Мошенничество в интернете

Я уже больше четырех лет живу с семьей в Германии. Сегодня расскажу про то, как жены эмигрантов попадают в неприятные ситуации, желая подзаработать, сидя дома. Речь, конечно же, не только о женах, в такие неприятности может попасть каждый. Но в основном в эту ситуацию попадают люди, далекие от сферы информационных технологий, те, кто приехал в страну недавно и плохо знают язык. Я расскажу конкретно про одну знакомую семью из Берлина, назову мужа Вадимом, а его жену Мариной.

Как это было

Однажды Марина, листая свою ленту во VK, увидела рекламу, что серьезной международной логистической компании требуются русскоговорящие представители в Германии. Опыт работы не требовался, знание иностранных языков тоже. Достаточно было иметь адрес постоянного проживания на территории Германии. Перейдя по ссылке в рекламе, она увидела объявление вроде такого:


Вадим с Мариной переехали в Берлин по программе Blaue Karte примерно за год до описываемых событий. Вадим работал разработчиком, а Марина учила немецкий язык и занималась домашним хозяйством. К тому времени у Марины был уровень немецкого В1, но не было разговорной практики. Поэтому устроиться на нормальную работу в немецкую компанию было проблематично, а идти работать в клининг или официанткой не было желания. Марина жила в Берлине, знала русский язык и хотела использовать эти факторы как преимущество при устройстве на работу.

Увидев такую вакансию, Марина сразу же поняла это то, что нужно. Она связалась с работодателем по WhatsApp. Менеджер компании выслал ей по электронной почте подробную информацию о фирме и работе.

По легенде есть одна крупная российская логистическая компания, которая помогает с доставкой товаров из европейских интернет-магазинов, которые напрямую в Россию не отправляют. Для этого им нужны почтовые агенты, которые имеют адрес постоянного проживания на территории Германии. Фирма заказывает на ваше имя и ваш адрес в Германии товар, а вы пересылаете его конечному потребителю в Россию, Украину или Беларусь. Работа очень простая. Нужно лишь получить посылку на свой домашний адрес, открыть ее, сфотографировать содержимое, упаковать снова и отправить дальше на новый адрес. Оплата 900 евро в месяц + по 20 евро за каждую посылку. Оплата в конце каждого полного отработанного месяца переводом на PayPal или Western Union. Работа простая и платят хорошо. Тратя всего пару часов в день, можно заработать пару тысяч евро за месяц. Идея супер!!! Хорошая прибавка к зарплате мужа. Мужу Марина решила ничего не говорить расскажет тогда, когда получит свою первую зарплату.

Менеджер прислал Марине по электронной почте Трудовое соглашение. Соглашение Марина заполнила, подписала, отсканировала и отправила обратно. Также от нее потребовали сканы ее документов и реквизиты счета в немецком банке.

А дальше Дальше Марина стала получать на свой адрес посылки из разных магазинов. Сначала это была всякая мелочевка вроде одежды или веб камер. А когда работодатель понял, что нашел ответственного лоха работника, пересылаемые товары сильно выросли в цене: фотоаппараты премиального сегмента, планшеты и ноутбуки. Марина добросовестно фотографировала содержимое, переупаковывала и отправляла дальше. Месяц близился к концу, и Марина уже подсчитывала размер зарплаты. С учетом того, что она успела переслать примерно 50 посылок, сумма выходила приличная около 2000. Марина уже представляла удивленное лицо своего супруга, когда он узнает, что она тоже нашла себе хорошую и непыльную работу. Марина даже распланировала, на что она потратит эти деньги.

Прошел месяц и одна неделя, но серьезная компания не спешила рассчитаться с Мариной. Менеджер ссылался на бухгалтерию, которая почему-то не оформила вовремя новую сотрудницу и не включила её в платежную ведомость. Он клятвенно обещал, что в следующую ведомость её уже точно включили, и через две недели она гарантированно получит всё сполна и даже аванс за следующий месяц.

Еще через неделю Марине все-таки удалось удивить своего мужа. Но не так, как она рассчитывала. В почтовом ящике муж обнаружил счет от одного из интернет-магазинов с требованием оплатить купленный его женой ноутбук за 2000 евро.

