В начале 2021 года злоумышленники, похищающие средства со счетов россиян с помощью известной схемы «выплаты компенсаций», стали использовать вместо привычных каналов (почта, мессенджеры, СМС) альбомы «Google Фото». Об этом «Известиям» сообщили в Group-IB. Эксперты считают, что такой канал распространения опасен большим охватом пользователей популярного сервиса, чья численность давно перешагнула за миллиард. В зоне особого риска владельцы смартфонов, которые не разбираются в функционале хранения фотографий и видео.
Разорительная помощь
Сама по себе схема с «выплатой компенсаций» не является новой. Она стала популярной весной–осенью прошлого года на фоне новостей о коронавирусе, сокращениях и финансовом кризисе. Как рассказал «Известиям» руководитель CERT-GIB (входит в Group-IB) Александр Калинин, суть ее сводится к тому, что россиянам предлагают получить компенсацию за участие в популярных фейковых опросах, «недобросовестных» лотереях или возврат за уплату НДС. Но вместо этого списывают деньги и похищают данные банковских карт.
Впервые Group-IB подробно описала эту схему в апреле прошлого года, назвав ее «двойной обман».
— Злоумышленники действовали под видом несуществующих организаций — Международной службы «Единый центр возвратов», «Национального лотерейного содружества», Центра финансовой защиты и других. CERT-GIB обнаружил целую сеть связанных сайтов, включавшую более 170 доменных имен, зарегистрированных на одно и то же лицо, — пояснил эксперт по кибербезопасности.
Чуть позже появились еще три десятка новых доменов под схему с компенсацией НДС. Причем в этом случае была выбрана более изощренная модель продвижения: мошенники рекламировали в группах «Яндекс.Район» фейковое интервью со специально созданного сайта-клона популярного издания: «76-летняя пенсионерка получила 170 000 рублей компенсации НДС и потратила все деньги на стриптизера».
В прошлом году такие сообщения люди получали в мессенджерах, по почте или в соцсетях. В этом же году помимо привычных каналов продвижения мошенники начали использовать рассылки с альбомом в «Google Фото» (сервис для хранения фотографий и видео). Эта схема применима не только к владельцам телефонов на ОС Android, у которых сервис установлен автоматически, но и для владельцев iPhone. Главное условие, по словам Александра Калинина, наличие учетной записи Google. Часто она устанавливается при переходе с одной операционной системы на другую, чтобы иметь под рукой свою коллекцию фотографий в облачном хранилище.
Технически всё происходит следующим образом: в стандартном функционале есть возможность делиться выбранным альбомом с фотографиями с другими пользователями. Когда приходит приглашение к просмотру такого альбома, в большинстве случаев оповещение об этом поступает в виде push-уведомления на телефоне, которое невозможно не заметить (на телефонах и с Android, и с iOS).
Новый альбом появится в разделе «Общие» всего с одной фотографией, что пользователю на его имя на сервисе «Госуслуги» одобрена выплата — например, в 278 500 рублей. Объем «поддержки» может отличаться в большую или меньшую сторону, но это всегда некруглая сумма, что вызывает дополнительное доверие у людей. Кроме того, на фотографии есть комментарий, в котором прописана инструкция для получения выплаты. Полное описание, обещают «щедрые спонсоры», будет доступно по ссылке со множеством переадресаций с одного сайта на другой.
— Это делается для увеличения времени жизни мошеннических сайтов, — пояснил Александр Калинин. — Таким образом, при блокировке одного сайта в цепочке он легко будет заменен на другой, при этом исходная ссылка останется неизменной, и все потенциальные жертвы долгое время смогут ей воспользоваться.
Жертве предлагается оплатить комиссию за перевод в размере 398 рублей через фейковый платежный сервис, причем сделать это нужно максимально быстро, поскольку через 48 часов сумма якобы будет возвращена отправителю. Временные рамки являются дополнительным инструментом давления на человека.
— Мошенники рассчитывают, что жертва, получив сообщение, поспешит выполнить все указания. Ведь он получил уведомление от Google, которому доверяют, в нем нет настораживающих слов, что аккаунт взломан, — отметил руководитель CERT-GIB.
Далее ситуация развивается по классическому сценарию. Если человек вводит свои данные в шаблон для оплаты перевода, мошенники похищают данные его карты, а потом и средства со счета.
Захват через охват
Опрошенные «Известиями» эксперты считают, что такой канал распространения фишинговых ссылок более опасен, чем привычные почтовые и СМС-сообщения. Прежде всего своей новизной, утверждает Александр Калинин.
— В отличие от тех же писем на электронную почту, этот канал другими злоумышленниками пока не используется. И привлекает внимание своей необычностью, — уточнил он.
Доцент кафедры гражданско-правовых дисциплин РЭУ им. Плеханова Иван Денисов также считает, что граждане уже привыкли к подобным сообщениям в других мессенджерах и относятся к ним более критически.
— Многие сервисы электронной почты успешно справляются со спамом, отправляя их в папки, в которые клиенты почти не заходят. К странным СМС клиент тоже начинает постепенно привыкать, а стоимость их рассылки и сопряженные риски того, что мошенников отследят, делают их менее выгодными. Чем больше охват аудитории, тем больше шансов, что кто-то попадется на их уловки, — добавил руководитель направления исследований Центра исследования финансовых технологий и цифровой экономики «Сколково-РЭШ» Егор Кривошея.
Действительно, сообщение о выплатах рассылается через «Google Фото» одновременно 40 пользователям. А численность тех, кто использует популярный сервис, уже давно превысила миллиард человек, что говорит об огромном охвате потенциальной аудитории злоумышленников.
Руководитель департамента корпоративных финансов и корпоративного управления Финансового университета при правительстве РФ Константин Ордов полагает, что махинации с использованием предустановленных приложений и сервисов особенно опасны, поскольку вызывают доверие на подсознательном уровне. Он также считает, что основной целью мошенников является молодежь.
— Причем злоумышленники применяют уязвимости, которые вряд ли распознает даже подготовленный пользователь гаджетов, — подчеркнул эксперт.
По мнению же Ивана Денисова, в большинстве случаев жертвами становятся люди старшей возрастной группы, а также подростки и люди с низким уровнем цифровой грамотности. Егор Кривошея согласен, что ключевой аудиторией в этом случае являются непродвинутые пользователи подобных сервисов. Они, возможно, знают, что фото в телефоне есть, но не разбираются во всем функционале.
Эксперт напоминает, что информация об официальных выплатах не распространяется через «Google Фото» или подобные сервисы, а проверить ее можно через портал госуслуг, например. Это важно не забывать, поскольку, как подчеркнул Константин Ордов, технологические изменения происходят постоянно, люди просто не успевают их осваивать, поэтому у мошенников всегда остается пространство для маневра — воспользоваться недостаточной цифровой грамотностью.
— Сегодня можно защититься от рисков таких сообщений, — напомнил Александр Калинин. — Для того, чтобы не приходили нежелательные приглашения, достаточно отключить функцию общих альбомов в настройках.
Также можно пожаловаться на такого пользователя и заблокировать его, добавил эксперт по кибербезопасности.
Пресс-служба ЦБ не ответила на запрос «Известий» о новом канале продвижения мошеннических ссылок. В Google также не предоставили комментарий, знают ли там об использовании сервиса для получения данных карт россиян, а также о том, будут ли предприняты меры для защиты пользователей.