Привет, отлично.

Больше 10 лет, я пришел в декабре 2010 года. На третьем курсе, когда еще учился в Бауманке.

Мне кажется, что это большая часть моей сознательной жизни. Я даже не помню себя до Group-IB, если честно.

Не, я просто подстригся коротко. Но не из-за этого.

На самом деле, мы защищаем пользователей, чтобы их не обманывали в интернете. Обман может быть разного рода. Это могут быть какие-то фишинговые сайты, скамерские сайты, от имени крупных компаний, государства или даже каких-то известных людей, частных лиц. И, защищая эти бренды для того, чтобы ими не злоупотребляли, мы таким образом защищаем простого пользователя, который оставляет свои данные карт, отправляет куда-то свои деньги. Все слои населения, любой человек может быть подвержен [подобным угрозам], даже довольно сильно технически подкованный. Потому что аферисты с помощью методов социальной инженерии делают так, чтобы человек не понял, куда он отправляет деньги.

Людей, в основном, заманивают каким-то очень интересными предложениями, это может быть какой-то суперский дисконт, это может быть какой-нибудь эксклюзивный товар, который ты не можешь купить в обычном мире, например Sony PlayStation, или, например, iPhone в день релиза – только у перекупщиков. И из-за этого ажиотажа, жажды легкой наживы, люди заходят на сомнительные сайты, а там уже два варианта того, как их могут обмануть. Первое – попросить с них деньги, платеж какой-то — это может быть предоплата товара, участие в розыгрыше, оплатить какую-то комиссию для того, чтобы получить скидку. Эти платежи могут быть маленькими, а могут быть и большими в случае, если это заказ iPhone или PlayStation, это дорого. Или если это B2B мошенничество, то тут сразу могут украсть миллионы долларов. Второй вариант это...

Да, B2B-мошенничество — это когда в отношениях между двумя компаниями появляется "посредник", прикидывающийся контрагентом и запросивший авансовый платеж.

Примеры есть в индустрии производства химических удобрений, в агрокомплексе, в нефтянке, в энергетическом комплексе. Здесь одни компании заказывают товары у других компаний, это могут быть удобрения для ферм, это может быть авиационное топливо для авиакомпаний, и, когда авиакомпания или фермер ищут такого рода товары, и пытаются их заказать в интернете (а сейчас все пытаются заказать в интернете, маркетплейсы есть у всех довольно известных промышленных крупных компаний), то под эти сайты мимикрируют злоумышленники. И они рекламу вставляют в директе, в поисковой выдаче и домены создают похожие и в личку могут такое рассылать специальными предложениями. И, если человек, который занимается отправкой этих платежей перед заказом не проверил реквизиты, то авансовый платеж уходит к злоумышленнику. А заказы эти могут быть супер существенными. Например, как вы думаете, на какую сумму авиакомпания заказывает авиационное топливо у какой-нибудь нефтяной компании? Это миллионы долларов за один платеж!

Рекомендаций много, я думаю, что мы ими закончим, но если уж сразу с ходу, надо проверять сайты, на которых вы покупаете, понятно что они все схожи, но желательно прямо по буквам проверить. Можно скопировать домен в какой-нибудь текстовый редактор, посмотреть, насколько он схож с настоящим. И самая простая рекомендация – попробовать погуглить домен, может быть кто-нибудь на него уже оставил плохой отзыв, может быть кого-то уже успели обмануть на этом домене, может быть он просто создан вчера. Соответственно, если домен создан вчера – это должно вызвать у вас некие опасения и конечно на такой домен лучше ничего не отправлять, не покупать там ничего.

Это публичные Whois-ресурсы. Who Is это прямой перевод – "Кто Это?" и соответственно в Whois можно вставить имя домена для проверки. Такие сервисы — это, например, Onestat, это может быть какой-то регистратор, например, российский reg.ru может такой сервис предоставлять.

Я бы на вашем месте обращал внимание на дату создания, потому что эти ресурсы не могут жить десятки лет, это наверняка недавно созданный ресурс — это должно вызывать очень большие подозрения.

Плюс важно понять, кто зарегистрировал домен: у нормальных компаний там указано настоящее юр лицо или настоящее лицо в виде технического директора или может быть админа. Если это злоумышленник, то там скорее всего будет «private person», и я бы обратил внимание на такой ресурс, и не стал бы туда ничего отправлять.

Ну, во-первых, это реальные деньги, которые пользователи отправили не на расчетный счет настоящей компании, а злоумышленнику – это недополученная прибыль. Потому что многие пользователи второй раз эту «Соньку» не купят.

