Алексей Плешков 02/12/20
Возвращаясь мысленно на пять лет назад, отчетливо вспоминаю тот момент, когда началось мое знакомство со SCAM’ом (далее – S) и "скамерами"/S-активистами. Последовательно погружаясь в методологию OSINT, используя доступный на тот момент базовый инструментарий и изучая содержание Darknet-ресурсов за пределами RU-сегмента, я столкнулся с новым, но достаточно часто применяемым в среде кибермошенников термином S и не воспринял его как что-то необычное. В переводе с английского S буквально означает "афера", однако в рамках данной пятой статьи из серии "Активисты в период диджитализации" правильнее будет понимать его как "мошенничество" или "обман пользователей", умышленно реализованный одной из сторон при сделке (активность с финансовой составляющей) в дистанционном формате.
Мне 15 и я из Украины! они не смогут привлечь меня в Рашке – поэтому я буду продолжать жарить мамонтов
Telegram
Современные российские интернет-преступники (в терминах ст. № 159, п. 4 УК Ф), завсегдатаи тематических форумов в Darknet трактуют термин S в более узком смысле – как искусственно созданную ситуацию/обстоятельства, когда реальный покупатель/продавец товара (жертва) в воображаемой сделке совершает (подталкиваемый в 97% случаев, по данным ФинЦЕРТ Центрального Банка РФ, методами социальной инженерии) необдуманные действия по заранее подготовленному для него сценарию. В результате успешного завершения такого сценария наступает факт неправомерного обогащения мошенников за счет безналичных денежных средств, переведенных с банковской карты жертвы на счет/реквизиты подконтрольного злоумышленнику дроппера в стороннем банке/платежной системе. Далее следует либо серия транзитных операций, в том числе перевод на электронный кошелек, номер мобильного телефона или счет в стороннем банке, либо обналичивание в реальном времени денежных средств через выбранный банкомат.
В целом тут можно было бы поставить точку и закончить обзор, потому как после расширенного определения вся суть S становится понятна специалисту-практику OSINT, работавшему, как и я, в финансовой сфере по линии защиты информации.
Тем не менее я продолжаю и надеюсь на ваш профессиональный интерес. В данном обзоре будет приведена совершенно иная точка зрения на методы и схемы реализации S, назовем ее "инсайд со дна": все представленные в статье материалы и цифры оригинальные, взяты из тематических каналов и чатов, имеют формализованные подтверждения/скриншоты/пруфы.
Читателю предлагается посмотреть на S-активности с позиций представителей преступных сообществ, заполонивших Telegram, ознакомиться с выраженным в цифрах собственным мнением кибермошенников, специализирующихся на S-схемах, и увидеть, как и чем живет низшая каста в "пищевой цепочке" S – линейные исполнители, или worker’ы (фактические кидалы).
Определимся со входными данными
Цифры, материалы, результаты опросов, иллюстрации и ключевые данные для обзора взяты с профильных Telegram-каналов, таких как @scamlessons, @MyScamSchool, @onion(21+), @darkclub_cc и др. (профильные TG-каналы). Сбор информационного пазла и актуальных пруфов, использованных в обзоре, фактически завершен в конце сентября 2020 г. Исследователи, которые захотят пройти по цифровым следам данного обзора, увидят (или не увидят при условии их удаления с указанных выше TG-каналов) цифры, которые могут/будут различаться. Абсолютные цифры в контексте данной статьи являются иллюстрацией к представленным в заключении прогнозам и выводам.
По моему экспертному мнению, основные пропорции и процентаж в относительном исчислении будут актуальны в течение еще как минимум второго полугодия 2020 г. Это обусловлено в том числе и экономической стагнацией в условиях сложной эпидемиологической обстановки в России и массового перехода на удаленный режим работы в крупных компаниях, а также ограниченным спектром реальных целей для S-активистов в русскоговорящем сегменте Интернета. Именно работники крупных компаний на удаленке, регулярно находящиеся онлайн, платежеспособные, у которых востребован сервис доставки купленных в Интернете товаров, знакомые с электронными средствами и схемами совершения платежей через Интернет, уязвимые к социальной инженерии, в 100% случаев являются целевой аудиторией S-активистов.