Это была какая-то ошибка! Ведь это был один из тех ноутбуков, который она несколько дней назад переслала покупателю в Россию. Муж, узнав про детали новой работы, сразу сказал Марине, что это пиздец развод. Но Марина не поверила Вадиму и решила, что Вадим просто не верит в неё и её потенциал. Случился грандиозный скандал со взаимными обвинениями. Марина сказала, что все решит в течение двух дней. Она тут же написала о сложившийся ситуации своему менеджеру и потребовала срочно выплатить зарплату в полном объеме и оплатить счет от магазина.

Но её менеджер не ответил в течение дня. И на следующий день тоже не ответил. Зато Марина получила еще один счет уже из другого магазина. И снова это был пересланный ею товар.

А еще через день к Марине позвонили в дверь. Рядом с курьером DHL, который привез очередную партию посылок, стояли несколько сотрудников криминальной полиции Берлина с ордером на обыск. Марине вменяли преступления, совершённые в рамках статей уголовного кодекса ФРГ Мошенничество (Betrug, 263 StGB) и Отмывание денег (Geldwsche, 261). По первой статье наказание от шести месяцев до десяти лет тюрьмы, а по второй от года до пяти.

А дальше были слёзы, допросы, адвокаты и суды с перспективой тюремного срока для Марины и перспективой увольнения и депортации для Вадима. Честно говоря, так себе работа оказалась.


Марина в поисках легких денег попала ну удочку мошенников, которые ищут доверчивых соотечественников за рубежом. Это третий аналогичный случай за последние полгода среди моих знакомых. Мошенники, используя данные краденых кредитных карт или краденых аккаунтов интернет-магазинов, заказывают товар на имя жертвы. Жертва получает их на свое имя и адрес, а потом сама пересылает эти товары в страны бывшего СССР. Такую жертву часто называют дропом.

Кроме того, в Германии есть еще одна фишка. Товар можно купить с оплатой по счёту. Точно также, как в России продают товар юридические лица друг другу с отсрочкой платежа. Ты регистрируешься на сайте, вводишь свои полные данные и данные своего счета в банке. Магазин запрашивает твою кредитную историю в бюро кредитных историй. Если кредитная история хорошая, то могут отправить товар и выставить счет на оплату с отсрочкой в 14 дней. У Марины и Дениса оказалась хорошая кредитная история, чем также воспользовались мошенники. Они заказали товар от имени Марины на её же адрес. Марина получила этот товар и расписалась при получении. А для интернет-магазина и полиции это выглядит как абсолютно легитимный заказ, как будто его оформила сама Марина.

Как выглядят мошенники в реальности

Давайте посмотрим, что же нам предлагают типичные мошенники в Германии и что не так в их предложениях (да там всё не так).

1. Посмотрим снова на скриншот вакансии на КДПВ. В вакансии нет вообще никакой информации о работодателе. Никаких имён, названия компании и адресов. Только номер телефона и просьба связаться в WhatsApp. Для меня это сразу признак того, что это вовсе никакая не нормальная работа, а какой-то шлак с вероятностью 98%. Для дополнительной проверки просто звоним по этому номеру телефона и слышим, что абонента с указанным номером не существует.
   
   КПДВ еще раз

   
   
   
2. Пишем им в WhatsApp, получаем подробности с описанием вакансии на электронную почту. Текст письма вполне стандартный, ничего особенного, кроме вложений, нет.
   
   Письмо от мошенников

   
   
   
   
3. 3. Вложения в письмо уже будут поинтересней. Кому интересно, можете скачать полный текст по этим ссылкам: [Соглашение](http://personeltest.ru/aways/cloud.mail.ru/public/2R1c/4YAFsgNUN), [Информация](http://personeltest.ru/aways/cloud.mail.ru/public/Diyb/hMFRD4sCR). Если коротко обычная филькина грамота без полных реквизитов компании, по которым её можно было бы найти и проверить. Куча грамматических ошибок. Факс совершенно левой компании. Всё соглашение пестрит шедеврами разной степени фееричности.
   
   Особенно порадовали уже поставленные печати и подписи в договоре со стороны работодателя.
   
   
4. Посмотрим на их сайт на немецком языке.
   
