Накануне новогодних распродаж в России проблема мошеннической схемы «Мамонт» стала особенно актуальной.
На протяжении своего существования этот шаблон мошенничества претерпел значительные изменения и теперь представляет собой новую угрозу для россиян. Если ранее мошенники привлекали людей на поддельные веб-сайты для хищения данных их банковских карт, то теперь они усовершенствовали свои методы: злоумышленники массово заманивают жертв в мобильные приложения, содержащие вирусы, которые не только автоматически опустошают банковские счета, но и загоняют людей в долговую яму. «Газета.Ru» делится информацией о происхождении схемы «Мамонт», приводит примеры ее современных проявлений и предлагает способы защиты от подобных уловок.
Кто стоит за этими действиями
Мошенники, назвавшие свою аферу «Мамонт», вероятнее всего, вдохновлялись не интересом к палеонтологии, а известной присказкой: «лох — не мамонт, лох не вымрет». Это фраза часто используется ворами, стремящимися обмануть как можно больше людей. Она указывает на то, что простаков всегда было и будет много, и поэтому мошеннические схемы продолжат приносить доход.
Эта схема довольно старая — ее выявили еще в 2019 году, а в 2020-м анализировали специалисты компании Group-IB, ныне известной как F.A.C.C.T. В то время схему также именовали «Курьер».
Мошенники (от английского слова scam — обман. — «Газета.Ru») создавали на платформах с частными объявлениями страницы популярных товаров с низкими ценами, в ходе переписки обманывали жертву и переключали ее в WhatsApp, Telegram или Viber, где отправляли ссылку для оплаты.
По предоставленной ссылке открывался поддельный сайт известной курьерской службы с формой для ввода данных банковской карты. Жертва вводила свои данные для подтверждения заказа, после чего теряла свои деньги. На самом деле под дизайном сайта, имитирующего курьерскую службу, скрывался банковский сервис Card2Card, предназначенный для перевода средств с одной карты на другую.
Таким образом, жертва не совершала покупку, а просто отправляла деньги мошеннику. Именно из-за использования брендов известных курьерских служб данная схема первоначально получила название — «Курьер».
В 2020 году мир столкнулся с пандемией COVID-19, и доставка товаров на дом стала более востребованной, чем когда-либо. Схема «Курьер» стремительно распространилась по всей России, подобно опасному вирусу.
К счастью, платформы для размещения частных объявлений (так называемые классифайды) начали активно противодействовать мошенникам. В этот период схема «Курьер» окончательно уступила место «Мамонту» — злоумышленники начали атаковать не только сайты с объявлениями, но и ресурсы по продаже автомобилей, аренде жилья, поиску попутчиов и многим другим.
Механизм мошенничества оставался прежним — злоумышленники находили жертву на официальном сервисе по продаже или аренде товаров, выводили в мессенджер и отправляли поддельную страницу для оплаты.
К 2021 году данная схема широко распространилась по всему миру: ее начали применять против граждан Румынии, Болгарии, Франции, Польши, Чехии, США, Украины, Узбекистана, Киргизии и Казахстана. Быстрое внедрение схемы стало возможным благодаря низкому порогу входа в ее экосистему и высоким доходам.
В начале 2021 года в даркнете функционировало несколько десятков группировок, каждая из которых возглавлялась администратором. Он разрабатывал скрипты (сценарии, по которым мошенники взаимодействуют с жертвами. — «Газета.Ru»), а также создавал и поддерживал в рабочем состоянии фальшивые сайты и страницы для получения платежей от «мамонтов». После этого администратор в даркнете или Telegram нанимал так называемых «воркеров» — тех самых мошенников, которые создают поддельные объявления на сайтах и занимаются поиском и обработкой жертв.
Согласно информации F.A.C.C.T., в настоящий момент в 40 закрытых Telegram-чатах насчитывается более 5 тысяч работников. Одна группа ежедневно приносила до 200 тысяч рублей, а в месяц зарабатывала миллионы. Работники получали значительную часть прибыли — до 80%.
Со временем этот бизнес значительно развился, и на входе работник мог за деньги или бесплатно получить: аккаунты на сайтах с объявлениями, подменные номера телефонов и даже доступ к адвокату, готовому защищать мошенника в суде.
Новый «Мамонт»
Метод оказался настолько эффективным, что злоумышленники не только не отказались от него, но и улучшили схему «Мамонт». Более того, они увеличили масштабы своей деятельности.
Согласно последнему исследованию компании F.A.C.C.T., на 1 ноября 2024 года против России и СНГ действовало 16 группировок, использующих схему «Мамонт», в состав которых входило более 20 тысяч киберпреступников. За прошлый год они похитили у россиян свыше миллиарда рублей.