Некоторые люди может быть копили на этот отпуск в Сочи всю жизнь и второй раз они не купят эти авиабилеты или бронь в отель. Соответственно это прямые потери в размере тех денег, которые отправил человек. Второе – это репутационные потери, потому что все претензии, все требования, может быть даже судебные иски будут прилетать в официальную компанию. Потому что человек, которого обманули не догадается искать того, кто стоял за этим поддельным сайтом, он скорее всего пойдет жаловаться на официальную компанию, от имени которой его обманули.

Да, могу, ты наверно знаешь, как история происходила с вирусами и вирусописателями, и у нас, в этом типе нарушений с онлайн-аферами, история только сейчас начинает превращаться в такую же, как с вирусами. Раньше были школьники, студенты, которые называли себя веб-мастерами, делали вот такие поддельные сайты мошеннические, сейчас это довольно серьезная организованная преступность. Есть так называемые топик-стартеры, те, кто создают технологии создания этих сайтов поддельных, специальные телеграм-боты, которые эти сайты создают просто на лету...

По одному клиенту — один известный банк, в среднем может быть 6 000 поддельных сайтов каждый день. Это на одного клиента. Соответственно, если посмотреть на всю банковскую индустрию в России – это может быть десятки, под сотню тысяч нарушений. В других индустриях может быть немножко по-другому, но если еще добавить туда другие страны, то это миллионы нарушений каждый день.

Ничего не стоит создать такой новый ресурс — мошенники автоматически регистрируют домены, автоматически заливают туда контент, быстро переключают рекламу всю на новые ресурсы. Так же технологически нужно бороться. Понятно, что не все обладают такими знаниями и сейчас они разделились. Есть злоумышленники, которые создают все эти технологии, возможности и так называемые партнерки – ты как по франшизе можешь вступить в эту партнерку, тебе дают все технологии, и ты начинаешь уже с первого дня зарабатывать вместе с этим злоумышленником, который изобрел такую схему. Это сейчас не призыв к действию, не нужно сейчас это делать, всех в итоге, в конце концов, сажают. Но желающих сейчас стало гораздо больше, потому что вот те самые «воркеры», которые просто подключаются к партнерской программе, франшизе – они вообще не обладают никакими знаниями, совершенно нулевой порог входа, тебе не нужно иметь никаких денег, никаких сайтов и знаний, тебе все дадут, ты просто начинаешь привлекать туда трафик, потенциальных жертв и обманывать людей.

Мы изучаем эту киберпреступность. Сейчас мы следим за 70 подобными группировками, и я скажу, что они довольно серьезно относятся к этой программе, они ведут рейтинги, кто лучший, кто сколько заработал. Мы внедрились в эти чаты и форумы, нас через две недели удалили, потому что мы заработали ноль, потому что мы естественно, никого не обманывали, просто изучали эту преступность, но у них прям серьезные рейтинги. И так мы смогли посчитать ущерб. Есть одна группировка, которая зарабатывает 720 000 рублей каждый день. Это несколько человек, которые там работают.

Да, это у B2C людей украденные деньги. Т.е. это могут быть поддельные сайты аптек, где средний чек 2 000 рублей, представляешь сколько там обманули.

Взаимодействуем, у нас идет общение сейчас по нескольким кейсам, в том числе и по пиратству, кстати, если уж мы в целом, про мое направление разговариваем. Нужно, чтобы находились потерпевшие, иногда, некоторые клиенты закрывают глаза на то, что эта преступность продолжает процветать и, закрыв какой-нибудь очередной ресурс, для себя ставят галочку и у них головная боль прекращается.

Наша рекомендация – все же доводить эти дела до конца, проводить расследование, смотреть, кто за этим стоит. Мне нравится пример, который кто-то мне привел: каждый день кто-то вешает объявление в подъезде «Продам наркотики» — ее нет смысла каждый день просто снимать, а есть смысл дождаться и посмотреть, кто ее вешает и бороться конкретно с человеком, а не с этой бумажкой.

Давай я начну с пинг-понга, чтоб мы закончили с предыдущей темой. Нам помогает наша система, наш продукт, наши технологии бороться с этим пинг-понгом. Не находить какой-то очередной сайт, который начал обманывать людей и блокировать его, а завтра блокировать следующий. Мы следим за инфраструктурой злоумышленников, мы видим все ресурсы сразу. Мы не ждем, когда один из них отвалится и он переключит рекламу на второй, мы можем "убивать" его инфраструктуру в целом сразу. Это очень сильно ударяет по их бизнесу и они очень часто заканчивают заниматься этой деятельностью, переключаются на порноконтет какой-то может быть, DDoS начинают заниматься, например.

Таким образом мы очень качественно защищаем нашего клиента, потому что они перестают атаковать его юзеров, но они не бросают противоправную деятельность, поэтому с этим нужно системно бороться и с этими людьми заниматься конкретно.

