Ключевые этапы мошеннической схемы с "инвестициями"
Ярослав Каргалев
заместитель руководителя CERT-GIB
Весной 2020 года началось стремительное падение ставок по банковским вкладам: антирекорд ключевой ставки ЦБ был поставлен в мае позапрошлого года — 4,2%. Это привело к тому, что традиционные банковские вклады перестали приносить доходы и стали абсолютно непривлекательными для вкладчиков. Опасаясь оттока клиентов, банки начали активно продвигать свои инвестиционные платформы, позволяя даже людям с минимальными знаниями в трейдинге торговать акциями. Естественно, сказочно разбогатеть, да еще быстро и с минимальными вложениями, удалось не всем. А точнее — никому.
Однако, наблюдая огромное количество финансовых неофитов с туго набитыми карманами, мошенники запустили свои инвестиционные и криптовалютные проекты, обещающие сверхвысокие заработки от купли-продажи акций или торговли на несуществующих криптобиржах. Хотя сами схемы с поддельными инвестиционными проектами работают в текущем виде как минимум с 2016 года (примерно в это время ЦБ начал бороться с различными проектами форекс-дилеров), массовое распространение они получили только в 2020-м в связи с популярностью частного инвестирования в России и появлением более понятных механизмов работы с криптовалютой.
Специалисты CERT-GIB получили обращение от обманутых инвесторов: "Нас более 150 человек из более 15 стран и 70 разных городов мира и все мы стали жертвами новой схемы кибермошенников, которые под видом инвестиций на липовых брокерских биржах убедили нас перевести последние деньги в биткоины. Очень многие из нас подверглись ложным обещаниям со стороны лжеброкеров, взяли миллионы рублей под кредит и теперь вынуждены продавать своё имущество, чтобы свести концы с концами. Таким образом мошенники похитили у нас около 300 млн. рублей ($4,0 млн)".
И это только один из примеров. CERT-GIB выявил более 8 000 доменов, связанных с инфраструктурой мошеннических инвестиционных проектов, и обнаружил более 50 шаблонов-лендингов с различными готовыми инвестиционными сценариями. Примечательно, что домены регистрируются массово и используются в качестве зеркал, обеспечивая работу проекта после приостановки работы одного из доменных имен. Так, в одном из примеров, только с одного почтового адреса с июня по июль 2021 года было зарегистрировано более 320 доменов под мошеннический инвестиционный проект.
Большинство из этих кейсов являются "гибридными схемами", где фишинг используется наряду с телефонным мошенничеством. Как работает эта интернет-афера и на чем зарабатывают мошенники, разбирались специалисты CERT-GIB.
"Олигархи возмущены": три способа, как стать очень богатым
Весной 2021 года специалисты CERT-GIB заметили массированную рекламную кампанию в социальных сетях, в которой известные люди — предприниматели, политики и амбассадоры популярных брендов — предлагали частным вкладчикам участвовать в сверхдоходных инвестиционных проектах.
Примеры рекламных постов в Instagram
Для привлечения внимания мошенники в основном активно использовали три базовых сюжета. Есть другие, но сейчас именно эти наиболее популярны в российском сегменте интернета:
"Альтернатива банкам"
Этот вариант связан с появлением якобы принципиально новой финансовой платформы, позволяющей получить невероятный доход. В рекламе демонстрируется фейковое видео, в котором говорят о "революционной" платформе, помогающей тысячам пользователей отказаться от традиционных банковских услуг и получить полную финансовую независимость.
01
"Недра — народу"
Он привлекает вкладчиков для участия в неких нацпроектах по освоению сверхдоходов от торговли нефтью и газом — "недр, которые должны принадлежать народу". Как правило, в таких случаях используется нарезка из новостных сюжетов с участием первых лиц страны, но с фейковой озвучкой и субтитрами.
02
Реклама на платформе YouTube
"Финансы для людей"
Этот сюжет паразитирует на брендах реальных инвестиционных инструментов от известных финансовых организаций, но, разумеется, вместо официальных ресурсов инвесторов уводят на мошеннические сайты.
03
Далее, в зависимости от конкретного сюжета, меняется "точка приземления", то есть переадресация посетителей:
1
На мошенническое приложение в Google Play.
2
На сайт-опросник, который собирает персональную информацию о жертве, включая ее телефонный номер.
3
На фейковую страницу популярного СМИ: интернет-издания или телеканала.
Рассмотрим третий вариант более подробно.
