Фишинговые SMS-сообщения внешне неотличимы от настоящих. К тому же злоумышленники могут использовать некоторые персональные данные о жертве из открытых источников (социальных сетей, государственных структур и т. п.) и утекших баз данных, чтобы притупить ее бдительность, указывая в сообщении такие сведения, как имя и фамилия, список последних операций по карте или ее баланс, паспортные данные и т. п.
Примерами таких сообщений могут служить оповещения о выигрыше от имени известной компании, о блокировке банковской карты или подозрительном платеже, об аресте счета службой судебных приставов, предложение об обмене (например, если жертва выставила какой-нибудь товар на продажу на электронной доске объявлений) и др. Жертве могут предложить ответить на полученное ею сообщение, перейти по ссылке или позвонить по указанному номеру. Если она отвечает на подобное сообщение, то злоумышленник начинает вытягивать из нее персональную информацию или любыми способами пытается заставить перевести деньги на свой счет. При переходе по ссылке, вероятнее всего, откроется фишинговая страница, имитирующая легитимную и созданная для хищения вводимых пользователем данных, либо загрузится вредоносное приложение (см. раздел «Вредоносное программное обеспечение»)[282].
Могут быть и другие варианты смишинга, например вежливые просьбы «сообщить код активации, так как данный номер ранее принадлежал другому человеку и он пытается войти в один из своих старых аккаунтов». Вполне правдоподобная ситуация, если учесть, что операторы сотовой связи перепродают номера, которые давно не используются, но в данном случае, скорее всего, это мошенничество. Злоумышленник мог найти в интернете связку «адрес электронной почты плюс номер телефона»[283] и попытаться получить доступ к электронной почте, сбросив пароль с подтверждением по номеру телефона. Получив доступ к почте, злоумышленник сбрасывает пароли на всех сервисах, привязанных к этому адресу, и получает доступ ко всем аккаунтам жертвы[284].
Фишинговые сообщения в мессенджерах могут содержать упоминание известных брендов, таких как «Макдоналдс», «Пятерочка» или «Леруа Мерлен», в сочетании с предложениями перейти по ссылке и получить купон на определенную сумму денег или скидку. После перехода открывается фишинговая страница или форма с предложением ответить на несколько вопросов и поделиться информацией с тремя контактами в мессенджере. После этого возможны различные варианты: пользователь перенаправляется на фишинговый сайт, крадущий персональные данные; переходит к загрузке вредоносного файла или расширения для браузера; получает следующее предложение: поделиться личной информацией и, заплатив небольшую сумму, заработать какой-то приз и т. п.
Стремясь повысить эффективность атак, злоумышленники идут в ногу со временем и придумывают новые уловки. Так, во время пандемии COVID-19 в 2020 г. они рассылали в мессенджерах и SMS-сообщениях «уведомления о нарушении режима карантина и необходимости оплаты штрафа» (с угрозой возбуждения уголовного дела, если оплата не будет произведена в течение суток). В сообщении указывался телефонный номер, звонок по которому перенаправлялся якобы в справочную службу МВД, после чего жертву убеждали «заплатить штраф». Другие мошенники предлагали приобрести пропуска для перемещения по городам[285], закрытым на карантин, требуя предоставить паспортные данные и перечислить некоторую сумму денег[286].
Суть схемы – продажа несуществующего товара или похищение денег у продавца. В первом случае одна из самых популярных схем – предложение товара по цене существенно ниже рыночной (мошенники заявляют, что делают скидку из-за срочности; продают старую вещь, так как им подарили новую; дешево продают товар, конфискованный на таможне, и т. п.). Жертве предлагается сразу перечислить аванс, чтобы забронировать товар, поскольку «покупателей очень много», либо перевести полную сумму, так как «продавец не может встретиться лично», «находится в другом городе» и т. п. Затем, уже во время сделки, может выясниться, что товар ненадлежащего качества, а аванс вернуть уже нельзя. Так или иначе, обманутый покупатель не может получить уплаченный им аванс обратно. Чтобы притупить бдительность жертвы, ей могут предложить воспользоваться услугой доставки, оказываемой сайтами частных объявлений, например «Авито», но дать ссылку на фишинговый сайт[287], крадущий банковские данные и совершающий транзакцию в пользу злоумышленников. Мошенник-«продавец» предлагает курьерскую доставку товара и после осмотра оплатить его, переведя деньги на карту. Он заказывает доставку товара из реального магазина на адрес покупателя. Курьер действительно приезжает, жертва осматривает товар и переводит деньги мошеннику, а не магазину. Поэтому курьер товар не отдает.