Те технологии, которые у нас есть, их создают люди. У нас есть штат разработчиков, который написал гениальную, по моему мнению систему, которая мониторит весь интернет и мониторить мы можем все что угодно. Это могут быть скам-сайты, фишинговые сайты, пиратский контент, контрафакт, утечки данных, дарквеб, мы все это мониторим. Но уникальность нашей технологии заключается не в том, чтобы найти какие-то упоминания, упоминания, на сколько ты понимаешь, это океан, это бесконечное множество воды не интересной нам: кто-то упоминает какой-то банк, кто-то пишет, что ему не понравилось обслуживание.

Нам нужно найти иголку в стоге сена; мы находим именно сайты, где пытаются обмануть юзеров, это очень сложно и у нас для этого крутятся три нейронки в нашей системе, которые помогают нам определять критичность, риск каждого из сайтов. Первая из них, это некоторое компьютерное зрение, компьютерное видение, с помощью которой мы определяем использование логотипов, использование картинок и товарных знаков на ресурсе. Нам это дает знания, мы таким образом отсекаем просто упоминания. Второе – это скоринг самого домена, по нему как я уже сказал, можно много чего узнать, если он зарегистрирован недавно, если он на каком-то бесплатном регистраторе, если у него не работает SSL-сертификат, мы таким образом тоже можем отнести его к рисковым. И третья нейронка, которая у нас крутится, она определяет точки интереса. Она анализирует страницу целиком, смотрит, есть ли там какие-то кнопки типа «купить», «оставить свои данные», есть ли поле для ввода данных карты, определяет точки интереса и выносит свой финальный вердикт. И я тебе скажу, что нейронки, они чем-то лучше, чем люди. Т.е. иногда смотришь на два сайта и думаешь, что же в них общего, а на всех мошеннических сайта много чего общего, а нейронки очень помогают...

Да, есть такое. Но в работе, в сравнении двух сайтов, когда думаешь, что она нашла здесь общего и почему она подумала, что этот сайт мошеннический? Начинаешь выяснять и реально он оказывается мошеннический.

… Вот один кейс. На фишинговом сайте был футболист, который держал карточку «Подключайтесь, берите карточки нашего банка» - и нейронка нашла логотип банка на этой карточке в руке футболиста, на фотографии, т.е. человек никогда в жизни не заметил бы такой маленький, в несколько пикселей, а она поняла, что это что-то схожее с логотипом этого банка, который мы защищали. Т.е. по мне, это очень хороший инструмент, для того чтобы аналитики, и вот здесь как раз подходим к профессиям, для того чтобы аналитики нормально защищали клиента от всех этих цифровых рисков.

Понятно, что системы не могут быть идеальными, всегда есть анализ настоящими людьми и сложный случай, когда мы не можем понять, действительно ли это какой-то мошеннический сайт или это может быть официальная партнерка маркетингового отдела заказчика, тогда подключаются люди.

И эти же люди берут "в реагирование" ресурсы для блокировки таких сайтов. Мы работаем с регуляторами интернета, с хостинг-провайдерами, регистраторами. У нас, не соврать бы, около 12 сертификатов ВОИС, это Всероссийская организация интеллектуальной собственности, т.е. сотрудники юридически знают, на что можно опираться, когда блокируют такие ресурсы и контент таких ресурсов.

И в этом и есть профессия будущего, попробуйте представить, как можно заблокировать что-либо в интернете. Ну Илья понятно, ты знаешь, наверно, и о кейсах наших в курсе, но найти информацию, заблокировать ее и привлечь кого-то к ответственности, как обычно, в конце – это нетривиальная задача и этому нигде не учат. У нас нет специалистов, которые пришли бы после университета и сказали: «Мы все умеем, мы все знаем, нас этому учили». Нет, к сожалению, мы проверяем просто знания о том, как работает интернет, люди должны знать, что такое «хостинг», что такое «домен», как все это маршрутизируется, как все это работает, и обучаем всему сами. Т.е. у нас цикл хоть и небольшой, но без нашего обучения человек на входе не может почти ничего.

Да, это очень хороший старт, потому что знания, которые нужны нам они абсолютно минимальные, о том как работает интернет, и если ты действительно более менее технически подкован…

Ну я тебе скажу так, знания не уникальны, если ты готов, ты можешь это все легко найти в интернете, почитать, как это все работает, прийти к нам и рассказать. Да, может быть 6 часов, но ты попадешь в нашу компанию, а здесь тебя уже обучат новым вещам, уже совершенно уникальным и действительно, мы хорошая кузница кадров для Group-IB в целом, на сколько ты знаешь.

У нас около 70% девочек, это ну так вышло исторически. Не знаю, может быть знакомые приводили знакомых, но на самом деле кандидаты, которых мы на входе рассматриваем - примерно 50 на 50. Мы действительно кузница кадров, потому что люди, которые уже приобщились к культуре Group-IB, люди, которые поняли, с чем они борются, что такое зло, они приняли для себя, что они хотят этим заниматься.