S-активисты – кто они?
После официального признания Telegram на уровне Правительства РФ и снятия летом 2020 г. ранее наложенных Роскомнадзором ограничений по доступу админам S-каналов стало интересно, как их подписчики себя идентифицируют в общем потоке телеграмных ИТ-гигов. Соответствующий опрос ("кто ты?") показал, что 1/3 респондентов – это новички, рядовые интернет-пользователи, случайно попавшие на тематический S-канал или недавно сформировавшие свой интерес к тематике S. 47% респондентов (более 500 пользователей) заявили о своей причастности к различным аспектам деятельности современных кибермошенников в Интернете. При этом каждый пятый респондент приравнивает себя к S-элите, а именно к администраторам и владельцам профильных TG-каналов.
Тогда же другой S-ориентированный Telegram-канал решил выяснить возрастные особенности своей активной аудитории из почти 37 тыс. подписчиков. Сказано – сделано, товарищ майор! Опубликованный опрос просмотрели более 15 тыс. подписчиков, но только 4430 реальных S-активистов пожелали оставить свой цифровой след на этом канале.
Результаты опроса демонстрируют, что:
- 41% проголосовавших – это физические лица, не достигшие к моменту опроса своего совершеннолетия (18-);
- 36% – это действующие студенты и недавние выпускники учебных заведений (18–25 лет).
На долю взрослой, осознанно принимающей свои решения и действующей с явным умыслом на совершение киберпреступления части аудитории приходится менее 1/4 проголосовавших (порядка 1 тыс. подписчиков одного канала в абсолютном выражении).
Могу предположить, что именно этот авторитетный (в прямом и переносном смыслах) сегмент проголосовавших составлен из идейных вдохновителей, организаторов и мотиваторов для молодого поколения к совершению мошеннических действий в Darknet.
Более 3/4 S-активистов регулярно используют VPN/PROXY в целях личной безопасности на мобильных устройствах, стационарных компьютерах и ноутбуках. Пока все логично, так как для мошенников жизненно важно не забывать о базовой кибербезопасности при работе с виртуальных машин и выделенных/взломанных серверов, организованных специально для S на внешнем хостинге. Однако 13% респондентов отрицают полезность VPN для собственной безопасности. Вероятнее всего, они подключаются и работают через гарантированно безопасный публичный канал/точку входа и/или постоянно находятся вне территории РФ.
94% мошенников (а это более 200 человек), ответивших положительно на вопрос о важности и необходимости наличия для себя надежного/гарантированного канала для обналичивания украденных/несанкционированно переведенных денежных средств, поступили предсказуемо (по мнению авторов Telegram-опроса).
Однако куда больший интерес вызывают 6%, не подтвердившие очевидный факт: им не нужен/не интересен новый гарантированный канал для финального этапа S. Это с некой долей вероятности подтверждает, что S-активисты уже владеют стабильным (скрытым, непубличным, альтернативным) методом обнала или их способ монетизации/S-схема напрямую не связана с обналом. Из более чем 2700 респондентов опроса 84% указали мобильный телефон в качестве основного инструмента/платформы для работы с Telegram (чтение каналов, изучение S-схем, диалог с жертвами и общение с "коллегами"). Только 10% S-активистов используют, помимо телефона, полноценное рабочее место (стационарный компьютер, ноутбук, виртуальную машину, выделенный сервер и т.д.).
Чем живет S-активист?
Одной из наиболее часто встречающихся в S-чатах и опросах темой является инициатива администраторов Telegram-канала получить обратную связь о том, какой контент интересен для прочтения их аудитории. И тут с явным преимуществом лидируют текстовые описания с примерами новых S-схем и формализованные инструкции по анонимной работе и взлому: чуть менее 59% респондентов остановились на этом пункте опроса. Поиском и изучением дистрибутивов хакерского программного обеспечения, скриптов для фишинга, готовых фреймворков для создания вирусов или бот-сетей (желательно бесплатных, "без регистрации и СМС") интересуются чуть более 13% S-активистов. При этом каждого пятого мошенника интересуют "схемы с быстрыми деньгами", в том числе единовременный заработок, или же объявления с предложениями стабильной работы, то есть фактическое место в новой или уже зарекомендовавшей себя S-команде.
