РУССКИЙ
РУССКИЙ
ENGLISH
07.06.2022

Scamopedia: мошенничество с онлайн-играми

Евгений Егоров
Ведущий аналитик департамента DRP Group-IB
Яков Кравцов
Руководитель отдела исследования цифровых рисков DRP
Специалисты Group-IB Digital Risk Protection обнаружили новые мошеннические схемы, связанные с пополнением счета в магазине PlayStation Store и продажей игровой валюты в популярной мобильной игре Brawl Stars. Всего эксперты выявили около 250 мошеннических ресурсов известных брендов и разработчиков игр, куда злоумышленники нагоняют трафик. Мошенники или траферы в данной схеме, используя рекламу, заманивают пользователей на сайты, где обещают бесплатно сгенерировать различные бонусы для игр или онлайн-сервисов. Цель подобных сайтов - перенаправить пользователей на партнерский ресурс, в котором он попадет на рекламный баннер, фишинговый сайт, мошеннический сайт c опросом или сайт с ВПО. Такой нелегитимный способ привлечения трафика приносит заработок авторам подобных сайтов.

И снова ваучеры 

Фишинговый сайт магазина PlayStation Store был обнаружен в конце мая в ходе исследования сети мошеннических ресурсов, торгующих фейковыми виртуальными картами. Проблема с официальной оплатой в PS Store возникла после того, как 10 марта Sony остановила продажи консолей и работу своего виртуального магазина в России. Теперь злоумышленники предлагают россиянам приобрести подарочные карты-ваучеры для пополнения счета в PlayStation Store. 

Стараясь создать искусственный дефицит (и заработать больше!), владельцы фейковых сайтов уверяют, что карт номиналом 500 рублей, 1000 рублей, 1500 рублей и 2000 рублей якобы уже нет в наличии, в продаже остались только ваучеры на сумму от 2500 до 6 000 рублей. В ход идет социальная инженерия: ресурс публикует отзывы «счастливых» геймеров, якобы купивших карты. Это усыпляет бдительность новых жертв.
Заманив пользователей, мошенники перенаправляют их на фиктивные шлюзы оплаты — таким образом похищают данные банковских карт и снимают деньги. Анализ веб-сайта лишь одного подобного сайта с помощью графа сетевой инфраструктуры Group-IB выявил, что ресурс связан с целой сетью мошеннических сайтов, нацеленных на пользователей в России.
Заманив пользователей, мошенники перенаправляют их на фиктивные шлюзы оплаты — таким образом похищают данные банковских карт и снимают деньги. Анализ веб-сайта лишь одного подобного сайта с помощью графа сетевой инфраструктуры Group-IB выявил, что ресурс связан с целой сетью мошеннических сайтов, нацеленных на пользователей в России.

Все, что не по трафику

Исследуя мошенническую кампанию, направленную на геймеров, специалисты Group-IB обнаружили повышенную активность траферов. Мошенники-траферы, используя фиктивную рекламу, заманивали пользователей на свои сайты, где обещали бесплатно сгенерировать различные бонусы для игр или онлайн-сервисов. Цель подобных сайтов - перенаправить пользователей на партнерский ресурс, в котором он попадал на рекламный баннер, фишинговый сайт, мошеннический сайт c опросом или сайт с ВПО. Такой нелегитимный способ привлечения трафика приносит существенный заработок авторам подобных ресурсов, а пользователям в лучшем случае безрезультатно затраченное время, а в худшем потерю учетных данных и денег.

По данным аналитиков Digital Risk Protection Group-IB, только к середине мая 2022 г. было выявлено 246 ресурсов, на которых располагались страницы эксплуатирующие имена всемирно известных продуктов и компаний. Около 160 ресурсов представляли знаменитые бренды и 115 популярных разработчиков игр и онлайн-сервисов. Суммарное количество посетителей этих сайтов составило более 2,2 млн человек в месяц.
В целом, по данным Group-IB, мошенническая схема затрагивает различные индустрии, но чаще всего траферы создают фейковые веб-сайты под брендами мобильных игр, особенно популярных среди детей.
246

доменов
160

брендов
2,2 млн

посетителей в месяц
Траферы привлекают людей на свои сайты через социальные сети, Телеграм-каналы, блоги и таргетированную рекламу. Они стараются убедить целевую аудиторию в работоспособности подобных сайтов, рассказывая, как легко с их помощью «хакнуть» игру или получить бонусы.

Мошенническая схема затронула различные индустрии. Больше всего в данной схеме мошенники создают сайты под брендами мобильных игр, особенно популярных среди детей К примеру, Brawl Stars, где игрокам могут предлагать игровую валюту со скидкой, значительно дешевле, чем во внутриигровом магазине. Далее обычно запрашивают данные для входа в учетную запись, например, Google Play или Apple ID, чтобы получить впоследствии к ней доступ.
Индустрии, бренды которых пострадали от мошеннической схемы

Как работает схема

Пользователь, переходя из рекламного объявления или блога, попадает на страницу, стилизованную под известный бренд. Ему предлагается ввести свои личные данные, например, никнейм из сервиса или игры, выбрать операционную систему, а также бонусы для зачисления. Очень часто на подобных онлайн ресурсах присутствует фейковый чат пользователей сайта, где они обсуждают результаты работы сайта и его тематику.

