Мошенники расширили сеть несуществующих организаций, где предлагаются компенсации жертвам мошеннических сервисов, и усовершенствовали схему заработка на них, следует из данных Group-IB. Для большего доверия злоумышленники создают сеть сайтов, где может быть до 170 доменных имен, в том числе фейковые СМИ с интервью тех, кто якобы получил возврат денег. Посетителей на такие ресурсы привлекают рассылкой по собранной ранее базе данных пользователей.
Мошенники расширили схему с выплатами жертвам утечек данных якобы от «Фонда защиты персональных данных», о которой “Ъ” сообщал 16 января 2020 года. Теперь на сайтах вымышленных организаций, например «Единого центра возвратов», «Национального лотерейного содружества», «Центра финансовой защиты», предлагаются выплаты пострадавшим от фейковых акций в интернете, сообщили “Ъ” в Group-IB. Это может быть участие в ненастоящих опросах, раздачах товаров или лотереях либо предложения компенсации НДС за расходы на покупку иностранных товаров, уточнили в компании.
Приглашение воспользоваться услугой злоумышленники рассылают своим прежним «клиентам» по электронной почте или в мессенджерах, используя собранные ранее базы данных.
В случае с компенсацией НДС была выбрана «более изощренная модель продвижения», отмечают в Group-IB: мошенники рекламировали в локальных группах «Яндекса» фейковое интервью со специально созданного сайта-клона издания «Лента.ру»: «76 летняя пенсионерка получила 170 000 руб. компенсации НДС и потратила все деньги на стрептизера» (орфография сохранена). Публикацию сопровождали новости о коронавирусе, самоизоляции и отзывы «счастливчиков», получивших деньги, а ссылка из интервью вела на сайт «Центра финансовой защиты».
Сайт фейковой организации предлагает пользователю рассчитать сумму возврата средств, вбив последние цифры своей банковской карты, после чего выводит сумму выплаты от 200 тыс. до 300 тыс. рублей.
Затем пользователю предлагается пообщаться в чате с «юристом отдела страховых выплат», а все сообщения представляют собой заранее подготовленный скрипт для чат-бота, «что еще раз свидетельствует о технологичности придуманной схемы», отмечают в Group-IB. Далее пользователь должен оплатить юридическую помощь при заполнении анкеты на выплату в размере до 1 тыс. руб. Для оплаты он перенаправляется на фишинговый сайт, где вводит данные своей банковской карты, которые попадают в руки мошенников по схеме, описанной “Ъ” 20 марта 2020 года.
В инфраструктуре таких фейковых ресурсов может быть целая сеть связанных сайтов, говорят эксперты CERT-GIB. Например, при изучении «Единого центра возвратов» компания обнаружила более 170 доменных имен, зарегистрированных на одно и то же лицо. Чтобы избежать быстрой блокировки в рунете, мошенники стали регистрировать сайты в международной доменной зоне .xyz, где в марте 2020 года появились три десятка новых доменов под схему с компенсацией НДС, отмечают в Group-IB.
Такая схема работы напоминает «синдром обманутого вкладчика», когда в 90-е годы жертвы финансовых пирамид, поддавшись на рекламу возврата потерянных средств, добровольно несли оставшиеся деньги в структуры типа МММ и вновь оказывались жертвами аферы, замечают в Group-IB. На фоне тревожной новостной повестки мошенники все активнее используют психологические приемы с социальной инженерией, предупреждают в компании. По итогам прошлого года, семь из десяти хищений у физлиц осуществлялись именно так, сообщалось в отчете Центробанка, о чем “Ъ” писал 20 февраля 2020 года.