Итоги опроса подписчиков на S-каналы
Еще одна популярная тема опросов – "советы админу" Telegram-канала по обновлению неактуального, по мнению аудитории, контента, классическое маркетинговое "Подскажите, каких фишек нам не хватает, чтобы стать лучше и интереснее для вас?". В этом вопросе с явным преимуществом лидирует смежная с S тема кардинга. Более 45% участников опроса нуждаются в постоянном обновлении пула реквизитов скомпрометированных пластиковых банковских карт для "серых" и "черных" операций, от банальных оплат товаров и сервисов в Интернете, совершения операций без присутствия карты (крайне желательно – без 3ds) и до более сложных операций транзита и "многоуровневой очистки". Чуть менее 40% респондентов нуждаются в обновленном инструментарии (скрипты, грабберы, веб-аналитические программы и др.) для оптимизации и автоматизации S-мошенничества. И только 12% заявили о необходимости публикации в открытом доступе реквизитов учетных записей пользователей, скомпрометированных на целевых интернет-площадках (электронная почта, игровые серверы, торговые площадки, социальные сети и т.д.).
После успешной реализации совместно с экспертами ИБ-компаний и владельцами основных торговых интернет-площадок комплекса технических и организационных мероприятий по защите пользователей (III квартал 2020 г.) представители S-сообщества находятся в непрерывном поиске новых, адаптированных под обновленную защиту S-схем и мест в Интернете для их комфортной, прибыльной и безопасной реализации. В этой связи трое из четырех S с энтузиазмом восприняли новые инструкции к S-схеме с названием "Юла/Авито 3.0" (4.0), вошли в соответствующие пилотные группы и начали тестировать предоставленные им скрипты. 1/4 респондентов скептически отнеслась к новой S-схеме и продолжает свою эксплуатацию скриптов и Telegram-ботов, адаптированных для работы по схеме "Юла/Авито 2.0" на тех немногих интернет-порталах, где меры защиты информации и противодействия мошенничеству не были своевременно усовершенствованы.
В мае 2020 г. на другом тематическом Telegram-канале при появлении схемы "Юла/Авито 2.0" был проведен аналогичный опрос, в результате которого с эффективностью схемы второй версии согласились только 55% респондентов, схема осталась непонятой 12% S-активистов, а 1/3 ответивших заняли нейтрально-выжидательную позицию по отношению к новой на тот момент S-схеме.
II квартал 2020 г. действительно был сопряжен с бурным ростом кибератак на популярных в Интернете торговых площадках: 42% мошенников работали целенаправленно в отношении пользователей Авито, 37% – обманывали жертв на портале "Юла", остальные S-активисты (около 20%) выбрали не особо популярные у отечественных пользователей порталы "Куфар", OLX, игровые площадки и др.
Взгляд на SCAM с "темной" стороны
Принцип "5 НЕ" в работе S-активистов
В топ-5 обстоятельств, которые для законопослушных граждан всегда служат стоп-факторами, а злоумышленников совершенно не смущают/не пугают при совершении противоправных действий в Интернете, входят:
- Уголовная ответственность или правовое преследование со стороны правоохранительных органов страны, в которой они физически находятся ("НЕ докажут").
- Негативные последствия для себя в реальном (не Интернете) мире (в том числе любая форма мести или преследования) со стороны физических лиц – жертв S ("НЕ найдут").
- Принудительные блокировки сим-карт, номеров телефона, IP-адресов, доменных имен или учетных записей, в том числе любые искусственные ограничения со стороны службы безопасности площадки, используемой для S ("НЕ остановят").
- Снижение конверсии/эффективности/доходности от реализации конкретных S-схем на выбранных площадках при наличии альтернативных порталов и сервисов, уязвимых для S ("НЕ локализуют").
