил себя долго ждать.

Исследователи ESET изучили методы вербовки новых членов в группировку «Неандертальцев», процесс обучения, а также использование различных схем обмана и других аспектов деятельности злоумышленников, что мы и обсудим ниже, снабдив читателей полезной информацией о том, как распознать онлайн-мошенничество и не стать одной из жертв скаммеров.

«Неандертальцы» набирают новых участников через рекламу в различных каналах, включая подпольные форумы. Там они обещают честные 75% от заработанных средств, стабильную работу на протяжении трёх лет и указывают на высокое качество используемых фишинговых сайтов, полностью повторяющих дизайн оригинальных сайтов Авито, Юлы и СДЭК.

После связи с потенциальным работодателем через Telegram-бота и последующего одобрения заявки — новички получают доступ к групповым чатам и каналам, где хранятся правила и руководства.

В работе Неандертальцев выделяются три основных сценария мошенничества: «продавец», «покупатель» и «возврат средств». Каждый сценарий имеет свои особенности. Например, в случае со сценарием продавца, мошенники предлагают жертвам (так называемым «Мамонтам») какой-то интересный товар по привлекательной цене и перенаправляют их на фишинговый сайт для оплаты.

«В отличие от легитимной веб-страницы, на этой странице запрашивается логин для входа в онлайн-банкинг, данные кредитной карты или другая конфиденциальная информация. Если Мамонт вводит эти данные, фишинговый веб-сайт автоматически их крадёт», — объясняют исследователи ESET.

Интересно отметить, что данные, похищенные с фишинговых сайтов, не становятся доступны конкретному Неандертальцу, ответственному за их добычу. Они попадают в отдельную базу и обрабатываются другими членами группы. Сделано это, вероятно, для достижения максимальной эффективности: каждый злоумышленник занимается исключительно своим делом, сродни небольшому винтику в гигантском механизме.

В сценарии с покупателем, как несложно догадаться, мошенники проявляют интерес к определённому товару, который Мамонт выставил на продажу. Неандерталец инициирует переписку с продавцом, в которой использует социальную инженерию, чтобы завоевать доверие Мамонта, а затем присылает ему фишинговую ссылку с обещанием, что после указания своих банковских реквизитов деньги за товар автоматически зачислятся на счёт продавца.

Сценарий с возвратом денег особенно коварен, так как мошенники могут надурить Мамонта дважды. Сначала притворившись продавцом и получив с жертвы деньги с банковскими данными, а затем прикинувшись службой поддержки площадки, дающей обещание вернуть Мамонту деньги в обмен на очередной переход по фишинговой ссылке, где с жертвы собирается ещё больше личных данных.

Документация «Неандертальцев», используемая как для обучения новичков, так и в качестве шпаргалки для опытных мошенников, включает различные изображения с возможными вариантами переписок, графики, краткие руководства и даже весьма сложные документы.

Потенциальных жертв мошенники обычно находят через веб-скрапперы , экспортируя данные с интересующей их платформы в Excel-таблицу и затем тщательно отбирая Мамонта по ряду ключевых параметров. Так, высокий рейтинг пользователя и большой опыт взаимодействия с площадкой могут свидетельствовать о том, что он с большей вероятностью распознает мошенничество, значит и время на него тратить не стоит.

Согласно рабочему скрипту, Неандертальцам можно стерпеть только определённый уровень сопротивления со стороны Мамонтов. Если мошенники считают, что афера вряд ли увенчается успехом, они быстро находят другую цель. Однако если они ощущают, что почти победили, то всегда стараются дожать жертву, уделяя ей своё полное внимание и убедительно развеивая любые опасения.

По информации выше может показаться, что Неандертальцы нацелены только на СНГ-площадки, хотя это не совсем так. Специалисты ESET обнаружили заготовленные таблицы с переводом различных дежурных фраз с русского на другие популярные языки, из чего следует, что скаммеры работают по всему миру.

Стоит отметить, что Неандертальцы не используют новомодный искусственный интеллект в своих операциях, который может сильно упростить генерацию новых сценариев мошенничества. Группа предпочитает традиционные методы общения и, стоит сказать, выходит довольно удачно.

«Неандертальцы догадываются, что в их группах полно "крыс" (например, сотрудников правоохранительных органов или исследователей). Поэтому они свято придерживаются правил, запрещающих выискивать информацию, которая могла бы идентифицировать других членов группы. Нарушение таких правил вполне может привести к бану», — сообщают исследователи ESET.

В интервью с одним из администраторов Telekopye, проведённом в конце 2020 года и обнаруженным специалистами ESET, высокопоставленный Неандерталец делится своим видением онлайн-мошенничества в будущем и подчёркивает, что несмотря на многочисленные ограничения со стороны платформ, полностью искоренить такого рода мошенничество невозможно, и что существовать оно будет всегда.

Исходя из такой смелой позиции, позволим себе дать ряд определённых рекомендаций, которые смогут обезопасить от мошенничества как вас самих, так и ваших близких:

1. Будьте осторожны с платёжными ссылками. Никогда не переходите по подозрительным ссылкам, особенно тем, которые приходят от незнакомых лиц в интернете. Легитимные платёжные системы и онлайн-площадки не требуют ввода реквизитов банковского счета, CVV-кода и прочей информации через сторонние ссылки.
2. Проверяйте подлинность сайтов. Прежде чем вводить личные или финансовые данные, удостоверьтесь в подлинности сайта. Проверьте его URL, использование HTTPS-протокола, наличие сертификата безопасности. Избегайте сайтов с подозрительным дизайном или грамматическими ошибками.
3. Избегайте переписки вне официальных платформ. Если продавец или покупатель настаивает на общении вне официальной платформы, это может быть красным флагом. Лучше всего продолжать общение и сделки через проверенные и защищённые платформы, а в ином случае просто заблокировать такой подозрительный контакт.
4. Не доверяйте предложениям, кажущимся слишком хорошими, чтобы быть правдой. Если цена на товар значительно ниже рыночной или предложение кажется нереалистично выгодным, это может быть признаком мошенничества. Всегда проводите тщательную проверку перед совершением сделок.
5. Будьте осторожны с нестандартными методами оплаты. Мошенники часто предлагают оплату через нестандартные каналы или требуют предоплату за товары и услуги. Избегайте таких сделок и придерживайтесь обычных способов оплаты через проверенные сервисы.

Надеемся, что благодаря предоставленной информации о методах работы мошенников и вышеперечисленным советам по защите, вы будете чувствовать себя в интернете более безопасно и уверенно. Осторожность и осведомлённость в онлайн-пространстве — ключевые факторы в предотвращении подобных угроз. Помните, что знание — это ваша лучшая защита в борьбе с киберпреступностью.