По сведениям МВД России, в 2024 году наблюдается «восстановление» схемы «Мамонт» среди киберпреступников. В силовом ведомстве заявили, что «Мамонт» стал одним из основных трендов киберпреступной деятельности этого года.
Особенно очевидной данная ситуация стала с началом предновогоднего шопинга. Одним из ключевых новшеств мошенников, работающих по этой схеме, стало применение вредоносного программного обеспечения (ВПО), которое после активации на устройстве жертвы фактически выполняет всю грязную работу за мошенника. ВПО попадает на смартфон жертвы вместе с приложением, ссылку на загрузку которого предоставляют злоумышленники.
«Скрытая в приложении шпионская программа способна перехватывать вводимые данные банковской карты и входящие SMS-коды, что позволяет красть средства со счетов клиентов российских банков», — утверждается в заявлении МВД России.
Вредоносные приложения могут принимать различные формы. К примеру, в МВД указывают на поддельных клиентов на классифайдах. Злоумышленники убеждают граждан России установить .apk (файл для установки приложений на Android. — «Газета.Ru») под предлогом безопасной сделки.
Кроме того, в F.A.C.C.T. известны случаи, когда пользователям предлагали загрузить фальшивое приложение логистической компании для отслеживания отправлений.
«Если раньше пользователю сначала приходилось переходить по ссылке на поддельный GooglePlay для скачивания вредоносного .apk, то теперь его предлагают загрузить прямо на странице оплаты фиктивного заказа. Результат оказывается плачевным: такое приложение дает возможность злоумышленникам не только украсть деньги со счетов жертвы, но и оформить на нее кредиты для дальнейшего хищения», — сообщили в компании.
Методы защиты от мошенников
Основным способом защиты от мошеннических атак является соблюдение основ цифровой безопасности. Не менее важно сохранять трезвый ум: всегда следует помнить, что слишком привлекательные предложения требуют дополнительной проверки. Именно на этапе сделки мошенники часто находят своих жертв.
При взаимодействии с продавцом на любой платформе, будь то маркетплейс, сайт бесплатных объявлений, ресурс для аренды жилья и прочее, крайне не рекомендуется переносить общение с сайта или приложения в мессенджеры или социальные сети. На ресурсах и в приложениях данных сервисов работают защитные механизмы, которые блокируют потенциально опасные ссылки и файлы.
Если вам поступило предложение о выгодной покупке по электронной почте, а также в сообщениях в соцсетях или мессенджерах, его следует проигнорировать. Даже если отправитель утверждает, что он представляет известный бренд или именует себя работником этой компании.
Если это не так, то необходимо сопоставить указанную ссылку с адресом официального сайта компании — возможно, в ней закралась ошибка. Также будет полезно поискать детали о предложении или акции в интернете — существует высокая вероятность, что можно наткнуться на отзыв от «покупателя», который уже попался на уловку мошенников и утратил свои средства.
Иногда ссылки на заманчивые предложения поступают от знакомых в социальных сетях или мессенджерах. Прежде чем переходить по ним, рекомендуется перезвонить человеку и убедиться, что его профиль в соцсети или мессенджере не был скомпрометирован.
Следует отметить, что обычные пользователи — не единственная сила, выступающая против злоумышленников, применяющих схему «Мамонт». Бренды, от имени которых действуют мошенники, также подвержены ущербу и активно борются с этой проблемой.
Обычно они применяют системы, которые позволяют заранее выявлять домены фальшивых сайтов. В последнее время в этой борьбе стали использоваться даже нейросети, которые почти моментально находят новые домены и дают знать владельцам брендов, что дает возможность блокировать опасные ресурсы до их использования.
Россиян порадовало известие о том, что Telegram начал передавать правоохранительным органам IP-адреса и номера телефонов тех, кто нарушает правила использования мессенджера.
Среди них находятся и злоумышленники, которые используют Telegram для связи и распространения рекламы о «работе», а также необходимых инструментов для осуществления преступлений. Это решение администрации мессенджера отпугнуло пользователей схемы «Мамонт»: согласно данным F.A.C.C.T., спустя месяц после объявления новой политики доходы 70% мошеннических групп в среднем упали на 22%.
Тем не менее эксперты в области информационной безопасности предупреждают, что данная мера Telegram лишь временно задержит действия преступников. Они уже активно создают форумы в даркнете и рекламируют свои реферальные программы на обычных сайтах. Это лишь подтверждает, что в ближайшее время схема «Мамонт» вряд ли исчезнет.