   Тем, кто хоть немного знает немецкий язык, очевидно, что это полная лажа (например, слово Berhrung означает физический контакт или прикосновение и не используется в контексте способов связи). Очевидно, что мошенники использовали какой-то автоматический переводчик.
   

В остальном всё по классике жанра. Домен зарегистрирован меньше года назад, хотя успешная компания существует с 2004 года. Недействительный SSL сертификат, выданный apkmodgame.info и т.д. и т.п. Студенческая поделка, выполненная на коленках за пару дней.

Всё просто кричит о том, что вот это всё не может быть серьёзной компанией. Но не стоит обольщаться. Встречаются мошенники, которые делают каждый элемент развода по высшему классу и распознать фейк может быть не так просто. Наверное, это та сфера, где доверчивые люди ведутся и так. И нет смысла заморачиваться с хорошим сайтом, трудовым договором и прочими деталями. Зачем напрягаться больше, если люди и так хавают?

Что делать, чтобы не попасть впросак?

Не буду описывать множество ошибок, которые совершила Марина. Опишу только две основных.

Знание русского языка в Германии практически не является преимуществом при приеме на работу.

Если вы приехали в Германию, это вовсе не значит, что тут можно легко заработать деньги без риска. То, что вы живете в Берлине и знаете русский язык, не дает вам значительных преимуществ по сравнению с людьми, которые обладают такой же квалификацией, но не знают русского языка. Если нет никакой подтвержденной квалификации, то вы ничем не лучше среднестатистического выходца из Марокко, который живет в Берлине и знает арабский. Максимум, на что можно рассчитывать это прибавка в 10-15% к ЗП в месяц и то только для квалифицированных работников. Например, если компания платит разработчику со знанием английского и немецкого языков 4000 евро в месяц, то такому же разработчику со знанием английского, немецкого и русского языков компания будет платить 4500 евро и только в том случае, если все три языка необходимы в работе. Все!!! Для неквалифицированного персонала знание русского языка практически не является преимуществом. Даже наоборот. Часто можно встретить компании, состоящие из выходцев из бывшего СССР, которые набирают бывших соотечественников, плохо говорящих по-немецки, и платят даже меньше, чем платят по рынку. Мотивируют они это примерно так: ну ты же плохо говоришь по-немецки, а мы берем тебя и говорим по-русски, тебе не нужно учить немецкий, поэтому платить будем меньше. Для справки: в Германии из 83 миллионов граждан более 3 миллионов человек свободно говорят по-русски.

Найти неквалифицированную работу в Германии с хорошей оплатой очень-очень сложно.

Примерно также сложно, как в Рязани найти работу на 70 000 рублей 17-летнему парню сразу после окончания школы.

Средняя зарплата водителя такси 1300 в месяц грязными (800 условно на руки).
Средняя зарплата парикмахера 1400 в месяц грязными (850 условно на руки).

Даже обычный продавец в супермаркете в Германии, который имеет профильное среднее специальное образование и 3+ лет опыта, получает 1900 в месяц грязными (условно 1200 на руки). Поэтому 2000 евро в месяц на руки за пару часов в день на пересылку посылок это нереально много. Если бы всё было так просто, все арабы и турки в Германии только бы и делали, что пересылали посылки в Россию.

Что делать, если уже попал?

Нужно сразу искать адвоката. Так как схема мошенничества с посылками существует уже больше десяти лет, то есть и опытные адвокаты, которые уже выиграли не одно подобное дело. В большинстве случаев адвокат будет пытаться убедить суд, что обвиняемый сам стал жертвой мошенников и не имел злого умысла при совершении преступления. Часто адвокатам удается отбиться от обвинений по 170, п.2 ( 170 Entscheidung ber eine Anklageerhebung, StPO) УПК Германии в связи с отсутствием в действиях обвиняемого состава преступления, доказав отсутствие злого умысла. В случае Марины и Вадима они потратили около 1000 евро на адвоката. Также они решили не судиться по трем эпизодам и добровольно компенсировали стоимость трех посылок (еще примерно 4000 евро), которые были заказаны с оплатой по счету на имя Марины.