- Повышение уровня осведомленности в вопросах защиты информации или сознательности в части противодействия мошенничеству среди потенциальных жертв S ("НЕ поумнеют").
В августе 2020 г. ситуация с приоритетами у представителей отечественного S-сообщества изменилась. С высокой вероятностью на это повлияли результаты программы повышения осведомленности в среде пользователей и клиентов отечественных торговых интернет-площадок. Но 86% мошенников положительно ответили на вопрос о готовности к работе на белорусских торговых площадках, аналогичных Куфар.
В то же время на другом тематическом S-канале создатели опросов пошли дальше и предложили пользователям выбрать, в каком именно направлении кибермошенничества они "работают". 44% респондентов из более чем 800 опрошенных связывают свою деятельность в Telegram с S-схемами "Авито/Юла". На долю кардеров, вирусописателей, инфоцыган и др. суммарно приходятся не более 20% ответов. Остальные (более 1/3 участников опроса) заявили о том, что деятельность в Telegram или ином виртуальном пространстве не ведут.
"Гуманитарные аспекты информационной безопасности. Информационные и кибератаки" читать статью >>>
Что изменилось в S по сравнению с 2019 г.?
До начала пандемии (I квартал 2020 г.) в российском сегменте Интернета среди активистов, причисляющих себя к новому S-сообществу (18-), существовало (об этом многократно заявлялось на профильных форумах и мануалах) негласное правило: не работать "по RU" (на территории РФ) и не обманывать соотечественников (пользователей сети Интернет).
Фокус внимания S-активистов на тот момент был прикован к странам бывшего Советского Союза, Европы и нашим партнерам из-за океана. Азиатские страны традиционно были задействованы в мошеннических схема намного реже. Однако результаты прямого опроса на тему морального климата в S-среде на профильном TG-канале выявили существенную деградацию молодого поколения. Каждый второй S-активист заявил, что не имеет никаких стоп-факторов по отношению не только к соотечественникам, но и социально не защищенным группам граждан. Представители S-сообщества в 2020 г. стали регулярно обманывать жителей России в возрастном диапазоне 65+ и людей с серьезными проблемами со здоровьем.
Не секрет, что мошенники предпочитают наличным денежным средствам и карточным переводам операции в криптовалютах. Администраторы Telegram-бота, специализирующегося на обменных операциях, задали на профильном S-канале вопрос о применимости в S-сообществе различных криптовалют: 72% S-респондентов хранят свои накопления в Bitcoin, на долю Ethereum, Litecoin и Monero суммарно приходится не более 20% аудитории, остальные S-активисты используют непопулярные способы хранения и конвертации незаконно полученных безналичных денежных средств. И тут возникает вопрос: откуда берутся эти безналичные денежные средства? О деталях самых популярных S-схем я подробно написал в четвертой части серии статей, опубликованной в августе 2020 г.1
Однако в IV квартале 2020 г. уместно будет привести на примере известной (сейчас) S-команды статистическое сравнение по одним и тем же параметрам (см. табл.).
Таблица. Статистическое сравнение S-схем
Перспективы S в тезисах
Классическое OSINT-исследование было бы неполным без финального анализа выгруженного и изученного содержания. В качестве результатов анализа предлагаю рассмотреть, а по прошествии времени (к примеру, по завершении II квартала 2021 г.) оценить состоятельность прогноза, базирующегося на цифрах и тенденциях.
Тезис № 1
Возраст S-активистов снижается. Озвученный МВД в 2016–2017 гг. порог 16–17 лет для вступления новичков в ряды киберпреступников в настоящее время снизился до 13–14 лет. В свою очередь, активное привлечение новой "крови" в действующие S-команды, их регулярное обучение, развитое в S-сообществе наставничество, а также ставший нормой в России образца 2020 г. дистанционный формат общения школьников и студентов – все это в 2021 г. повлечет за собой появление новых S-команд, практикующих тиражируемые S-схемы (возможно, уже не на популярных интернет-барахолках и не на игровых порталах, а в новой/неожиданной предметной области), адаптированные специально для поколения миллениумов. Уже сейчас не особо распространенные до лета 2020 г. схемы S-мошенничества ("продажа домашних животных через Интернет", "почасовая аренда квартиры", "авансирование элитной недвижимости" и др.) активно развиваются и приносят сверхдоход молодым (15-) S-активистам по всей России.