Также мошенники могут клонировать чужие объявления, чтобы стать посредником и получить товар бесплатно. Злоумышленник копирует чужое объявление и, когда с ним связывается покупатель, предоставляет данные реального продавца для перевода денег. Продавец, получив деньги, отправляет товар на адрес мошенника.
Существует схема обмана путем подделки SMS-сообщений с банковскими уведомлениями, когда злоумышленник-«покупатель» отправляет продавцу фейковое сообщение о переводе денежной суммы (как правило, превышающей цену товара, например 25 000 вместо 15 000 рублей). В этом случае злоумышленник пишет, что ошибся, и просит вернуть 10 000 рублей. Разумеется, ничего на счет продавца не поступало; если он переводит мошеннику указанную последним сумму, то теряет собственные деньги, а не отдает чужие. Другой вариант: на счет продавца поступает денежная сумма, превышающая стоимость товара. Злоумышленник просит вернуть разницу (10 000 рублей) и исчезает, а через некоторое время счет продавца блокируется за мошенничество, так как 25 000 ему перевел совершенно посторонний покупатель, с которым общался злоумышленник.
Еще одна схема: злоумышленник приобретает товар наложенным платежом, а затем отказывается его брать. При осмотре товара он подменяет его подделкой, которую возвращает продавцу вместо настоящего товара[288],[289]. Также мошенник может оформить заказ товара у самого себя, чтобы получить номер заказа и, сымитировав сообщения от сервиса частных объявлений, прислать его продавцу. Если тот отправляет товар, злоумышленник и получает посылку, и возвращает свои деньги (так как товар он купил «у себя», а у настоящего продавца заказа вообще нет)[290]. Также злоумышленники могут взламывать профили пользователей сайтов частных объявлений, используя технические каналы связи, как описано в кейсе. По мнению экспертов «Лаборатории Касперского», к случаям мошенничества могут быть причастны и сотрудники сервисов частных объявлений и служб доставки, так как у них есть доступ к совершаемым сделкам и накладным, где среди прочего указаны суммы сделок[291].
КЕЙС В 2020 г. пользователь сайта «Авито» лишился 119 000 рублей, «продав» товар злоумышленнику, который получил несанкционированный доступ к профилю продавца и вывел деньги. Подделав номер продавца, мошенник позвонил в службу технической поддержки и запросил смену адреса электронной почты, привязанного к профилю. Это удалось благодаря тому, что уведомление о смене адреса электронной почты поступает только на новый адрес, но не на прежний, поэтому настоящий владелец профиля не был уведомлен об изменении контактных данных. Мошенник сбросил пароль для доступа к профилю, использовав новый адрес электронной почты, а затем сменил телефонный номер, чтобы лишить владельца возможности восстановления доступа. После получения посылки злоумышленник также получает уведомление о необходимости ввести банковские реквизиты для вывода денег за покупку и вводит данные своей карты[292].
Специфический способ мошенничества, связанного с устройствами компании Apple, заключается в продаже заблокированных девайсов или их блокировке в процессе «помощи в настройке» (с подключением постороннего Apple ID), после чего с покупателей вымогают деньги за разблокировку[293].
Еще один способ – подключение телефона мошенников к мобильному банку продавца и вывод всех средств. Обычно злоумышленник звонит человеку, продающему что-либо на сайте частных объявлений, и предлагает сразу рассчитаться, а забрать товар потом. Под разными предлогами (якобы «пользуется другим банком и на транзакцию понадобится несколько дней» или «необходимо перевести деньги с помощью счета» и т. п.) злоумышленник уговаривает продавца провести оплату через банкомат, в процессе принуждая подключить свой номер телефона к мобильному банку последнего. Если продавец соглашается и подключает номер злоумышленника, тот различными способами снимает деньги с его счетов[294]. Только на сервисах объявлений «Авито»[295] и «Юла», по данным компании BI.ZONE, в 2020 г. мошенники получали до 1 млн рублей в день[296].
Для защиты от мошенничества такого рода следует внимательно проверять объявления, их авторов и номера телефонов, которые они оставляют для связи, а также сайты объявлений и т. п.