Group-IB, один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети, обнаружила более 700 доменов фейковых сайтов театров, стендап-шоу, ресторанов, кинотеатров, которые мошенники используют для кражи денег под видом приглашения на свидание. За последние три года схему Fake Date (фальшивое свидание — с англ.) взяли на вооружение два десятка преступных групп — выручка одной из них за год составила более 18 миллионов рублей.

От «антикино» к «антитеатру»

Первые случаи использования в России схемы Fake Date с приглашением на фейковые свидания в «антикино»— кинотеатр с залами для двоих — специалисты Group-IB фиксировали еще в 2018 году после обращений обманутых любителей романтики. Однако расцвет этой интернет-аферы пришелся на период, связанный с пандемией коронавируса, то есть 2020 год и первую половину-2021 года.

Для сравнения: если в 2019 году под схему Fake Date было зарегистрировано всего 25 фишинговых сайтов, то в 2020 году их было уже 263, а в 2021 году — 428 доменов. В этом году самым популярным «местом для свидания» у мошенников оказались театры и стендап-шоу (60%). Чуть менее раскрученные локации — фейковые рестораны, СПА и кальянные (35%). А вот тема с «антикино» после того, как ее подробно описали исследователи Group-IB, практически себя изжила. На нее приходится менее 5%.

Независимо от места для романтической встречи сценарий обмана выглядит примерно одинаковым: симпатичная «девушка» знакомится в сервисах Tinder, Badoo или в соцсетях с молодым человеком, быстро переводит диалог в мессенджер (обычно, Telegram) и сама приглашает его на свидание. Как бы случайно у «девушки» оказывается билет на спектакль или выступление звезды стендап-шоу. Она отправляет QR-код своего билета и предлагает выкупить место рядом с ней. После чего скидывает ссылку на сайт, где этот билет можно приобрести. Молодой человек оплачивает «билет» — теряет деньги, а «девушка» добавляет его номер в блэклист и больше не выходит на связь.

Работая по схеме Fake Date, мошенники, как правило, предварительно пытаются узнать интересы своего собеседника, составить его психологически портрет, и исходя из этого предлагают ту или иную «наживку», в том числе, исходя из платежеспособности «жертвы». Например, стоимость «билетов» в театр от 2500 рублей в партере до 5500 рублей в VIP-ложу куда более демократичные, чем билеты в «антикино», которые обойдутся в 4900 — 6900 рублей. Исследуя эту схему, мы встречались с самыми различными ее модификациями. В некоторых из них жертве приходилось платить трижды: за свой билет, за билет для «подружки» и при попытке оформления возврата.

Ярослав Каргалев

Заместитель руководителя CERT-GIB

След от «Мамонта»

Всего эксперты CERT-GIB насчитали как минимум 24 команды мошенников, работающих по схеме Fake Date, причем их количество растет из года в год. Так, в 2019 году — 2 группы, 2020 году — 7 групп, 2021 году — 15 групп. Правда, не все из них уже действующие. В ходе исследования аналитики обнаружили связи доменных имен фишинговых сайтов из схемы Fake Date с ресурсами из популярной схемы «Курьер» (или «Мамонт»), нацеленной на кражу денег и данных банковских карт пользователей с помощью фейковых сайтов популярных курьерских служб и маркетплейсов. Более того, в некоторых случаях сайты были зарегистрированы одними и теми ж людьми.

Любопытно, что схема Fake Date практически полностью переняла у «Мамонта» иерархию, техническую базу, модель функционирования и даже слэнг («мамонтом» на языке мошенников называют жертву). Вся работа рядовых участников, так называемых «воркеров», координируется через Telegram, где созданы специальные чат-боты с готовыми фишинговыми сайтами под различные площадки — кинотеатры, театры, рестораны, кальянные, с уже настроенной генерацией билетов, чеков, подробными скриптами для переписки с жертвой. Для продвинутых скамеров налажена продажа «под ключ» записанных от лица девушек «голосовушек» — аудио и видео сообщений с приглашением на свидание. Кроме того, существуют отдельные Telegram-каналы с информацией о выплатах и чаты для общения «воркеров».

Согласно данным одного из скам-проектов, его выручка за год составила более 18 млн рублей при более чем 7 000 транзакций. Похищенные деньги поступают на банковские карты или кошельки «админов», которые выплачивают «воркерам» процент (от 70 до 80%) от каждой транзакции. При оплате жертвой «возврата», часть суммы получает еще и «прозвонщик» из технической поддержки, который «ведет» клиента.

Эксперты Group-IB рекомендуют не оплачивать покупки на незнакомых сайтах, не переходить по ссылкам, которые присылают неизвестные, приобретать билеты самостоятельно и только на проверенных ресурсах. Для пресечения подобных «продвинутых скам-схем» классического мониторинга и блокировки брендам уже недостаточно — необходимо выявлять и блокировать инфраструктуру преступных групп и использовать решения класса Digital Risk Protection.