Тем не менее, я знаю одного студента, который смог отбиться от обвинений сам. У него совсем не было денег на адвоката, но он хорошо знал немецкий. Более того, он получил от мошенников около 500 евро за пересылку и ему даже не пришлось от этих денег отказываться. Так что случаи бывают разные.

Подписывайте на мой канал в Telegram и читайте о жизни и работе в Германии из первых рук.

Ни для кого не является секретом, что на популярных площадках Авито, Юла и т.п. распространены мошеннические схемы, созданные для выманивания тем или иным способом денег с доверчивых покупателей и продавцов.

В последнее время получили широкое распространение целые группировки мошенников, работающие по модели мошенничество как услуга (Fraud-as-a-Service). Эти группировки объединяют в своих рядах организаторов (ТС), поддержку (саппорт) и рядовых участников (воркеров).

Организаторы обеспечивают функционирование сервисов (каналы/чаты/боты в Telegram, фишинговые сайты, обработка платежей, отмыв и вывод средств), привлекают воркеров через рекламу на теневых форумах, предоставляют поддержку и забирают себе комиссию с каждого платежа.

Саппорт помогают (дают советы и рекомендации, а также сами подключаются к общению при необходимости) воркерам обманывать жертв.

Воркеры непосредственно обрабатывают жертв (мамонтов) методами социальной инженерии (присылают фишинговые ссылки на сайты не отличимые по оформлению от настоящих площадок) и получают выплаты от организаторов (за вычетом комиссии).

На данный момент группировки работают по двум основным типам мошеннических схем:

• Старая схема, когда мошенник (воркер) представляется продавцом и обманывает покупателя, уговаривая его перейти по присланной в сторонний мессенджер (часто WhatsApp или Telegram) фишинговой ссылке и заплатить (ввести данные платежной карты) за несуществующий товар.
• Схема 2.0, когда мошенник (воркер) представляется покупателем и обманывает продавца, уговаривая его перейти по присланной в сторонний мессенджер (часто WhatsApp или Telegram) фишинговой ссылке и введя данные платежной карты якобы получить на нее перевод с несуществующего депозита (т.н. безопасная сделка).

Существуют версии схем 3.0 и даже 4.0, но они занимают не существенную долю в общем объеме мошеннических транзакций.

Подробнее про мошеннические схемы и внутреннее устройство группировок можно прочитать на Хабре в статье Как Авито выявляет мошенников и борется с фродом.

Нами проанализировано 116 активных группировок из чуть более 200 всего существующих на данном рынке. В 59-и из них больше 100 участников (воркеров), а в 13-и более 1,000. В самой крупной по количеству выплат группировке состоит около 800 воркеров.

Все данные для анализа собирались нами путем парсинга открытых и закрытых Telegram-каналов мошеннических группировок за период с октября 2019 года по октябрь (включительно) 2020 года. Данные каналы предназначены для воркеров, и в качестве гарантий отсутствия махинаций с выплатами со стороны организаторов публикуют в режиме близком к реальному времени все снятия (транзакции) с платежных карт жертв.

Следует отметить, что разные каналы разных группировок публикуют немного отличающиеся по формату и составу данные. Например, одни указывают банк-эмитент платежной карты жертвы, другие нет.

И так, перейдем непосредственно к самому интересному к цифрам. За анализируемый период во всех мошеннических каналах:

• Количество транзакций: 111,021
• Общая сумма всех транзакций: 666,046,958 руб.

Распределение мошеннических транзакций по месяцам. Тут можно заметить экспоненциальный рост, однако вызван он не только непосредственно увеличением числа самих мошенничеств, но и тем, что многие группировки прекратили свое существование и данные по их активности больше не доступны.

• Средняя сумма одной транзакции: 5,999 руб. (медиана: 4,000 руб.)
• Максимальная сумма одной транзакции: 200,000 руб. (прямой перевод с карты на карту)
• Максимальное снятие с карты одной жертвы (суммарно за несколько транзакций): 2,100,000 руб. (21 транзакция по 100,000 руб.)

Распределение мошеннических транзакций по банкам. Как отмечалось выше, одни группировки указывают банк-эмитент платежной карты жертвы, другие нет. Всего были выявлены мошеннические транзакции по картам 78 банков.

