Group-IB оценила ежемесячные потери пользователей от таргетированного мошенничества в виде опросов и розыгрышей в $80 млн (5,9 млрд руб.) в мире. В качестве приманки злоумышленники нелегально эксплуатируют более 120 мировых брендов, например, в России под видом фейкового опроса от имени крупного федерального ритейлера у пользователей похищали баллы и деньги — средняя сумма списания на одного покупателя составляет около 50 000 рублей.
Опрос навылет
Сообщения о розыгрышах и опросах — одна из популярных мошеннических схем, но за последние годы изменилась сама технология доставки фейкового контента жертве: массовая спам-рассылка, СМС, сообщений в мессенджерах или электронной почте сменилась персонализированным подходом. Теперь под цель генерируется отдельная, так называемая, таргетированная ссылка, использующая параметры потенциальной жертвы (страна, часовой пояс, язык, IP, тип браузера и др.) для отображения релевантного контента на мошеннической странице. Сама ссылка работает только один раз и только у одного конкретного пользователя, благодаря чему мошеннический ресурс сложно обнаружить и заблокировать.
Аналитики Group-IB Digital Risk Protection фиксируют использование таргетированного мошенничества в 91 стране мира, в качестве приманки злоумышленники нелегально эксплуатируют более 120 мировых брендов. Чаще всего за прохождение опроса мошенники обещают «подарить» MacBook, Sony Playstation 5, iPad Pro или топовые модели смартфонов Apple и Samsung.
Так, в России в фейковых опросах от лица крупного российского ритейлера (посещаемость сайта — 6 500 посетителей в сутки) пользователей обманом заставляли оставить на поддельном сайте персональные данные, электронную почту, данные банковской карты или логины-пароли от «учеток» личного кабинета. В случае с кражей денег среднее списание составило 50 000 рублей.
Пример мошеннического объявления с предложением пройти опрос и выиграть популярный смартфон
География скама
Специалисты Digital Risk Protection обнаружили как минимум 60 различных сетей доменных имен, где создаются таргетированные ссылки. В среднем в каждой из них содержится более 70 доменных имен. Самая крупная сеть по количеству доменных имен, используемых в мошеннических схемах, включает 232 домена. Такое количество создается для того, чтобы в случае блокировки активного ресурса можно было в кратчайшие сроки перенаправить трафик на его зеркало. Таким образом мошенники обеспечивают доступность своей схемы, то есть ее бесперебойную работу. В среднем, посещаемость сайтов с опросами составляет более 5 000 человек в сутки. Потери пользователей, по оценкам экспертов Group-IB, могут составлять до $80 млн в месяц.
Для каждого конечного ресурса с мошенническим контентом была собрана информация об источнике трафика с разбивкой по странам. Исходя из этого распределения основными источниками трафика для подобных ресурсов выступают такие страны как, Индия (42,2%), Таиланд (7%) и Индонезия (4,4%).На основании выявленных шаблонов, целевыми регионами для распространения мошеннической схемы являются: Европа (36,3%), Африка (24,2%) и Азия (23,1%
«Таргетированное мошенничество несет риски не только для пользователей, но и брендов, которые нелегально эксплуатируют мошенники. В итоге компании несут как репутационные, так и финансовые потери, если однажды пользователь потерял деньги из-за бренда, то вряд ли к нему вернется, — комментирует Андрей Бусаргин, заместитель директора Group-IB по направлению Digital Risk Protection. — Также существует множество непредсказуемых рисков, например, на площадке массово воруют аккаунты, а потом через эти аккаунты отмывают деньги. Если дойдет до разбирательства, компания может получить сильнейший удар и по репутации вместе со штрафом от контролирующих органов».
Для борьбы с таргетированным мошенничеством эксперты рекомендуют использовать высокотехнологичные продукты класса Digital Risk Protection, которые позволяют выявлять и блокировать не единичные мошеннические сайты, а всю инфраструктуру злоумышленников. Этот метод позволяет оперативно устранять нарушения на всех задействованных в схеме интернет-ресурсах, а также производить мониторинг доменных имен, на которых в любое время может появиться неправомерный контент.