«Спасибо за дроны для ВСУ» Мошенники нашли новый способ обмана россиян. Как работает схема «Мамонт» и кто за ней стоит?
В 2024 году в России получил распространение новый и весьма эффективный способ телефонного мошенничества — криминальная схема «Мамонт». Об этом МВД России. Мамонтами на сленге преступного мира называют доверчивых людей, не знакомых с приемами аферистов. А схема, названная в их честь, опасна своим коварством и с наступлением сезона распродаж и приближением новогодних праздников все активнее используется злоумышленниками. Подробности о том, как работает схема «Мамонт», чем она опасна и как защититься от нее, выясняла «Лента.ру».
3 ноября 2024 года, Москва. Воскресным утром пенсионерку Марину будит телефонный звонок. Звонящий называет ее по имени и представляется сотрудником популярного маркетплейса. Он говорит, что вот-вот наступит «черная пятница», всемирно известный период распродаж, и для Марины на маркетплейсе уже готовы выгодные предложения.
Чтобы воспользоваться ими, нужно всего лишь поставить мобильное приложение сервиса, якобы обеспечивающее безопасные сделки. В одном из мессенджеров Марине присылают ссылку для установки этого приложения. У нее проскальзывает мысль: а не мошенники ли беспокоят ее поутру?
Но звонившие не просят ни номер карты, ни данные из SMS, а маркетплейсу Марина доверяет уже давно. Она устанавливает приложение для безопасных сделок, и тут начинаются странности.
Звонивший говорил мне, куда нажимать, чтобы отключить все степени защиты при установке Марина пенсионерка
На телефоне Марины появляются «окна» с красными восклицательными знаками, но она раз за разом дает согласие на все операции, тем самым подтверждая, что осознает риски. После всех манипуляций на экране телефона появляются две загадочные иконки, а затем гаджет перестает реагировать на касания и его экран гаснет.
В тот момент я поняла, что меня развели. Мне помогла дочь, которая очень быстро как-то смогла поставить на телефон антивирус и заставила его работать. Приложение мы, естественно, удалили Марина пенсионерка
Марине, в отличие от многих других жертв возрожденной схемы «Мамонт», повезло: мошенники не успели списать деньги с ее счетов.
***
Сегодня хищения денег по схеме «Мамонт» полицейские фиксируют во многих регионах России. Мошенники под разными предлогами убеждают доверчивых россиян перейти по ссылке и установить на телефон программу, открывающую доступ к банковским приложениям.
При этом аферисты становятся все активнее по мере приближения «черной пятницы», традиционного периода распродаж в конце ноября, или в предпраздничные дни, в том числе в канун Нового года.
Они используют схемы, в рамках которых потерпевшим от имени маркетплейсов предлагают товары по заниженным ценам. Типичный предлог — «Магазин известного бренда уходит из России, телевизоры за полцены». Затем, после установки софта якобы для безопасных сделок мошенники получают контроль над смартфонами и возможность выводить деньги со счетов.
Схема «Мамонт» известна правоохранительным органам еще с 2019 года, но раньше использовалась не установка приложений, а прямые фишинговые ссылки, которые по мере повышения цифровой грамотности россиян стали менее эффективными.
Раньше человек переходил по фишинговой ссылке, вводил данные для оплаты, и происходило списание денег. Причем это была не оплата товара, а именно списание — как перевод. При этом мошенники притворялись сотрудниками популярных сервисов объявлений Сергей (имя изменено) бывший следователь
По данным компании F.A.C.C.T., лишь за последний год при помощи схемы «Мамонт» мошенники смогли похитить 1,2 миллиарда рублей у жителей России и стран СНГ. Всего же с 2021 года они обманули своих жертв на 8,6 миллиарда рублей.
«Фейковых приложений очень много»
Как подсчитали эксперты, общее количество мошеннических групп, работающих по схеме «Мамонт», за последний год увеличилось до 1566. Из них 16 — это крупные и активные группы, в составе которых действуют более 20 тысяч человек.
Вообще фейковых приложений очень много, мошенники сами их разрабатывают. На официальных площадках такие софты редко появляются, так как там их проверяет антивирус. Поэтому аферисты просят скачать пользователя apk-файл, а внутри него уже находится либо фейковое приложение, либо софт для удаленного доступа к телефону клиента Данил старший специалист по безопасности одного из российских банков
По словам Данила, в основном мошенники любят загружать приложения под видом программного обеспечения для инвестиций, безопасности (в том числе безопасных сделок) или получения государственных услуг. А уже в них жертва либо напрямую вводит данные карты, компрометируя их, либо злоумышленники подключаются к телефону клиента через эмулятор.
