Специалисты по кибербезопасности назвали главные методы мошенников на фоне санкций

Кибермошенники активно эксплуатируют новостную повестку для обмана россиян и кражи денег с их банковских счетов. Три главных способа "развода" мошенников сейчас и о том, как злоумышленники подстраивают свои легенды под санкции, – в материале "Газеты.Ru".

Компенсации от государства, Олимпиада, антироссийские санкции на фоне военной операции на Украине. На первый взгляд, между этими событиями нет ничего общего. Но все же есть: новостная повестка привлекает интерес кибермошенников. Злоумышленники используют любой информационный повод для обмана жертв и получения их платежных данных для последующего вывода денег на свои счета. Сами способы обмана из года в год остаются прежними. Два главных из них – телефонное мошенничество с целью получить данные карты и коды для перевода денег (вишинг) и создание поддельных сайтов для кражи платежной информации (фишинг). По последним данным ЦБ, в первом полугодии 2021 года 80% атак мошенников пришлось на вишинг и 20% - на фишинг.

Меняются легенды, тематика фейковых ресурсов, с помощью которых мошенники втираются в доверие к россиянам. Сейчас злоумышленники используют тему антироссийских санкций. "Газета.Ru" сделала подборку способов "развода" в текущих условиях.

Санкционный перевод

Мошенники звонят от имени банка и сообщают, что Россию скоро отключат от SWIFT. Мошенники предлагают перевести деньги на так называемый защищенный счет. Чтобы карта якобы продолжила работать, нужно назвать ее данные (вместе с CVV), а также код из SMS, утверждают злоумышленники. Естественно, средства уходят злоумышленникам. Кроме того, легенда с защищенным счетом использует тему ухода из России платежных систем Visa и MasterCard. Мошенники предлагают спасти средства на картах этих платежных систем, переведя их на защищенный счет. Об этом "Газете.Ru" рассказал эксперт компании "Газинформсервис" Григорий Ковшов. Аналитик компании Zecurion Мария Ефремова добавила, что мошенники также призывают по телефону перевести деньги из банков, попавших под санкции, и предлагают свою помощь.

"Мошенники стали звонить россиянам и сообщать об угрозе их денежным накоплениям в связи с введением санкций. Злоумышленники заявляют, что они могут спасти средства в случае отключения РФ от системы международных переводов SWIFT или блокировке платежных систем. Важно отметить, что схема с переводом средств на безопасный счет для защиты сбережений от санкций реализуется не только по телефону, но и в социальных сетях", - пояснил Ковшов.

По словам Ефремовой, злоумышленники используют методы психологического давления на жертву, играют на ее эмоциях.

"Помните, главная задача мошенников – убедить вас перечислить деньги на подставные счета. На случай звонков с подобными месседжами важно понимать, что сотрудники финансовых организаций никогда не просят своих клиентов переводить деньги на другие счета", - уточнил Ковшов.

Ефремова советует проверять информацию только в официальных источниках (сайты министерств и ведомств), обращаться за разъяснениями в свой банк или на сайт ЦБ.

Об этих легендах пишут пользователи форума "Всеаферы.ру".

"Внимание, друзья! По сети идет серия новых телефонных мошенничеств на волне нового пакета санкций в связи с известными событиями. Сама схема аферы неоднократно описывалась нами, изменилась лишь "вывеска" и повод для ее реализации. Аферисты на фоне введения санкций ЕС, США (наряду с другими странами), направленных против российских субъектов экономики, значительно активизировались. Теперь они предлагают людям перевести средства на якобы безопасный счет, чтобы сохранить от санкций и отключения банков от SWIFT свои сбережения. И хотя подавляющее большинство россиян понятия не имеют, что такое SWIFT, злоумышленники заявляют, что помогут сохранить деньги после отключения России от SWIFT, это критически важно и без этого все вклады будут потеряны. Это ложь и фейк!", - говорится в одном из сообщений на форуме.

Пользователи форума Тинькофф-банка отмечают, что самих звонков стало меньше. Ведущий аналитик отдела выявления цифровых угроз Infosecurity Александр Вураско связывает это с тем, что в основном мошеннические колл-центры находились на Украине. В связи с военной операцией их активность упала почти на 100%, отметил он.

Санкционный фишинг

На волне ухода популярных брендов стали появляться фейковые интернет-магазины по продаже чего угодно, начиная от айфонов и заканчивая аксессуарами Gucci, уточнил Вураско.

"Фейковые сайты злоумышленники научились делать быстро и профессионально. Поэтому такие ресурсы могут быть подготовлены под любую тематику, в зависимости от актуальности повестки. Стоит остерегаться фишинга со стороны "банковских" и "микрофинансовых" организаций, сайтов уходящих с российского рынка компаний, с тематикой "последних распродаж"". Появляются ресурсы, предлагающие скупку техники по бросовым ценам. На сайтах предлагается ввести платежные данные карты, после чего с нее списываются деньги", - уточнил Ковшов.