• Всего активных воркеров: 13,107
• Среднее число транзакций у одного воркера: 6 (медиана: 3)

Активность воркеров в зависимости от дня недели. Наибольшую активность воркеры проявляют в начале недели.

• Максимальное число транзакций у одного воркера: 488
• Всего получено воркерами: 468,674,726 руб.

Активность воркеров в течении дня. Закономерно, что активность воркеров снижается в ночное время (на графике московское время) и особенно общее снижение активности заметно в выходные дни.

• Средний заработок одного воркера за весь период: 28,246 руб. (медиана: 9,905 руб.)
• Максимальный заработок одного воркера за весь период: 1,529,062 руб.
• Средний заработок организаторов одной группировки за весь период: 1,810,754 руб. (медиана: 246,640 руб.)
• Максимальный заработок организаторов одной группировки за весь период 22,468,352 руб.
• Площадка с максимальным числом мошеннических транзакций: Авито (55,589 транзакций)
• Площадка с максимальной суммой мошеннических транзакций: Авито (306,435,112 руб.)

Распределение мошеннических транзакций по площадкам. Всего были выявлены мошеннические транзакции по 38 площадкам, при этом общая доля 34 из них не превышает 6%. По 21 площадкам выявлено менее 100 мошеннических транзакций на общую сумму 2,496,100 руб. Следует учитывать, что есть транзакции, которые попали в общую статистику (и по сумме и по количеству), но не попали в статистику той или иной площадки.

Новости про утечки информации и аналитику по теневым форумам всегда можно найти на Telegram-канале Утечки информации.

Привет! Меня зовут Саша, и уже полтора года я периодически промышляю фишингом. Только не ради наживы, а для повышения киберграмотности коллег. Такие рассылки помогают нам проверить, насколько вероятна утечка из-за человеческого фактора, кому и какое обучение порекомендовать по основам кибербезопасности. В итоге грамотность сотрудников повышается: к концу года доля попавшихся снизилась с 17% до 2%.

Это помогает проходить аудит по стандарту ISO/IEC 27001. Такая рассылка со сбором статистики и последующим обучением встраивается в систему внутреннего аудита по требованиям стандарта.

В посте покажу примеры, как мы проводили внутреннюю фишинговую рассылку и какие результаты она дает.

С чего начать

Внутренняя рассылка должна быть максимально похожей на реальное письмо: именно такого эффекта добиваются мошенники при фишинге. Нужно решить сразу несколько творческих задач:

1. Придумать сценарий фишинга.
   
2. Зарегистрировать домен, настроить почту.
   
3. Создать письмо с привлекательной ссылкой.
   
4. Создать правдоподобный лэндинг, где пользователи оставят свои данные.
   
5. Собрать базу для рассылки. Можно сделать выборку по внутренней адресной книге. А можно собрать базу из открытых источников и проверить более уязвимых пользователей с засвеченными учетками.
   
6. Сделать рассылку и собрать статистику, кто и как отреагировал.
   
7. Провести обучение для пользователей по итогам.
   

Все этапы делаем сами, вдохновляемся примерами реальных кейсов. Сначала рассылками занимался мой коллега, а в 2020 году я подхватил задачу и сделал 3 рассылки. Расскажу историю каждой из них.

Опыт коллеги: письмо про икру

Пробную рассылку устроили еще в конце прошлого года. Коллега создал фальшивый адрес, который имитировал почту сотрудницы HR. Сотрудникам от ее имени предложили оставлять заявки на икру и алкоголь для новогоднего стола:

Не забыли добавить в текст орфографические ошибки и смайлы.

Многие стали обращаться к сотруднице лично. Предупреждать ее заранее об этом не стали, чтобы было реалистичнее. Но икра по цене 400 рублей за кг была интересна такому количеству людей, что потребовалось опровержение от Василия, директора центра киберзащиты:

Мне тогда запомнилась реакция одного из менеджеров: он перешел по ссылке в письме, ввел свои данные и только после этого осознал ошибку. Его громкий крик: Ваааася! услышали мы все.

После рассылки подготовили и разослали всем видеоинструкцию по противодействию фишингу: на что обращать внимание, как проверить ресурсы и так далее.

