Евгений Иванов, руководитель группы по выявлению и реагированию на киберинциденты CERT-GIB, и Яков Кравцов, зам. руководителя отдела спецпроектов Департамента защиты от цифровых рисков Group-IB, рассказали о схеме «Мамонт» и как с ней бороться.
Мошенническая схема "Курьер" или "Мамонт"
В классической схеме "Мамонт" мошенники похищают деньги и данные банковских карт у жертв под предлогом оформления фейковой покупки и доставки товаров с популярных маркетплейсов. По данным на конец лета 2023 года, в России по схеме «Мамонт» работали 17 активных преступных групп.
Первое массовое использование в России схемы «Курьер» или «Мамонт» («мамонтом» на сленге мошенников называют жертву) специалисты CERT-GIB и Group-IB Digital Risk Protection зафиксировали летом 2019 года после обращений обманутых пользователей. Пик активности этой мошеннической схемы пришелся на 2020 год в связи с пандемией и резким переходом на удаленную работу. Само собой увеличился спрос (на 30%-40%) на онлайн-покупки и услуги курьерской доставки.
После, сотрудники Group-IB и CERT-GIB запустили расследование на тот момент популярной мошеннической схемы с фейковыми курьерскими сервисами. На тот момент более 40 преступных группировок успешно использовали мошенническую схему и ежегодный заработок всех преступных групп оценивался более чем в $6,2 млн.
Первое массовое использование в России схемы «Курьер» или «Мамонт» («мамонтом» на сленге мошенников называют жертву) специалисты CERT-GIB и Group-IB Digital Risk Protection зафиксировали летом 2019 года после обращений обманутых пользователей. Пик активности этой мошеннической схемы пришелся на 2020 год в связи с пандемией и резким переходом на удаленную работу. Само собой увеличился спрос (на 30%-40%) на онлайн-покупки и услуги курьерской доставки.
После, сотрудники Group-IB и CERT-GIB запустили расследование на тот момент популярной мошеннической схемы с фейковыми курьерскими сервисами. На тот момент более 40 преступных группировок успешно использовали мошенническую схему и ежегодный заработок всех преступных групп оценивался более чем в $6,2 млн.
Как устроена классическая мошенническая схема "Мамонт"?
- Злоумышленники, используя взломанные аккаунты или регистрируя новые, размещают объявления на бесплатных и популярных интернет-сервисах о продаже по заниженным ценам товаров, рассчитанных на разные целевые аудитории .
- Пользователи сервисов выходят на контакт со злоумышленниками с помощью внутреннего чата на самой интернет-платформе, после жертве предлагается уйти в мессенджеры Whatsapp или Viber для дальнейшего обсуждения вопроса покупки и доставки.
- В мессенджерах злоумышленники запрашивают у жертвы ФИО, адрес и номер телефона якобы для заполнения формы доставки на ресурсах курьерской службы.
- Далее пользователям предоставляют ссылки на фишинговые ресурсы, которые полностью копируют официальные страницы популярных курьерских служб. По ссылке будут представлены указанные ранее данные жертвы, которые она якобы должна сверить и после этого там же оплатить.
- Через некоторое время после оплаты товара покупателю сообщают, что на «почте» произошло ЧП. Легенда может быть любой и жертве предлагается оформить «возврат средств». На деле, происходит повторное списание той же суммы без какого либо возврата.
Позже появился обновленный вариант мошеннической схемы, в котором мошенники выступают в роли покупателей, а не продавцов.
- Злоумышленники сами ищут объявления о продаже каких-либо товаров на всё тех же досках бесплатных объявлений (Обязательное условие для объявления – продавец разрешил с собой связываться по мобильному телефону, выбрав опцию показывать свой номер телефона всем желающим, и товар доступен для покупки с доставкой).
- Мошенник выходит на контакт с продавцом сразу через мессенджеры (не используя безопасные чаты интернет-площадок бесплатных объявлений) и проявляет желание приобрести выставленный товар.
- Мошенник сразу утверждает, что готов оформить “покупку с доставкой” и генерирует с помощью автоматизированного бота новую фишинговую страницу, используя реальное название, фото и цену лота.
- Когда фишинговая страница готова, злоумышленник пересылает ссылку жертве-продавцу в чат мессенджера, объясняя, что уже всё оплатил, и предлагая проверить, полученные денежные средства. Для "получения средств", жертве якобы необходимо ввести данные своей банковской карты.
На сегодняшний день существует огромное количество курьерских сервисов, под которые мошенники пытаются замаскироваться и создают фишинговые страницы.
"Мошеннику безразлично, чем занимается площадка — арендой недвижимости или продажей велосипедов, для него важно, чтобы на ресурсе сервиса была возможность внутренней коммуникации среди пользователей и «безопасные» сделки внутри самого сайта, что позволяет подменить конечную ссылку на созвучном домене для перевода средств."
Как защититься?
Рекомендации по обеспечению безопасности при оформлении покупок товаров или услуг через Интернет:
- Доверяйте только официальным сайтам. Прежде чем ввести в какую-либо форму данные своей банковской карты — изучите адрес сайта, проверьте, когда он был создан и что о нем говорят другие. Если сайту пара месяцев — с большой долей вероятности он мошеннический.
- Доверяйте только официальным сайтам. Например, сайт — cdek.ru, а остальные адреса — (cdek.nu, cdek.in, cdek.at, cdek-box.ru, cdek-dostavka.info) прямо указывают на подделки.
- Большие скидки на технику — один из признаков того, что объявление создано мошенниками. Будьте осторожны.
- Пользуясь услугами сервисов по продаже новых и б/у товаров, не уходите в мессенджеры, ведите всю переписку только в чате сервиса.
- Не заказывайте товар по предоплате – оплачивайте только тогда, когда получили товар и убедились в его исправности.
Просто о сложном мире информационных технологий и безопасности.
Подписывайся на нас и узнавай новости первым!
Страница ВКонтакте -Защита информации Якутии
Страница Одноклассники - Защита информации Якутии
Подписывайтесь на YouTube-канал - Защита информации Якутии
Rutube-канал - Защита информации Якутии
Telegrm канал - Защита информации Якутии
Подписывайся на нас и узнавай новости первым!
Страница ВКонтакте -Защита информации Якутии
Страница Одноклассники - Защита информации Якутии
Подписывайтесь на YouTube-канал - Защита информации Якутии
Rutube-канал - Защита информации Якутии
Telegrm канал - Защита информации Якутии