Сайт имитирует подключение к службам сервиса или игры, проверку никнейма и генерацию бонусов. После «успешной генерации» пользователь получает сообщение о том, что для завершающего этапа получения бонусов необходимо перейти по ссылке на сайт-партнера. Перейдя по ссылке, пользователь попадает на рекламные объявления, сайты опросники или фишинговые сайты, обещающие большой выигрыш и другие схожие ресурсы.

Партнерские мошеннические сайты

Контент по ссылке может различаться в зависимости от региона из которого подключается пользователь. Пользователей из России зачастую переводят на мошеннические сайты-опросники, различные рекламные баннеры, фишинг или сайты с ВПО. Из стран Европы наиболее часто переводят на подписки различных сервисов, розыгрыши крупных призов или бонусные карты бытовых магазинов. А переходя из Азии может запуститься установка сторонних расширений для браузера, появиться реклама региональных магазинов, доставка ценных призов или реклама казино и бинарных опционов.

В большинстве случаев, после прохождения опроса или заполнения всех полей на рекламном сайте, происходит редирект на другие подобные сайты. Где-то выдается ошибка о том, что произошел сбой и необходимо перейти на другую страницу или же просто происходит переадресация на другую рекламную страницу.

Траферы зарабатывают за счет того, что привлекают пользователей на фейковые сайты. Потраченное впустую время не самая главная угроза для пользователя на этих сайтах. Посещая мошеннические ресурсы, неопытные пользователи рискуют стать жертвой фишинга, занести на свое устройство нежелательное ПО или подписаться на спам.

Все эти сайты создаются для одной цели, имеют одну стилистику и принцип работы. В открытом доступе можно найти информацию по работе с данной схемой. Конкретно в данной теме участвует одна арбитражная площадка - CPA Build.

CPA Build - это партнерская программа, основным направлением которой является content locker. Content locker - это всплывающие баннеры или сообщения, которые перекрывают кликабельный и визуальный доступ к контенту на странице сайта.

На данной платформе уже имеются лендинги под игры, накрутку подписчиков в соцсетях и подарочные карты. Для траферов есть все необходимые инструменты для сбора трафика. На платформе ему необходимо выбрать тему, по которой он будет работать, лендинг сайта, который там есть и подобрать офферы, которые будет выполнять. Ему остается только привлекать целевую аудиторию на сайты. Траферы зарабатывают с переходов по ссылкам. Они только исполнители, которые привлекают и вводят в заблуждение людей. Потраченное впустую время не самая главная угроза для пользователя на этих фейковых сайтах. Посещая эти сайты, неопытные пользователи рискуют стать жертвой фишинга, занести на свое устройство нежелательное ПО или подписаться на спам.

Как не стать жертвой мошенников

Чтобы не стать жертвой мошенников, необходимо пользоваться исключительно официальными ресурсами и игровыми магазинами и не оплачивать покупки на незнакомых сайтах. Проверять информацию необходимо на верифицированных аккаунтах разработчиков игр в социальных сетях, обращая внимание на доменные имена при переходе на сайты — ведь мошенники часто используют созвучные с брендом доменные имена.

Рекомендации для пользователей
  1. Проанализируйте полученную информацию из социальных медиа и открытых источников. Чаще всего бесплатное получение чего-либо - это обман.
  2. Ищите информацию об акциях и особых предложениях на официальных источниках или у официальных представителей. Проверяйте информацию на официальных сайтах или верифицированных аккаунтах компаний в социальных сетях.
  3. Обращайте внимание на доменные имена при переходе на сайт. Мошенники часто используют созвучные с брендом доменные имена.
  4. Вводите конфиденциальную информацию о себе, банковской карте и своем аккаунте только на проверенных сайтах или в официальных приложениях.
  5. Узнавая о новой возможности в игре или приложении не из официального источника поищите больше информации по этой теме. Чаще всего уже есть люди, которые с этим сталкивались и поделились своим положительным или отрицательным опытом.
Рекомендации для правообладателей
  1. Проводите мониторинг и анализируйте жалобы пользователей и клиентов.
  2. Осуществляйте поиск интернет-ресурсов на предмет неправомерного использования брендов, логотипов, фирменных цветов компании.
  3. Для предотвращения неправомерного использования своей интеллектуальной собственности используйте решения продукта Digital Risk Protection (DRP), которые позволяют оперативно отслеживать угрозы бренду в онлайн-пространстве и отправлять их на блокировку, а также выявлять и ликвидировать всю инфраструктуру мошенников.


Выявление и устранение цифровых рисков на основе искусственного интеллекта

Group-IB Digital Risk Protection