Как работают новые схемы мошенничества с использованием мобильных приложений.
Мошеннические мобильные приложения в официальном каталоге Google Play мимикрируют под социальные сервисы и брокерские конторы, чтобы похитить деньги с вашей банковской карты Россию захлестнула волна мошенничества с использованием мобильных приложений.
Вредоносные программы «Выплаты населению» и «Газпром Инвестиции» находятся в топ-10 наиболее часто скачиваемых приложений в каталоге Google Play — их показатели больше, чем у официальных приложений банков и брокеров, а реклама активно крутится по всему Интернету. При этом Google и Роскомнадзор не могут (или не хотят) ничего сделать. Разбираемся, как это работает и почему до сих пор существует.
На самом деле схем две, и они кардинально различаются по механике и целевой аудитории: роднит их только использование мобильных приложений.
С технической точки зрения приложения крайне примитивны: они представляют собой ярлык к тому или иному веб-ресурсу, то есть просто открывают мошеннический сайт, но не в браузере, а внутри приложения. Сделано это с одной целью: скрыть мошеннический адрес. В противном случае в адресной строке браузера будет легко увидеть что-то типа «vyplatavsem2022.freesite.org» или «24gaz-invest-super.cc», что сразу выдаст мошенников и упростит жалобу интернет-провайдеру или сотовому оператору.
Кроме того, в приложениях реализована попытка присылать жертве уведомления с напоминанием о том, что бесплатный сыр — вот он, буквально в одном шаге, и будет доступен еще буквально пару часов. Однако по факту она не работает: при нажатии на уведомление встроенный в приложение сайт выдает сообщение об ошибках.
С точки зрения информационной безопасности мошеннические приложения абсолютно безвредны: никаких прав доступа к тем или иным ресурсам смартфона (камеры, сообщения) не запрашивают, данные украсть не могут, так что ради эксперимента их можно смело скачивать. Сайты, открывающиеся внутри приложений, реализуют давно известные схемы мошенничества.
Как бы выплаты
Первая схема, с выплатами, ориентирована на людей, у которых денег совсем нет.
В рамках программы «Выплата населению» жертве предлагается получить компенсацию от государства. Первым делом просят ввести последние восемь цифр номера банковской карты, которой вы чаще всего пользуетесь. Можно ввести любые, хоть восемь нулей, это не имеет значения.
Однако после этого запускается анимационный ролик, имитирующий поиск по базам данных: по экрану бегут цифры и буквы, периодически возникает сообщение о том, что «найдена компенсация». Через минуту-полторы «сканирование» заканчивается и демонстрируется общая сумма компенсации: без малого 300 тыс. рублей.
Осталось такое внезапно свалившееся богатство оформить, и тут же происходит «Поиск свободного юриста». Разумеется, никакого юриста нет, это просто скрипт, задача которого — еще немного потянуть время, психологически подогревая жертву. Проходит еще несколько мгновений — и наступает развязка: без пяти минут богачу необходимо оплатить услуги юриста — всего-то 365 рублей. Открывается окно несуществующей платежной системы Fastpay, в котором нужно ввести данные карты…
Но если раньше на этом месте выводилась форма для пополнения какого-нибудь QIWI-Кошелька, то сейчас в таких случаях банки 20 раз предупреждают жертву о том, что она переводит деньги частному лицу.
Поэтому в 2022 году преступники идут чуть дальше в технологическом плане: на самом деле это «заглушка», являющаяся частью инфраструктуры для обхода системы авторизации 3D Secure. Жертва вводит данные карты, получает одноразовый пароль от банка и вводит его в форму.
На самом деле в этот момент скрипт на сервере мошенников генерирует запрос в банк на перевод средств с карты жертвы на карту преступника. Жертва вводит код в мошенническом приложении, а скрипт тут же пересылает его в настоящую форму банка.
То есть логически это то же самое, что продиктовать мошеннику одноразовый пароль по телефону, только всё работает автоматически: жертва сама вводит его с клавиатуры. Для банка же эта операция выглядит как если бы клиент сам сделал перевод с карты на карту и подтвердил операцию одноразовым паролем.
Интересно, что списать при этом пытаются не 365 рублей, как было обещано, а побольше — почти 900: настоящую форму мы обнаружили случайно после целенаправленного многократного ввода номеров заблокированных карт, карт с запретом онлайн-операций и карт с нулевыми балансами, с которых нельзя ничего списать.
Как видно из формы в приложении «Выплаты населению» используются виртуальные карты платежного сервиса QIWI. C них по цепочке деньги перекидываются еще по нескольким таким картам и в конце обналичиваются.
Как бы инвестиции
Вторая схема, с инвестициями, ориентирована на тех, у кого деньги есть.
Ее активно рекламируют в Facebook — в мобильной версии так и вовсе практически нет никакой другой рекламы. Сколько ни нажимаешь «Пожаловаться» — «Дезинформация или мошенничество», — ее лезет все больше и больше. Как правило, потенциальной жертве предлагают заработать много денег на инвестициях вместе с «Газпромом», Тинькофф Банком или каким-нибудь экспертом по криптовалютам.