Ну, я очень сильно порчу этот средний возраст, но в основном, аналитики, где-то второго, третьего курса. Люди понимают после первого курса, что хотят приобщиться к чему-то настоящему, хотят разбирать реальные кейсы. Я бы кстати не рекомендовал на первом куре сразу идти работать, надо немного закончить с общим образованием.

Ну на первом курсе все таки в основном общеобразовательная программа.

Да, знания обязательно английского нужны, потому что все общение с регуляторами оно всегда международное. Даже если вы защищаете российских клиентов, хостинг может быть в Китае, регистратор американский и администратор сайта в Таиланде. Соответственно всегда коммуникация идет на английском языке.

Да, готовы, у нас было несколько курсов для университетов, мы читали небольшие программы и просто базовые лекции посвящения в нашу специальность, для студентов Бауманки, Вышки, МГУ. И я сейчас может быть даже что-то еще забыл.

Но школьникам можно подготовить контент немножко попроще и мы с удовольствием им тоже можем провести. И вообще, как мне кажется, моя тема, именно как сделать так, чтобы, как минимум, самому не обмануться на том, что злоумышленники делают в интернете, это точно нужно читать в школе. Потому что как раз жертвами очень много школьников становится.

Конечно, вообще без проблем, конечно прочитаем.

Два раза, до сих пор, я не знаю, попался бы я или нет, меня паранойя спасает моя, как я говорил, уже 10 лет с лишним, в Group-IB, я знаю, как все это происходит, поэтому я надеюсь, что меня словить очень тяжело. А первый был случай, когда делал ремонт, нужно было заказать розетки. Ты если хочешь заказать розетки в интернете, там абсолютно какие-то неизвестные ИПшники предлагают все это купить с предоплатой, все, я не нашел ни один сайт, который может просто тебе привезти, и ты постфактум оплатишь. Ну и соответственно у меня сразу включилась паранойя, я не мог понять кто из них скам, кто из них настоящий, может у них просто индустрия так работает. Я поехал в конкретный магазин в офлайне заказал, мне дали счет-фактуру заказ-наряд, настоящий нормальный бумажный чек и вот так я, собственно, обошел эту историю, хотя наверно, мог бы и потерять эти деньги. Второй был случай, когда один известный блогер разыгрывал свой автомобиль в кооперации с банком, тоже очень известным. Я думаю, так я же клиент банка, я могу поучаствовать, там нужно было залогиниться и поучаствовать в розыгрыше. И я понял, что это не официальный домен, это промо-компания, где был длиннющий домен, где чуть ли не транслитом «розыгрыш бмв м5.ру» и туда нужно было вставить логин-пароль от своего интернет-банкинга. Я соответственно запаниковал, включил свою паранойю и не стал оставлять. Хотя может быть это была настоящая компания, но я не стал рисковать.

Ну видишь, в кооперации с банком я бы рекомендовал банкам, как минимум, на своем домене такие промо-компании делать, потому что люди, которые разбираются в том, куда они оставляют свои платежные данные, я бы не участвовал в этом розыгрыше, а у них, соответственно падает охват и промо-компания не работает.

Ты знаешь, спам остался, такой олд скул метод, который я думал уже не работает, но скамеры его как раз используют. Это одно из средств привлечения трафика. Естественно покупают рекламу, раскручиваются, чтобы появляться в поисковике прям в выдаче на первых позициях, используют соцсетки, мессенджеры и по старинке, спам. Рассылают письма просто на рандомные ящики, купленные большими базами данных, с какими-то оферами, предложениями купите, поучаствуйте.

Еще, если они знают, что база данных какой-нибудь компании, например, банк или ритейл, они делают специальные сдизайненые письма со специальными предложениями и для того, чтобы фиксировать и находить такие сайты мы делаем специальные ловушки для этого спама, специально создаем почты супер плохо настроенные, везде их постим. Нам начинает приходить этот спам, мы его естественно с удовольствием весь берем и это является очень важным источником для нашей системы, она уже потом анализирует, что же там за ссылки они отправляют, на какие ресурсы они потом гонят людей, как они дальше людей пытаются обмануть. Это очень популярно на данный момент, хотя, казалось бы, уже все, я думал спам уже не так сильно популярен.

Да, ты знаешь, это самая обидная и грустная история, когда действительно, на самом больном пытаются заработать. Есть официальные фонды, есть их официальные сайты и под них часто мимикрируют злоумышленники. Они также привлекают туда трафик рекламой, пытаются какие-то картинки оттуда забирать с какими-то больными детьми и соответственно обманывать людей, которые отправляют деньги не туда. Мы защищаем несколько таких фондов, видим огромное количество нарушений, вот этих поддельных сайтов. Для меня это одна из самых важных частей в нашей работе, в том числе, потому что, представляешь, человек, который не просто захотел что-то купить или попытаться испытать удачу и выиграть автомобиль, а они реально хотели помочь другим людям. Ну и соответственно сайтов таких огромное количество. Мы защищаем сейчас 3 фонда, это фонд противодействия раку, Фонд Хабенского и Фонд Чулпан Хаматовой «Подари жизнь».