Бывали такие ситуации, когда мошенник тянул время — просил клиента перевернуть телефон экраном вниз и продолжать общаться с ним по громкой связи. Сам злоумышленник в это время заходил в банковские приложения и осуществлял операции, вводя полученные коды из SMS Данил старший специалист по безопасности одного из российских банков
При этом, если перевод оказался крупным, банк может заблокировать операцию, а заодно и личный кабинет клиента. Но если злоумышленники смогли раздробить сумму, и переводы прошли успешно, сотрудники кредитной организации вряд ли смогут что-то сделать.
В таком случае специалисты советуют жертвам обращаться в полицию, а уже по их запросу банк предоставит все имеющиеся у него данные, чтобы найти деньги. Но, как правило, средства утекают за границу или на криптокошельки, и поэтому найти их потом не представляется возможным.
По словам Данила, похищенные деньги часто оказываются на Украине. Нередко после совершенного преступления мошенники присылают клиенту SMS с текстом: «Спасибо за дроны для Вооруженных сил Украины».
«Мы просто выполняем заказ»
Как рассказал «Ленте.ру» разработчик фишинговых сайтов и приложений, пожелавший сохранить анонимность, стоимость разработки одного приложения для схемы «Мамонт» превышает 10 тысяч долларов (более 978 тысяч рублей — здесь и далее курс на 9 ноября 2024 года), а на его разработку уходит около месяца. При этом анонимный разработчик отмечает, что заказы такого рода скорее редкость и не очень популярны.
Как выглядит приложение для схемы «Мамонт»: справка «Ленты.ру» «Ленте.ру» удалось найти одно из приложений для схемы «Мамонт» — бесплатный сервис для инвестиционных сделок. Согласно описанию, приложение разработано для тех, кто хочет разобраться в трейдинге и начать зарабатывать на акциях, криптовалюте и сырьевых товарах. При этом владельцы сервиса подчерчивают, что он является не торговой платформой, а лишь «информационным и управленческим инструментом». Тем не менее при скачивании приложение запрашивает личные данные хозяина смартфона, после заполнения которых ему начинают звонить менеджеры с просьбой уточнить данные карты. При этом рекламная кампания приложения строится на бренде крупнейшего российского банка.
Чаще, по его словам, на даркнет-форумах заказчики просят сделать копию уже существующей страницы в интернете, что стоит 150-200 долларов (14,5- 19,5 тысячи рублей). Разработка же простых фишинговых сайтов в среднем обходится заказчику в 500 долларов (около 49 тысяч рублей), более сложных — до 2000 долларов (195 тысяч рублей).
Цель создания таких страниц и приложений — заставить жертву ввести свои логины и пароли от официальных сайтов. Все действия на этих сайтах дублируются в Telegram-бот. Через него злоумышленник также может в нужный момент запросить у жертвы код из SMS, перекинуть его на другую фишинговую страницу, показать push-уведомление и так далее.
При этом будет казаться, что все действия логичные и это все делает сайт, а не дядя на другом компьютере. Ну и вообще — мы, разработчики, сами этим не промышляем, просто выполняем заказ за фиксированную плату Разработчик фишинговых сайтов и приложений
Новые заказы, говорит наш собеседник, приходят ему каждые 3-4 дня, что позволяет зарабатывать в месяц порядка 5000 долларов (более 489 тысяч рублей) — чек выше среднего на рынке.
При этом, по его словам, большинство таких фрилансеров на даркнет-форумах отказываются от разработки фишинговых и других скам-проектов, которые нацелены на россиян и аудиторию СНГ, — из этических соображений.
Конечно, есть разработчики, которых совесть не мучает, — они берутся за это. Но, как правило, у этих людей мало опыта в разработке, из-за чего они не могут брать более сложные и дорогие заказы. Либо им просто все равно Разработчик фишинговых сайтов и приложений
«Украинцы вышли на новый уровень»
Сегодня на рынке фишинговых сайтов и приложений низкая конкуренция, говорит в беседе с «Лентой.ру» еще один анонимный разработчик вредоносных приложений. По его словам, на одного крупного заказчика приходится десять помельче и всего один хороший кодер, поэтому опытный разработчик легко может загрузить себя заказами.
Реально хороших кодеров по пальцам пересчитать можно. Те, кто работают на форумах и держат свои темы по разработке, можно сказать, чуть-чуть там подрабатывают. В основном хорошие разработчики сидят в привате на зарплате или на проценте в хороших проектах и не размениваются на мелкие заказы Разработчик фишинговых сайтов и приложений
Он также отмечает, что заказы на вредоносные приложения в последнее время практически не поступают. «В СНГ эта тема гиблая. Мало кто этим занимается и создает хороший стиллер (вирус — прим. «Ленты.ру»). Как бы такое есть, но не назвал бы это трендом», — объясняет наш собеседник.