Рассылка от сервиса видеоконференций

C переходом на удаленку мы обнаружили рост фишинговых атак, связанных с темой COVID-19. В апреле всем сотрудникам отправили рассылку-предупреждение:


В мае решили протестировать, как усвоилась информация. Идею ковидных рассылок отмели как слишком очевидную. Придумали другой заход: в марте всем сотрудникам установили Webex систему для веб-конференций. За пару месяцев все к ней привыкли, пора проверить бдительность.

Мы посмотрели на стандартную рассылку от Webex и создали похожее письмо:


Кнопка вела на подставной домен с формой для ввода логина и пароля:

Почта пользователя сразу подставилась в приветствие и поле с логином.

После ввода пароля шел редирект на реальный ресурс Cisco, чтобы пользователь ничего не заподозрил (часто так и бывает!).

Всего мы отправили 88 писем, по ссылке перешел 21 пользователь. Ввели данные 15 сотрудников это 17% от всей рассылки. После этого снова отправили всей компании напоминание про фишинг: раскрыли карты, разобрали пример нашей рассылки, объяснили, что делать.

Было забавно, когда один из коллег в личке пожаловался мне на мою же фишинговую рассылку. Чтобы сохранить чистоту эксперимента, об учениях я умолчал. Просто ответил: да, хорошо, разберемся, спасибо за бдительность.

За лето мы отправили сотрудникам целую серию обучающих писем с примерами фишинга из нашей практики. Следующий тест решили провести осенью в предновогодний сезон.

Рассылка в честь киберпонедельника

В ноябре и декабре пользователи получают действительно много писем с анонсами закрытых распродаж и акций черной пятницы. Мы стали проверять, смогут ли сотрудники распознать фишинг в этом потоке информации.

В этот раз я создал отдельный домен dataline-cybermonday.ru. Взял дизайн одного популярного сайта и сверстал письмо посимпатичнее:

Для правдоподобия добавил социальные кнопки, они ведут на официальные аккаунты.

Сайт тоже получился максимально правдоподобным:


Но сотрудники стали бдительнее: логин и пароль ввели только двое.

Рассылка от мэрии Москвы

С этой рассылкой я заморочился еще сильнее и решил провести фейковый опрос жителей Москвы о новогодних праздниках. Сначала создал домен opros-mos.ru. Прототипом для письма стала муниципальная рассылка в честь Дня города. Взял из нее фото и подпись мэра, герб города, ссылки на страницы в соцсетях. Получилось очень похоже:

Стишок взял первый попавшийся на странице поиска.

Так выглядела страница для ввода логина и пароля. Тоже использовал изображения и кнопки с официального сайта:


На это письмо реагировали еще меньше: открыли письмо 14 человек, перешли по ссылке пятеро. Делаем вывод, что рассылки на нерабочие темы для пользователей корпоративной почты не так интересны.

Немного статистики и ссылок на инструментарий

Отдельно покажу, как мы считаем данные по рассылкам. Для всех писем отслеживаем, какая доля пользователей открыла письмо, перешла по ссылке и ввела свои данные. Разослать и зафиксировать данные по переходам помогает GoPhish опенсорсный фреймворк для фишинга.

Рассылку делаем не по всей компании, а по группе от 50 до 100 сотрудников, так что считаем долю от общего числа отправленных писем.

• Открытия писем считаются по невидимой картинке в письме. Картинка уникальная для каждого сотрудника. Если пользователь прогрузил изображение, на веб-сервере увидим обращение к нему.
  
• Переходы по ссылке тоже отслеживаем для каждого сотрудника. Для этого генерируем каждому уникальную ссылку.
  
• Ввод данных фиксирует программа для тестирования в полях веб-страницы.
  

Отдельно отмечаем тех пользователей, которые сообщают в центр киберзащиты о подозрительном письме. По 4 письмам за год статистика такая:



Опираясь на наш опыт, мы отточили фишинговые скиллзы и продолжаем совершенствоваться. Сейчас такие рассылки предлагаем нашим клиентам в рамках услуги по аудиту ИБ и берем на себя как работу с опенсорс-инструментами, так и создание сценариев, подготовку писем и лэндингов, обход спам-фильтров и рекомендации для пользователей.

В ближайшее время напишем про другие составляющие этого сервиса: проверку паролей и разведку по открытым источникам (OSINT).