Тезис № 2
Пожилые граждане РФ, инвалиды и молодые мамы (декретницы) – это постоянно пополняемая целевая аудитория S-активистов. Именно на них сначала обкатываются, затем тиражируются и со временем корректируются схемы мошенничества. К обману основной платежеспособной части населения РФ S-активисты приступают, только будучи полностью уверенными в работоспособности своих схем. Никто из пользователей интернет-технологий сегодня не застрахован от применения в отношении него методов социальной инженерии. Степень латентности среди жертв S составляет более 50%: взрослым, состоятельным людям стыдно признать, что их обманули, воспользовались доверчивостью или сыграли на жадности. А украденные суммы от 2 тыс. до 10 тыс. рублей многими жертвами признаются несущественными или воспринимаются как закономерный жизненный урок. Таких "ученых" жертв с каждым днем в России становится все больше. Тем не менее некоторые из жертв попадаются на уловки мошенников повторно, но уже в другой S-схеме.
Тезис № 3
Новые интернет-ориентированные технологии и использующие их цифровые продукты последовательно входят в быт каждой семьи. Получение электронных справок и консультаций, цифровые квитанции и счета на оплату, дистанционное обслуживание в госучреждениях, личный интернет-кабинет налогоплательщика и многое другое – цифровые сервисы замещают собой все то, что раньше невозможно было диджитализировать. Однако ошибочно полагать, что новые технологии приносят с собой только одно сплошное удобство и комфорт.
Низкий уровень зрелости пользователей Интернета в России (регионы сильно отстают в технологическом плане от городов-миллионников), объективные сложности (языковые, территориальные, технические, временные и др.) с получением квалифицированной технической поддержки, нерегулярность использования и даже банальное отсутствие стабильного интернет-соединения – все это формирует бесконечное поле возможностей для кибермошенников при создании и тиражировании S-схем. 100% S-схем – это взятые из бытовых ситуаций вариации на тему стандартных сценариев работы популярных площадок, с доработками и изменениями, умышленно внесенными в них в интересах S-активистов. В условиях пандемии и массового ухода работников на удаленку опровергнуть влияние закона больших чисел будет крайне сложно: чем больше появляется востребованных у интернет-аудитории цифровых сервисов, тем вероятнее их частое и нетривиальное использование мошенниками в новых S-схемах.
Лучший способ раскрыть S-схему
В процессе проведения расследования нетипичных фактов мошенничества по заявлениям клиентов регулярно возникает вопрос систематизации признаков и определения схемы. В некоторых кейсах, помимо профиля жертвы (который чаще всего легко устанавливается), важно представлять себе профиль злоумышленника (модель нарушителя). При анализе S-схемы в контексте использования методов социальной инженерии (они применяются в 100% известных случаев) один из аспектов для эффективного закрытия уязвимости – это выявление инструмента, ее эксплуатирующего. Диалог с жертвой по заранее подготовленном скрипту в Telegram, увод "мамонта" с целевой интернет-площадки в WhatsApp, запрос на добавление в друзья в социальных сетях или просто звонок по номеру мобильного телефона – это одновременно и инструменты, и характерные признаки S-схемы.
Мой практический опыт подсказывает, что составление/использование готового портрета злоумышленника не в монохромном варианте, а обильно "раскрашенного" фактами, цифрами, контекстами, наполнение его потребностями, планами и тенденциями помогает аналитикам, работающим в сфере противодействия мошенничеству, выбрать наиболее эффективные методы и инструменты защиты. Представленный выше материал – это как раз один из тех случаев в практике отечественной кибербезопасности, когда разглашение инсайдерской информации преследует цель помочь экспертам в борьбе с актуальной угрозой со стороны S-активистов, сгруппировавшихся в Telegram. Всем "удачной охоты" и будьте здоровы!
Поделитесь вашими идеями