Да, мы первый в мире саммит, посвященный диджитал рискам, делаем из Амстердама, потому что огромное количество экспертов рынка, экспертов этой индустрии – борьбы со скамом, находится именно в Голландии. Так вышло, даже если компания, например японская и штаб-квартрира у них в Японии и все представительство там, то люди, которые занимаются борьбой со скамом и противодействием мошенничеству с их брендом находится в Амстердаме, так исторически повелось. Мы пригласили нескольких клиентов, нескольких экспертов рынка, несмотря на то что там довольно серьезные противковидные меры, они пришли к нам в студию, с соблюдением всех, естественно, защитных мер и выступили прям в онлайне. Мы расскажем про ландшафт угроз, которые есть у нас в диджитал среде, это как раз про скам, с примерами фишинга, с примерами того, как выглядят эти сайты, как происходит сам обман и про тренды.

Потому что тренды есть, преступность меняется, как я уже сказал, она становится более организованной, более серьезной, у них серьезные деньги и серьезные технологии. Эксперты рынка расскажут свое мнение про эту преступность, про эти угрозы. Кто-то их них по-другому классифицирует виды угроз и расскажет свое мнение, тоже интересно послушать других экспертов. Будут заказчики, которые имеют в своем штате специалистов, которые занимаются борьбой со скамом. Т.е. это люди, которые пользуются кучей инструментов, в том числе и нашей системой для того чтобы защищать свой бренд от подобных атак. Это будет нидерландский банк, они расскажут свою экспертизу, именно связка борьба со скамом и Threat Intelligence. Это очень интересный заказчик, они довольно зрелые в этом плане.

Это киберразведка, это атрибуция…

Это информация о том, кто вас атакует и атрибуция этих группировок, которая позволяет вам в дальнейшем защититься от подобного рода угроз простыми советами, которые есть, в том числе в наших отчетах, которые ты уже упоминал. А борьба со скамом – это защита не своей инфраструктуры, а юзеров своего бренда. Это немножко разные области, некий внешний периметр и внутренний, как мы его разделяем. И связка вот этих двух продуктов работает очень хорошо, очень часто эти аналитики, которые на стороне заказчика контролируют работу двух этих систем – это одни и те же люди. И вот в IBN AMRO они рассказывают о том, как они построили себе эту систему, как они построили эту работу, как они это все организовали и как они пользуются разными системами, очень интересно тоже будет.

Мы там представим также наш продукт, прям со скринкастом, покажем в live интерфейс, мы покажем кейс с ООН, который у нас был в конце апреля, когда на всемирную организацию здравоохранения создали огромное количество поддельных сайтов, где можно было пройти простой опрос и получить деньги якобы в поддержку, в ковидные времена. Мы соответственно все это выявили и заблокировали, недавно был релиз на эту тему и вот они решили с нами тоже выступить и на этом примере мы покажем работу в нашей системы. То, как она работает, то, как она все это выявила и как мы это заблокировали. Саммит этот будет впервые, но на нем мы расскажем наш манифест, это то, что нужно объединяться всем людям, которые борются со скамом, что нужно обмениваться данными, обмениваться технологиями и атрибуцией тех, кто атакует компании. Объединяться в реагировании, потому что есть некоторые абузоустойчивые хосты, регистраторы и для того, чтобы правильно юридически на них воздействовать нужно большое количество пострадавших. Мы соответственно тоже к этому призываем. И третье – это то, что мы заявляем впервые, так называемый Scam Intelligence, т.е. есть Threat Intelligence, как я сказал, – разведка, а здесь именно исследования того, как работает скам и кто же эти атакующие. Мы добавляем этот раздел в нашу систему и призываем людей атрибутировать тех, кто их атаковал, обмениваться этими данными, потому что, возможно, это одни и те же люди, и делать уже совместные какие-то уголовные и юридические крупные кейсы с посадками.

Да, в 2020 году довольно популярная история была – схема, так называемую «Белого кролика». Это многоступенчатое мошенничество, когда человека заманивают каким-то простым очень опросом и ведут несколькими касаниями до самого мошеннического сайта. Знаешь, есть в маркетинге такое понятие «количество касаний», которое нужно провести для того, чтобы человек что-то купил, например новый iPhone.