Он подтверждает слова другого анонимного разработчика, что на русскоязычных даркнет-форумах обычно действует правило, согласно которому созданное местными разработчиками вредоносное ПО не должно работать в России и странах СНГ — в противном случае по решению арбитража (местных судей) таких программистов могут заблокировать.
У нас есть даже пословица: «Кто работает по "ру", к тому приходят поутру». Поэтому российские разработчики чаще задействованы в разработке вредоносного программного обеспечения, нацеленного на граждан других стран. А что касается россиян, то по ним чаще всего работают с Украины. Украинцы сами говорят, что вышли на новый уровень в технической части, в плане организации и проработки мошеннических схем Разработчик фишинговых сайтов и приложений
Впрочем, по словам директора по развитию центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александра Вураско, разработчики в даркнете далеко не всегда создают вредоносные приложения и фишинговые сайты с нуля — нередко они продают уже готовые или слегка доработанные решения.
У разработчиков есть свои ядра вредоносных приложений. Они их слегка адаптируют под нужные задачи, модернизируют, чтобы затруднить их обнаружение антивирусами, и затем распространяют Александр Вураско директор по развитию центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар»
«Отлаженный криминальный бизнес»
Между тем, несмотря на заявления МВД, аналитики компании F.A.C.C.T. отмечают, что за последние четыре недели доходы мошенников, использующих схему «Мамонт», снизились в среднем на 22 процента. По мнению специалистов, это может быть связано с недавним заявлением основателя Telegram Павла Дурова.
В начале октября он заявил, что мессенджер может раскрывать правоохранительным органам IP-адреса и номера телефонов преступников, что исключило Telegram из списка инструментов мошенников. С тем, что схема «Мамонт» стала сдавать позиции, согласен и Александр Вураско.
Любой сценарий мошеннической схемы себя исчерпывает. Но так как это отлаженный криминальный бизнес, то все классические бизнес-тенденции хорошо отслеживаются. И если какая-то методика теряет эффективность, мошенники пробуют другую Александр Вураско директор по развитию центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар»
В то же время, по словам эксперта, мошенники нередко возвращаются и к старым схемам, когда люди о них уже забыли. При этом методика адаптируется и подстраивается под тренды текущих дней. Например, учитывается популярность маркетплейсов и сервисов досок объявлений — так на смену фишинговым сайтам и пришли вредоносные приложения.
В них используются или программы для удаленного администрирования, или стиллеры. Первые позволяют мошенникам совершать на телефоне действия от имени его владельца, например заходить в приложения банков и переводить на свои счета деньги. Стиллеры же перехватывают и отправляют мошенникам данные о банковских картах, логины и пароли.
Именно при помощи вредоносного программного обеспечения было совершено более трети успешных атак против россиян за первые три квартала 2024 года, говорит в беседе с «Лентой.ру» руководитель направления аналитических исследований в Positive Technologies Ирина Зиновкина. При этом в половине этих атак использовались шпионские программы.
Этот тип вредоносного программного обеспечения может перехватывать действия и другую информацию с зараженного устройства и передавать данные злоумышленникам. Однако стоит отметить, что мошенникам легче сделать фишинговую ссылку, чем фишинговое приложение Ирина Зиновкина руководитель направления аналитических исследований в Positive Technologies
«Мошенники начинают дробить деньги»
По словам бывшего следователя Сергея, ловить мошенников, использующих схему «Мамонт», очень долго и сложно. Одна из причин — загруженность следователей: сегодня на каждого из них приходится больше 50 уголовных дел. Поэтому раскрываемость по мошенничеству очень низкая.
При этом, как отмечает адвокат Алексей Скляренко, в подавляющем большинстве случаев люди, пострадавшие от действий мошенников, не хотят обращаться в полицию или банк, если похищенная с их счета сумма оказалась небольшой. Причина проста: для пострадавших такое обращение — очень энергозатратный процесс с туманными перспективами.
Сегодня мошенники не кидают деньги на какую-то одну карту или счет — они начинают их дробить. Где-то сумма проходит как перевод другому лицу, а где-то — как якобы оплата товара, так что правоохранительным органам приходится выполнять большой объем работ. Это сложно, но все же получается вернуть некоторым потерпевшим деньги Алексей Скляренко адвокат
На фоне роста числа случаев мошенничества эксперты, опрошенные «Лентой.ру», советуют соблюдать ряд правил кибербезопасности:
необходимо скачивать только проверенные приложения из официальных магазинов с хорошим рейтингом; важно информировать пожилых родителей и родственников обо всех новых мошеннических схемах, информация о которых появляется в СМИ; в случае если вы уже пострадали от действий мошенников, стоит обратиться в правоохранительные органы; несмотря на то что сегодня мошенничество стало глобальной проблемой, шанс спасти похищенные средства есть всегда.