Вне зависимости от активов, в которые нужно инвестировать, жертву завлекают сверхвысокими доходами, невозможными ни на фондовом рынке, ни в «крипте», и обещают дать опытного наставника, который будет курировать весь процесс.
Роль приложения в данной схеме довольно скромна: жертве предлагают ответить на пару глупых вопросов типа «Сколько денег вы хотите получать ежемесячно — 1, 3 или 10 миллионов?», после чего выдается сообщение в духе: «Ура, вы приняты, осталось два места, оставьте свой номер телефона — и мы вам перезвоним». После этого жертве звонит хорошо обученный мошенник, представляющийся сотрудником брокера, рассказывает о возможностях разбогатеть и предлагает открыть брокерский счет — буквально в один клик.
Далее по электронной почте отправляются ссылки и логины-пароли для входа в личный кабинет. «Менеджер» на другом конце провода иногда даже предлагает созвониться по Skype с демонстрацией экрана, чтобы всё рассказать и показать. Главная его задача — убедить человека пополнить счет и начать торговать.
Пополнение реализуется точно так же, как и в первой схеме, — с подставным окном 3D Secure и фактическим переводом частному лицу. Причем жертву часто обрабатывают довольно долго: в интерфейсе «брокера» она «под руководством опытного трейдера» по его «сигналам» покупает и продает те или иные активы — так, что баланс только увеличивается. Возникает соблазн подкинуть еще немного собственных средств и даже взять кредит, чтобы торговать с размахом.
Развязка наступает, когда клиент пытается вывести заработанные миллионы. «Брокер» принимает заявку и говорит, что процесс займет несколько дней. Естественно, через несколько дней и сайт «брокера» перестает работать, и телефон «менеджера» отключается — оказывается, все это время жертве просто показывали красивые циферки на экране.
Обе схемы давно известны, но «обертка» в виде мобильных приложений создает эффект легитимности: если есть официальное приложение в Google Play, значит, можно доверять! Откуда это? В том-то и дело, что нельзя.
В управляемом одной из богатейших корпораций в мире магазине Google Play фактически не работает премодерация приложений. Если само приложение не запрашивает никаких разрешений и не является вредоносным, а просто использует лишь методы социальной инженерии, никто не станет проверять его вручную.
Любой может зарегистрироваться в качестве разработчика и отправлять в Play десятки подобных аппов. Достаточно при помощи ботов накрутить им скачивания и положительные отзывы, создавая иллюзию благонадежности. Даже если по многочисленным жалобам одно приложение удалят, мошенники оперативно загрузят в Play точно такое же.
Точно так же нет никакой премодерации в Google Adwords, где мошенники закупают рекламу своих приложений.
Это не только российская проблема — например, в США долгое время в поисковой выдаче рекламировались сайты, ворующие номера подарочных сертификатов и ПИН-коды для их активации — за первые девять месяцев 2021 года у американцев украли подарочные карты крупных розничных сетей на общую сумму около 150 млн долларов.
Про русский Facebook и Instagram и говорить нечего: местные представители Meta озабочены, похоже, лишь блокировками фанатов футболиста Хохлова. Огромная доля рекламы, показываемой в России на мобильных устройствах, — это либо откровенное мошенничество (кроме вышеописанных схем также распространены магазины чудо-гаджетов, в которых предлагают купить что-нибудь вроде электросамоката или квадрокоптера по цене 20 долларов с доставкой по всему миру), либо в лучшем случае марафоны инфобизнесменов.
Стоит отметить, что в App Store для iOS таких мошеннических приложений нет: у Apple модерация работает гораздо более тщательно.
Как бороться с мошенниками?
Ловить их крайне затруднительно, поскольку виртуальные карты в каждой цепочке используются один-два раза, а оформляются чаще всего на подставных лиц. Вычислить конечных бенефициаров крайне сложно, к тому же Интернет позволяет им работать откуда угодно: как ты поймаешь жулика, фактически находящегося в другой стране?
Возможны и другие методы борьбы. Эксперты ОНФ, например, предложили ввести оборотные штрафы и уголовную ответственность для интернет-корпораций, чьи ресурсы размещают рекламу сайтов, намеренно созданных аферистами для обмана пользователей. Речь прежде всего идет про Google, YouTube и Facebook. Идея выглядит здравой: если сейчас модерировать рекламу вручную им кажется дорогим удовольствием, значит, нужно сделать так, чтобы бездействие стало еще дороже. Однако пока это лишь предложение.
Главным оружием остается информирование: легких денег не бывает, не бывает и предоплаты за получение средств — в реальном мире, когда с вас хотят получить копеечную комиссию, ее просто вычитают из суммы перевода. Запомните это сами, расскажите детям и пожилым родственникам.
То же самое касается модной сейчас темы инвестирования: никаких десятков процентов в месяц (и даже в год) вы не получите. Нет никаких гарантированных стратегий инвестирования, а инсайдерскую информацию никто не будет раздавать всем подряд и еще платить за рекламу этих знаний в соцсетях.