Вот злоумышленники подсмотрели то, как делают официальные компании, то как делает нормальный бизнес и они стали вести человека от безобидных каких-то опросников, через репосты в WhatsApp, на мошеннический сайт через 5 касаний. Пять касаний эти, они очень безобидные, нигде не просят предоставлять какие-то данные, ни карты, ни телефон, ни пароли. И человека ведут долго и даже технически подкованные пользователи, у них как-то замыливается глаз и они в конце концов, в финальной стадии, они уже не могут поверить, что после того сколько с ними коммуницировали их попытаются обмануть. Мы называем эту схему «Белого кролика», потому что, помните, в «Алисе в стране чудес» сказка начиналась с того, что Алиса побежала за кроликом и сама не понимала почему. То ли он из-за того, что у него часы есть, то ли, потому что он в костюме, то ли, потому что он на человеческом языке разговаривал. Нам это очень понравилось, и мы решили назвать эту схему так, потому что пользователь, он как Алиса, он не понял, почему он вообще пошел за этим кроликом, а очнулся уже в этой черной норе. Это было очень популярно, мы, кстати думали, что вот такой тренд мы зацепили в самом начале и он еще не скоро будет большой охват иметь. Но в этом 2021 году почти все мошенничество происходит так, через несколько этапов. Никто не кидает тебе фиш напрямую сразу, чтоб ты через рекламу сразу попал на фишинговый сайт. Сейчас уже люди более-менее технически подкованы, они вот прям с ходу сразу данные своих карт не оставляют. А когда с ними долго взаимодействуешь они на это уже ведутся. Что мы увидели в 2021 году – это персонализация мошенничества, в целом. Это прям новая парадигма.

Смотри, я хочу привести пример тоже с маркетингом, потому что злоумышленники, они как маркетологи привлекают трафик. Трафик для них – самое главное, это потенциальные жертвы и раньше, если ты помнишь, kpi у маркетинга в разных компаниях был охват. Вот злоумышленники тоже считали, вот у нас пришло на сайт 100 000 человек. Сейчас они поняли, что прожигать бюджеты так – не эффективно, они начали это все сегментировать. Они начали выбирать тех кому отправить такой скам, другой скам и соответственно если ты – человек, который гуглишь билеты в Питер, они тебе подсунут сайт, поддельный сайт железнодорожной компании всем известной.

Ну я не хочу называть бренд

Мы видим, что этих людей сегментировали, они не присылают этот поддельный сайт железнодорожной компании всем, они предлагают его только тем, кто гуглит билеты в Питер.

Второе – они это делают персонализировано: ты гуглишь билеты в Нижний Новгород, тебе подсовывают сайт с предзаполненной уже заявкой, когда там этот поезд идет, тебе остается только кнопочку «оплатить» нажать. Они довольно круто все это автоматизировали. Если гуглишь Питер, тебе предлагают Питер. Если ты клиент известного красного ритейла, магазина электроники, то они тебе туда персонализированное предложение по покупке телевизора предложат.

Более того эти ссылки работают только один раз, у конкретного человека которому они отправляются, там огромное количество параметров зашито – его устройство, его айпи, его оператор связи… даже тайм-метка, ссылка работает 10 минут, например. Когда ты начинаешь искать автоматизированными средствами – по доменам, как олдскульные вендора любят делать, такие сайты просто не найти.

Нужно прикидываться таким безобидным пользователем, лояльным, который кликает все подряд, везде переходит, мы как раз эмулируем действия такого пользователя, некой Алисы, которая бегает за любыми "кроликами" и попадаем на эти ресурсы, только тогда мы можем собрать доказательную базу, потому что иначе, даже если перейти по этому домену на корневой каталог, будет редирект на официальны сайт. В этом случае ты доказательства не соберешь, и регулятора не можешь убедить в чем там нарушение. Регулятор тоже получает от нас инструкцию, как получить доступ к этому контенту фишинговому или скамерскому. Ты же понимаешь зачем это делают, чтобы ресурс дольше жил.

В конечном итоге, чтобы ты его дольше находил, пользователи, которые наткнулись на ссылочку с персональным предложением, даже если где-то жаловались, у людей открывался официальный сайт. И когда отправляешь это регулятору, он видит официальный сайт, и им нужно изучить инструкцию, как эмулировать действия пользователя, чтобы получить мошеннический или фишинговый контент. Из-за этого ресурс работает вместо нескольких минут несколько дней, собирая большее количество жертв. Мы с этим боремся, общаемся с регуляторами, чтобы они понимали, куда идет движение, куда идут тренды, слушали нас, изучали наши исследования и понимали, как реагировать на подобные нарушения и естественно озадачиваем наши системы, чтобы они их выявляли.

