Летом 2020 года исполнительный директор Фонда Хабенского получила письмо от главы благотворительной организации — ее просили перевести средства, собранные для одного из подопечных фонда, на указанные реквизиты. Поскольку фонд никогда не переводит деньги на личные банковские счета и персональные кошельки, исполнительный директор перезвонила коллеге, чтобы уточнить, чем вызвана подобная просьба. Оказалось, что собеседник не знает, о чем речь, и письмо с просьбой о переводе не отправлял. Такие же сообщения получили еще двое сотрудников фонда. Эти письма отправили на проверку в Group-IB.

Анализ показал, что почтовый аккаунт директора фонда не был скомпрометирован. Злоумышленники отправили письмо с сервера хостинг-провайдера Timeweb, подделав технический заголовок под нужный адрес, чтобы ввести сотрудников фонда в заблуждение. При этом в поле «обратный адрес» (данная строка видна не во всех почтовых клиентах) вместо официального домена Фонда Хабенского «bfkh[.]ru» использовался фальшивый домен, отличающийся последовательностью букв: «bfhk[.]ru». Если бы пользователь ответил на письмо, например для уточнения деталей перевода, — его сообщение направилось бы мошенникам.

Три дня спустя экспертам Центра реагирования на киберинциденты CERT-GIB стало известно об аналогичной попытке вывести средства из фонда «Кислород». Проанализировав домен bfkislorod[.]ru с помощью системы графового анализа, эксперты Group-IB обнаружили, что с 5 по 6 августа злоумышленники зарегистрировали еще семь доменов, копирующих имена известных благотворительных организаций, в том числе фондов «Алеша», «Подари жизнь» и «Старость в радость».

К счастью, благодаря оперативному детектированию мошеннической схемы и бдительности сотрудников фондов, которые регулярно сталкиваются с новыми видами фрода, ущерба удалось избежать.

В 2017 году к сотрудникам CERT-GIB обратился фонд Чулпан Хаматовой «Подари жизнь». Мошенники распространяли истории подопечных фонда, прося о материальной помощи, которая, как нетрудно догадаться, так и не доходила до настоящих адресатов.

Оказалось, что это лишь вершина айсберга: эксперты Group-IB продолжили сталкиваться с данной мошеннической схемой. Злоумышленники брали реальные истории, рассказанные фондами, и размещали их в социальных сетях или делали email-рассылки, добавляя в текст небольшое изменение — реквизиты, на которые нужно перевести деньги. При этом "соучастниками" становились обычные пользователи, которые делились постами с призывами о помощи в своих соцсетях.

Как неоднократно подчеркивали создатели «Подари жизнь», фонд не собирает деньги на персональные банковские счета или через платежные системы, а все рассылки ведутся только с официального домена @podari-zhizn.ru

В 2019 году фонд «Подари жизнь» столкнулся с новым видом мошенничества: на личные почты нескольких блогеров Яндекс.Дзена пришло предложение разместить историю подопечной фонда для сбора средств. За публикацию истории "сотрудник фонда" обещал заплатить. К счастью, блогеры обратили внимание на странный логин, грамматические и стилистические ошибки в письме, отсутствие подписи и прямых ссылок на сайт.

При обнаружении фейковых страниц для сбора средств, на которых реквизиты фонда заменены на личные банковские счета или QIWI-кошельки, команда DRP Group-IB связывается с платформой, где размещено объявление, а также с сервисом или банком, обрабатывающим платежи, просит удалить пост и заблокировать кошелек.

Ущерб для фонда еще больше, чем для обычной компании: помимо того, что он не получает средства, предназначенные для подопечных, он также вынужден тратить ресурсы на борьбу с мошенниками.

«Сейчас фонд сотрудничает с одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничества с использованием высоких технологий — Group-IB. Специалисты Group-IB в реальном времени отслеживают появляющиеся мошеннические ресурсы, посты в соцсетях, рекламные объявления и оперативно их блокируют. До сих пор эти возможности использовались для защиты бизнеса и госструктур, и мы бы никогда не смогли найти денег для обеспечения кибербезопасности фонда на подобном уровне. Но Group-IB помогает нам на безвозмездной основе, за что мы безгранично благодарны», — отмечала Шергова.

Некоторые мошенники для сбора «пожертвований» не ограничиваются одиночными постами в соцсетях и выходят на новый уровень. В апреле 2019 года Group-IB рассказывала о мошеннической схеме, с помощью которой преступники собирали средства от лица более десяти фондов.

Владельцы сайта, назвавшие его http://putin.site (ресурс заблокирован), разместили на нем логотипы двенадцати небезызвестных благотворительных организаций. Злоумышленники писали, что теперь не нужно решать, какому именно фонду отдать пожертвование, — можно просто отправить определенную сумму, которая будет распределена между участниками программы.

Пообщавшись с представителями фондов, которые якобы должны были получать эти пожертвования, эксперты Group-IB выяснили, что с данного ресурса им ничего не приходило. Получив официальные жалобы от фондов, которые не давали разрешения на размещение своего торгового знака на сайте и не участвовали в распределении пожертвований, Group-IB добилась, чтобы кошелек для сбора средств был заблокирован.

Проблема таких мошеннических схем в том, что помимо репутационного ущерба для благотворительных фондов и их дискредитации в глазах общества, деньги, которые отправляли нуждающимся, не доходят до адресатов.

Мошенники устраивают как крупные кампании, нацеленные на определенный фонд, так и разовые вылазки. В соцсетях часто можно натолкнуться на посты, где описываются страшные истории, вынуждающие пользователей на эмоциях сделать перевод. Эти страницы существуют 1-2 дня, а потом исчезают вместе с их мифическими больными —либо после жалобы о мошенничестве, либо потому что злоумышленник уже «собрал на лечение».