Последние известия
Специалисты CERT-GIB обнаружили несколько шаблонов, которые стилистически копируют внешний вид популярных новостных сайтов, таких как "Россия-24", RT и РБК. Пользуясь популярностью и авторитетом этих медиаресурсов, мошенники вводят читателей в заблуждение фейковыми публикациями о преимуществах несуществующих инвестиционных проектов.
Первое знакомство с проектом
При клике на любой объект поддельной страницы новостной статьи жертву переадресуют на следующий элемент мошеннической цепи — сайт инвестиционного проекта. Как правило, это несуществующие инвестиционные проекты, например, функционирующие на основе торговли валютой, криптовалютой, полезными ископаемыми, природными ресурсами, фармацевтикой. Практически каждый из них упоминает фантастические заработки: от 300 000 до 10 000 000 рублей в месяц. По формату это лендинги-одностраничники с подробной продающей информацией о проекте и формами ввода данных для регистрации: Ф. И. О., номер телефона, email.
На этих страницах потенциальную жертву продолжают погружать в легенду: с одной стороны — через яркие и простые призывы разбогатеть, с другой стороны — через знакомство с вымышленными торговыми технологиями, а также с огромными процентами возможного заработка. В описании "математики" проекта обычно используют набор таких тем, как криптовалюты, майнинг, искусственный интеллект, big data и т.д. Используя известный бренд или комментарии от успешных бизнесменов, мошенники создают у потенциальной жертвы доверие к инструменту инвестирования. Основная задача этой лендинговой страницы — заставить посетителя ввести свои контактные данные для консультации и доступа к проекту.
Опросники
Существует альтернативный вектор получения этих данных, упомянутый ранее: сайт-опросник под видом известного банка. Так, по оценкам специалистов DRP Group-IB, в среднем на один крупный банк, предоставляющий инвестиционные услуги, приходится более 180 подобных мошеннических ресурсов в месяц.
Примеры сайта с опросами:
Потенциальная жертва оказывается на таком сайте после перехода по рекламе из социальной сети. Ей предлагают ответить на несколько вопросов, выбрав соответствующие варианты. Все вопросы финансового характера и направлены на то, чтобы мотивировать потенциальную жертву участвовать в проекте. На финальном этапе посетитель увидит форму, предлагающую заполнить контактные данные.
Конечная страница сайта с опросами
Общение с оператором и торговля
После того, как посетитель оставил свои контакты, он получает уведомление, что скоро ему позвонят операторы сервиса.
Пример страницы после заполнения контактных данных
И действительно, звонок не заставит себя ждать. Примерно в течение часа по указанному номеру с человеком связывается оператор, он же менеджер, он же куратор проекта. И тут начинается самое интересное.
"Оператор" рассказывает про уникальный проект, где якобы специальная программа/робот/искусственный интеллект помогает зарабатывать деньги на торгах — пользователю лишь нужно вносить депозиты. Пороговая сумма, как правило, начинается от 250 долларов.
Телефонный мошенник будет пытаться втереться в доверие, используя различные психологические уловки. Например, создавать образ "своего" человека. Так, в одном сценарии девушка пытается узнать возраст, специальность и цель инвестиций собеседника. Узнав имя, отвечает, что так же зовут ее брата. Получив информацию о месте работы, отвечает, что тоже работала в этой отрасли — и так далее.
В других случаях эксплуатировалось так называемое правило трех "да", когда мошенники произносят серию утверждений, с которыми абонент просто не может не согласиться, или вопросы, на которые нельзя ответить отрицательно. Например, мошенник задает вопрос: "Наверное, вы или кто-то из ваших близких в недавнем времени испытывали финансовые трудности? Вы бы хотели стать финансово независимыми и помогать своим близким? "
Заставляя положительно отвечать на все эти вопросы, мошенник в итоге приведет потенциальную жертву к основному вопросу: готов ли собеседник прямо сейчас начать вкладывать деньги. И уже "подготовленный" клиент, скорее всего, ответит "да". На протяжении всего разговора оператор будет снимать все сомнения, возникающие у будущего инвестора.
В рамках такого телефонного звонка может разворачиваться несколько мошеннических сценариев.
Сюжет №1: "Биткоин-кошелек"
Если абонент отказывается внести входной депозит — например, ссылается на отсутствие необходимого количества средств — оператор предлагает забронировать место в проекте, чтобы не упустить возможность заработать в будущем. Для этого лишь нужно создать Qiwi-кошелек и внести небольшую часть суммы — порядка 10 000 рублей. После этого в мессенджере присылают номер биткоин-кошелька и просят перевести туда деньги через популярный обменник, например, bestchange.ru.