Ну давай к рекомендациям, мне кажется уже самое время, у нас много сейчас слушателей. Первое, что я советую - это пользоваться сайтами, которые вам давно известны. Всем известны официальные сайты банков, всем известны ритейл-сети, которые продают продукты, электронику или лекарства. Не вестись на какие-то новые названия. Может быть я не даю раскрутиться какому-то новому бизнесу, но так и есть, потому что с ходу, за один день такие сайты не появляются. Вторая рекомендация - даже если вы знаете этот бренд, проверить сам сайт, домен, адресную строку прям по буквам сверить. Могут быть местами буквы поменяны. Вчитаться и посмотреть, уверены ли вы в том, что этот ресурс тот самый. Третье – погуглить, может быть вы ошиблись и не увидели эту смену букв, может уже где-то плохие отзывы. Четвертое, тоже уже об этом говорили - посмотреть whois, если сайт создан недавно и там private person в виде администратора, то тоже лучше обойти стороной. И пятая рекомендация – завести…

Да, конечно, мы это сделаем. И да пятая, рекомендация — это завести карту для платежей в интернете, иметь там небольшое количество средств, может быть даже на конкретную покупку, которую вы сейчас хотите сделать, не больше. Может быть даже виртуальную карту, сейчас многие банки позволяют это сделать, и, если хотите попытать удачу, оплатить на сомнительном сайте, платите с нее. Это будет жертва в ту сумму, которую вы нажали оплатить, а не все деньги в день зарплаты. Это 5 главных рекомендаций, которые я могу дать.

Инвестиционные рекомендации я не буду давать, но если все-таки подумали куда-то инвестировать, вложить деньги в фонд или в какое-то ICO, я бы проверил ресурс, потому что мы уже несколько лет, а точнее 3, защищаем огромное количество ICO и фондов и бирж, и вообще в принципе криптовалютную индустрию от поддельных сайтов. В момент ICO, когда закрывается кард кап за 10 минут, люди, потенциальные инвесторы, точнее инвесторы, они в ажиотаже пытаются закинуть туда деньги, сидят в этих чатах, где сидят все потенциальные инвесторы, кликают все ссылки подряд и из них 90% фишинговые. И вы отправляете крипту не на тот криптокошелек и становитесь не акционером и инвестором в это ICO, вы не отправляете деньги в этот фонд или на эту биржу, деньги просто уходят злоумышленнику. По криптовалютной индустрии количество сайтов-нарушителей каждый день даже больше, чем у топовых банков России.

Да, мы можем. Я расскажу пример, где в эдвайзерах одного криптовалютного стартапа был ты. Но ты там на самом деле не был. Если помнишь такой ресурс, который мы нашли, защищая твой бренд, твое лицо, физическое лицо, мы обнаружили использование твоего имени, твоей фотографии в каком-то криптовалютном стартапе, якобы ты эдвайзер по информационной безопасности. Естественно, ты там не был, это был скамерский сайт, мы соответственно его заблокировали, не дали людям потерять деньги, а тебе твою репутацию.

Да, можно подписаться на канал «МемыСкрепы».

Начну с селебритис, если уж ты тоже с них начал. Они не сама цель, они средство привлечения трафика, как я уже говорил, потому что люди их знают, лица всем известные, они часто даже вызывают доверие.

Селебы, соответственно, вызывают доверие у пользователей, и, если происходит какой-то розыгрыш/give away, злоумышленники стараются использовать их лица. В этом случае мы, конечно, рекомендуем защищать свои лица, свой личный бренд от использования, потому что все претензии и потери пользователей будут и весь негатив будет нацелен на селеба; потому что никто не будет понимать, что его лицо просто использовали без согласия - и соответственно будут предъявлять какие-то претензии по поводу того, что он предлагал куда-то инвестировать или разыграть какой-то автомобиль или получить денежные средства в заведомо обманную историю.

Что мы, соответственно, видим? Огромное количество известных людей просто используют для раскрутки своих сайтов, в том числе, и даже твоё. Мы видели раскрытую ICO стартапа, где ты был, якобы эдвайзером, огромное количество людей тоже популярных, это могут быть блогеры или ведущие, или певцы - тоже, естественно, привлекают трафик на сайты злоумышленников своими поддельными фотографиями, советами, может быть, даже поддельными аккаунтами в социальных сетях.

Что нужно делать обычным людям? Что такое поддельный аккаунт какого-то известного человека? Фейковый аккаунт этого известного человека по аудитории фактически СМИ: это огромное количество подписчиков, это огромное количество читателей, которые репостят, они думают, что это настоящий человек, а этим аккаунтом на самом деле владеют злоумышленники, а очень даже долго они могут, на самом деле, просто вести копию настоящей странички, не занимаясь никакой мошеннической деятельностью.