Ведущий аналитик департамента Digital Risk Protection Group-IB Евгений Егоров рассказал о появлении также фальшивых рассылок якобы от имени ФСБ России с предложением скачать на компьютер специальную программу — протокол защиты от DDoS-атак.

"Кроме почтовых рассылок, аналогичную "защитную" программу злоумышленники предлагали скачать с недавно созданного — 27 февраля — фейкового сайта с символикой ФСБ. Однако на деле на компьютер пользователя по ссылке, по данным аналитиков CERT-GIB, загружается троян удаленного доступа AveMaria с функционалом инфостилера, предназначенного для кражи данных пользователей, например, логинов и паролей", - уточнил он.

В текущей ситуации нужно использовать современные средства защиты своих девайсов. Не забывать использовать антивирусное программное обеспечение (ПО), которое будет предупреждать пользователя об опасности и блокировать соединение с подозрительными фишинговыми ресурсами.

"Мы рекомендуем уделять повышенное внимание загружаемому ПО. Из-за санкций пользователи активно стали использовать пиратские программы. Стоит помнить, что любое загружаемое ПО или файл должны быть просканированы антивирусом. Но и этой меры бывает недостаточно — важно тщательно изучить какие разрешения имеет нелицензированная программа, проверить это можно в настройках устройства", - отметили в пресс-службе компании Dr Web.

Специалисты DRP Group-IB рекомендуют не открывать ссылки и не скачивать файлы, которые могут прийти на почту или в социальных сетях от неизвестных. "В связи с огромным количеством фейковых новостей критично относитесь к контенту, сохраняйте выдержку и не поддавайтесь на провокации", - отметил Егоров.

Старший контент-аналитик "Лаборатории Касперского" Татьяна Щербакова напомнила: если предложение в интернете звучит слишком заманчиво (или, наоборот, слишком пугающе), чтобы быть правдой, то, скорее всего, это мошенничество. Если вас просят сделать что-то быстро, не дают времени подумать – тоже стоит насторожиться, уточнила она.

Санкционный скам

По данным Group-IB, популярная скам-схема "Мамонт" пополнилась новым сценарием — интернет-аферисты рекламируют фейковый сбор денег для украинской армии "Допомога ЗСУ" от имени "Приватбанка". Буквальный перевод слова "скам" - афера, жульничество. "Мамонтом" на сленге мошенников называют жертву.

В качестве приманки злоумышленники используют фишинговые страницы "благотворительного фонда", на котором с 24 февраля якобы идет сбор средств в поддержку ВСУ. После того, как жертва решит пожертвовать от 10 до 150 гривен и введет данные своей банковской карты, они попадут в руки к мошенникам.

В прошлом году Group-IB выявила не менее 70 активных скам-групп, работающих по схеме "Мамонт". Мошенники зарабатывали на темах курьерской доставки, аренды недвижимости, продажи автомашин, совместных поездок и даже походов на свидания. После выхода схемы в Европу, ежегодный заработок всех преступных групп, использующих данную схему мошенничества, оценивался более чем $6,2 млн.

Первое массовое использование в России схемы "Курьер" или "Мамонт" специалисты CERT-GIB и Group-IB Digital Risk Protection зафиксировали еще летом 2019 года после обращений обманутых пользователей. Однако пик мошеннической активности пришелся на 2020 год в связи с пандемией, переходом на удаленку и увеличением спроса на 30-40% на онлайн-покупки и, соответственно, услуги курьерской доставки.

Есть жалобы пользователей, их цитируют в Group-IB.

"Хотел купить б/у экшн-камеру определенной марки. На популярной доске объявлений цены плюс минус одинаковые с небольшим разбегом. Однако, увидел предложение, которое в два раза ниже. Слишком уж подозрительно, но все же решил попробовать. Телефон недоступен, написал в техподдержку. Стандартные вопросы. После, продавец предлагает продолжить общение в ватсап. Вот тут и начинается веселье. Я предложил воспользоваться услугой доставки от самого сервиса. Продавец же предложил через другой популярный курьерский сервис. Типа услуга безопасной сделки. Через какое то время скидывает фото накладной с печатью похожей точь в точь как настоящая и ссылку на оплату. Вроде как товар в отделении и ждет оплаты для отправки. Почти повелся и чуть не оплатил. Однако, мне это показалось странным. Ведь у официального сервиса оплата при получении, а тут предлагает оплатить сразу. Решил внимательно посмотреть на сайт, что он скинул. Сайт копия официального сервиса, но ссылка отличается. Понял, что развод. К тому же, на сайте есть окно чата с оператором и на вопрос есть ли такая то накладная ответит, что есть и ждет оплаты. На настоящем сайте НЕТ ОКНА ЧАТА с оператором. А параллельно продавец не унимался и требовал оплаты, и что он со мной теряет время. В итоге после очередного требования оплатить, иначе посылка не уйдет, я ему сказал, что развод не удался".