РУССКИЙ
РУССКИЙ
ENGLISH
14.10.2021

Fake Date и разбитое сердце

Group-IB исследовала мошенническую схему с приглашениями на лжесвидания
Юлия Зинган,
аналитик CERT-GIB
Красотку из Tinder звали Анна: "Я в тиндере всего день, не привыкла общаться в интернете и тем более знакомиться:) Я больше за живое общение. Но у меня щас неделя сильно загружена… Завтра правда немного времени найдется, иду на спектакль в 8 вечера, если хочешь можем сходить вместе!". Чтобы пойти на свидание, нужно было купить билет — Анна сама скинула ссылку на сайт театра....

Но горькая правда в том, что никакого первого свидания в партере не будет, деньги, перечисленные за билет, украдут, а Анна больше не выйдет на связь. Так работает популярная мошенническая схема Fake Date (с англ. — фейковое свидание).
Первые массовые случаи использования в России схемы Fake Date с приглашением на лже-свидания специалисты Group-IB фиксировали еще в 2018 году после обращений обманутых пользователей.

Тогда в соцсетях или на сайте знакомств симпатичная девушка приглашала кавалера в "антикино" — кинотеатр с отдельными романтическими залами для двоих — и просила купить два билета онлайн на сайте. Естественно, сам ресурс оказывался фишинговым, данные карты и деньги похищались. После того как эксперты Group-IB предупредили об опасности, «засвеченная» афера практически перестала использоваться.

Однако, всплеск интернет-мошенничеств в период пандемии, появление новых инструментов для генерации фишинговый сайтов, использованием переводов card-to-card, привело к тому, что схема с фейковыми свиданиями в настоящее время переживает "второе рождение".
Для сравнения: если в 2019 году под схему Fake Date было зарегистрировано всего 25 фишинговых сайтов, то в 2020 году их было уже 263, а в 2021 году — 428 доменов. В этом году самым популярным местом для "свидания" у мошенников оказались театры и стендап-шоу (60%). Чуть меньше приходится на долю фейковых сайтов ресторанов, СПА и кальянных (35%), а вот тема с кинотеатрами после «засветки» исследователями практически себя изжила (менее 5%).

Независимо от места для романтической встречи cценарии везде примерно одинаковые: симпатичная девушка знакомится в сервисах Tinder, Badoo или соцсетях с кавалером, быстро переводит диалог в мессенджер (обычно, Telegram) и сама приглашает на свидание. Как бы случайно у «девушки» оказывается билет на какой-то спектакль или на выступление звезды разговорного жанра — якобы подарили на день рождения, мама заболела и не смогла пойти, больше не с кем пойти и прочее.

Она скидывает QR-код своего билета и предлагает купить место рядом с ней, а также направляет ссылку, где можно билет приобрести. Пользователь оплачивает «билет» — теряет деньги, а девушка больше не выходит на связь. В некоторых случаях, воспользовавшись доверчивостью жертвы, злоумышленник может подвести к еще двум-трем списаниям средств под предлогом необходимости покупки еще одного билета или возврата денег.
Работая по схеме Fake Date, мошенники, как правило, предварительно пытаются узнать интересы своего собеседника, составить его психологически портрет, и исходя из этого предлагают ту или иную «наживку» Например, цены «билетов» в театр ( 2500 рублей в партере до 5500 рублей в VIP-ложу) более демократичные, чем билеты в «антикино» (4900 -6900 рублей), но жертве придется заплатить трижды: — при "оплате" своего билета, второй раз — при незапланированной покупке еще одного билета, например, для «подруги» и третий — при оформлении возврата.
На основе обращений граждан, графового анализа, а также исследований преступных сообществ специалистам CERT-GIB удалось выявить больше 716 причастных к Fake Date доменных имен, почти 60% которых были зарегистрированы с начала 2021 года.

Но это только верхушка айсберга. В ходе исследования аналитики обнаружили связи доменных имен фишинговых сайтов из схемы Fake Date с ресурсами из популярной схемы «Курьер» (или «Мамонт»), нацеленной на кражу денег и данных банковских карт пользователей с помощью фейковых сайтов популярных курьерских служб и маркетплейсов. Более того, в некоторых случаях сайты были зарегистрированы одними и теми же людьми.
Схема связанных доменов, выявленных системой графового анализа сетевой инфраструктуры Group-IB
Любопытно, что схема FakeDate практически полностью переняла у «Мамонта» иерархию, техническую базу, модель функционирования и даже слэнг («мамонтом» на языке мошенников называют жертву). Вся работа рядовых участников (воркеров) координируется через Telegram, где созданы специальные чат-боты с готовыми фишинговыми сайтами под различные площадки — кинотеатры, театры, рестораны, кальянные, генерацией билетов, чеков, подробными скриптами.

Для продвинутых скамеров налажена продажа записанных «голосовушек» — аудио и видео сообщений от лица девушек, предлагающих сходить на свидание. Кроме того, существуют отдельные каналы с информацией о выплатах и чаты для общения "воркеров". Все необходимые продукты, включая ботов в Telegram, продаются "под ключ".

Набор в команды ведется на тематических форумах и обещает будущему "воркеру" большие деньги без каких-либо вложений, а также обучение новичков и полную поддержку в ходе работы. Согласно данным одного из скам-проектов, за год выручка лишь одной группы составила более 18 миллионов рублей при более чем 7 000 транзакций. Похищенные деньги поступают на карты или кошельки админов, которые выплачивают воркерам процент (от 70 до 85%) от каждой транзакции. При оплате жертвой возврата, часть суммы получает "прозвонщик" из технической поддержки. Для присоединения к команде, как и в случае с "Мамонтом" необходимо пройти небольшое, достаточно формальное, собеседование.
Эксперты Group-IB рекомендуют не оплачивать покупки на незнакомых сайтах, не переходить по ссылкам, которые присылают неизвестные, приобретать билеты самостоятельно и только на проверенных ресурсах.

Тщательно проверяйте доменное имя ресурса, на котором находитесь, и, если оно отличается от оригинального или просто кажется вам подозрительным, — не стоит ничего покупать или заказывать.

Включите двухфакторную аутентификацию для всех аккаунтов, где есть такая возможность. Необходимо регулярно обновлять браузеры до последних версий и устанавливать обновления безопасности.

Не разглашайте своих персональных данных или реквизитов банковской карты. Сами перезвоните по официальным номерам или дойдите до офиса компании.

Для пресечения подобных «продвинутых скам-схем» классического мониторинга и блокировки брендам уже недостаточно — необходимо выявлять и блокировать инфраструктуру преступных групп, используя решения Digital Risk Protection .