Набрать аудиторию, как помните, там "Усы Черчесова" или кейс с "Макдональдсом", когда пранкеры вели 2 года неофициальный канал "Макдональдса" и реально выкладывали новости, новые бургеры и прочее, а потом начали какие-то националистические высказывания писать. Подумали, что аккаунт "Макдональдса" взломали, на самом деле это был всего лишь пранк: люди создали этот аккаунт и вели его 2 года как настоящий. Мы, соответственно, рекомендуем людям, которые имеют большую аудиторию, у которых огромное количество подписчиков, верифицировать свои аккаунты, потому что таким образом люди будут знать, на какой из аккаунтов, который выдаётся в поиске, им подписываться. Если вы аккаунт свой не верифицируете, то может быть такое, что у вашего фейка подписчиков может оказаться больше, чем у вас самих.

Вы интересная личность, вы интересное лицо, звезда, люди будут искать, а вы, например, не присутствуете в интернете, не присутствуете в социальных сетях, не ведёте свои аккаунты, но вы популярны и, соответственно, злоумышленники будут это использовать и даже несмотря на то, что вы ничего этого не хотите, у вашего поддельного аккаунта будет очень много подписчиков. Соответственно, если вы встретились с вашим фейком, мы рекомендуем — это уже ко второй части твоего первого вопроса - мы рекомендуем обращаться в техподдержку тех самых социальных сетей, в которых вы это обнаружили.

Во-первых, попросить галочку, раз вы с такой ситуацией столкнулись, значит, вы все-таки популярны и наверное, вам стоит ее дать. Второе - попросить заблокировать такой аккаунт, но там, единственное что, придётся прислать какое-то подтверждение, что вы это вы. Что вы настоящий владелец этого аккаунта, фотографию с паспортом, селфи тоже с паспортом, таким образом вы докажете, что вы то самое лицо, которое выложено на этих фотографиях, его верифицируют. У нас был кейс, когда подписчиков фейка объединили с подписчиками настоящего аккаунта, это стал один большой аккаунт, человек был очень нам благодарен. Но это вы можете сделать сами, написать в техподдержку, грамотно составить письма и грамотно ведите общение. По поводу твоего второго вопроса, зачем делают это в Тиндере, во-первых, у тебя красивые фотографии, они просто хотят выглядеть круто.

Это предположение. Второе – это может быть разного рода развод. Мы видели истории, когда долго общаются на обычные темы в беседе.

Ну вот что-то типа такого, да. Или например: «я занимаюсь этим бизнесом, создаю фермерский сок в бутылках из стекла, вот мой сайт, поддержи, купи». Это может быть раскрутка какого-то бизнеса. Он может быть легальным, но то, как они его раскручивают, это нелегально.

Я сейчас ищу аналитиков. Нам требуются люди со знанием английского языка, которые разбираются в интернете. У нас сейчас порядка 6 (шести) вакансий на эту должность, мы рассматриваем как более-менее состоявшихся людей, которых не нужно с нуля учить, так и совсем новичков.

Разработчики PHP, Python. У нас есть отдел scam intelligence, изучает скам и преступность и преступные группировки. Нам требуются расследователи-исследователи, ресерчеры. Мы готовы инвестировать свое время и знания в то, чтобы эти люди становились крутыми специалистами и нам требуются маркетологи.

Дизайнеры нам всегда требуются. Это мы сейчас пойдем по всем вакансиям Group-IB, но в мое конкретное направление – аналитики, разработчики PHP, Python, маркетологи, милости просим, рассмотрим всех. И кстати, мы можем стажировки тоже проводить.

Конечно, хорошие. Они понимают, на что можно опираться, когда обманывают людей. На что-то животрепещущее, срочное, ажиотаж, и делать так, чтобы люди не заподозрили. Я расскажу пример веселый.

Главный совет - не пытайтесь отправить деньги кому попало в интернете, включите паранойю, как у меня включена уже 10 лет, я вам реально это советую.

А пример могу привести, что мне одна знакомая девочка сказала, что у нее мама повелась на скам. Ей пришла смска, что у нее отрицательный баланс и нужно пополнить по вот этой ссылке. Ссылка соответственно была скамерская, деньги ушли не туда. Она говорит, представляешь, деньги отправила не туда, читает смску, а там другой оператор связи. Она не является их клиентом, она просто из-за того, что была в какой-то запаре или чем-то другим занималась, получила такую смс, сразу кликнула, хотя там был не тот оператор связи, чьим клиентом она является. Это в здравом уме, казалось бы, никогда в жизни не совершишь. Но совершают и это прям конкретные примеры среди моих знакомых.

У нас и интернациональные hr-специалисты вроде нужны и в России рекрутеры, по-моему много.

Тоже раздел «Карьера», можно отправлять туда свои резюме с пометкой, что это стажировка, может быть какая-то «практика», мы готовы чему-то самому простому учить, конечно без доступа к каким-то секретным данным, к нашим системам, но как минимум, погрузиться в то, чем мы занимаемся и чем-то нам даже помочь.

Всем пока!