Если жертва соблюдает условия и переводит деньги — она просто их теряет. Через некоторое время с жертвой снова могут связаться и попросить положить аналогичным способом еще небольшую сумму.
Сюжет №2: "Выманивание данных"
В этом случае оператор под различными предлогами — например, в рамках банковской проверки — просит сообщить данные банковской карты, с помощью которой потенциальный "участник" планирует инвестировать. Мошенник спрашивает номер, имя владельца, срок действия и секретный код (CVV-код, указанный на обратной стороне). Получив данные, оператор предлагает внести на карту депозит, говоря, что производит запрос в банк на совершение транзакции, которую будущей жертве нужно будет подтвердить.
На самом деле мошенники инициируют перевод денежных средств, в результате которого жертва просто теряет деньги со счета, к которому привязана карта.
Сюжет №3: "Торговый терминал"
Во время разговора оператор отправляет в мессенджер ссылку на сайт поддельного торгового терминала, в котором уже создана учетная запись для "клиента".
Переходя по ссылке, жертва получает доступ к торговому терминалу, где ей предлагается создать счет и пополнить его на $250, $500 или $1000. При попытке пополнения появляется страница с различными способами внесения средств.
Стоит обратить внимание на то, что оператор сопровождает жертву на протяжении всех действий, работая с возражениями и сомнениями, подбадривая или уговаривая выполнить все необходимые условия.
При исследовании данных схем нам попадались полностью автоматизированные сценарии — без привлечения операторов. Например, жертва после фейкового новостного сайта сразу перенаправлялась на поддельный торговый терминал с фиктивной регистрацией.
Главная страница торгового терминала
Аналогично предыдущей схеме, от посетителя требуется внести депозит.
Страница ввода данных банковской карты
Кроме мошеннического сайта, после перехода по рекламному объявлению пользователей могут направить в Google Play для установки мошеннического приложения. Аналогично сайтам, оно представляет собой инвестиционное приложение, позволяющее пополнять торговый счет сразу из приложения.
Интерфейс мошеннического мобильного приложения:
Получение фантиков
После того, как жертва внесла депозит, на сайте торгового терминала в личном кабинете или мобильном приложении отображается сумма, эквивалентная сумме депозита, однако это всего лишь "фантики", которые нельзя конвертировать обратно в валюту. Это становится очевидно, когда наивный вкладчик, увидевший крупную нарисованную прибыль в своем личном кабинете, пытается вывести ее. Так, при попытке перевода средств на карту, жертва увидит убедительные иллюзии совершения транзакций и работы платежных шлюзов, однако это приведет к неминуемым "ошибкам" и дополнительным условиям вывода денег:
Верификация
Вкладчику предлагается заполнить полную информацию о себе, включая паспортные данные (возможно, даже с фотографией) и данные банковской карты, если злоумышленники не получили их на ранних этапах.
Зарубежный банк
Жертве якобы нужно заплатить комиссию за перевод, поскольку используется зарубежный банк или валюта.
Комиссия платежного шлюза
Просят заплатить дополнительную платежную комиссию или налог на доход.
На самом деле у жертвы будут возникать постоянные ошибки систем, которые приходится оплачивать из своего кармана. Все эти траты на порядок меньше предполагаемого "заработка", что побуждает человека раз за разом переводить деньги мошенникам. Список причин бесконечен — он ограничен лишь тем, когда жертва поймет, что ее обманули.
Заключение
В ходе анализа мошеннических проектов было выявлено более 50 различных шаблонов-лендингов с разными инвестиционными легендами.
В каждой легенде предлагался уникальный подход и техника заработка. Очевидно, что мошенники, разрабатывающие эти шаблоны, подошли к задаче креативно. А столь широкая вариативность мошеннических сценариев в рамках данной схемы может свидетельствовать об ее успешности: мошенники не желают прекращать свою активность, разрабатывая все новые и новые сценарии обмана. В общей сложности было выявлено более 8000 доменов, связанных с инфраструктурой мошеннических инвестиционных проектов. Подсчет осуществлялся в рамках графового анализа сетевой инфраструктуры на основе большого массива данных: информации о владельцах доменов, указанной при регистрации, DNS-записей доменов, отпечатков сервисов на IP-адресах, выделенных хостингов и т.д. В ходе анализа всего массива доменов, связанных с инфраструктурой мошеннических инвестиционных проектов, было установлено, что больше всего доменов зарегистрировали в первом полугодии 2021 года.