Привет, Хабр! На связи Дмитрий Бабчук, руководитель направления информационной безопасности и ИТ-инфраструктуры маркетплейса Flowwow. Сегодня история на грани техники, психологии и детектива. Расскажу о том, как мы (я и мой коллега) попали во внутренние чаты мошенников и что из этого вышло.

Я попадал в чаты мошенников дважды, и вот как это было

Первый раз мы нашли лазейку в чаты во время разбора подозрительных сайтов. Небольшой оффтоп: мошенники за последний год начали активно использовать бренд Flowwow в своих корыстных целях. И нам это порядком надоело. А тут подвернулся случай, где сошлись все звезды. В рамках нашей стандартной процедуры — проверки подозрительных ссылок, попавших в наше поле зрения, — мы нашли ошибку, совершенную злоумышленниками. Потирая ручки, мы этим воспользовались.

Оффтоп № 2: мошенники тоже люди (да-да, понимаю ваши возмущения), и они часто совершают ошибки. У них нет цели разработать качественный сайт или потратить время на чистую архитектуру — все делается быстро, на потоке, поэтому качество их «продукта» страдает, открывая нам возможности для изучения.

Они оставили API-ключ доступа к своему Telegram-каналу в открытом виде. Механика их работы выглядела так: существовал фишинговый сайт с формой авторизации через Госуслуги. Когда жертва вводила логин и пароль, эти данные с помощью вебхука должны были автоматически улетать в закрытый Telegram-канал. Это нужно мошенникам, чтобы оперативно перехватить информацию и авторизоваться в настоящем сервисе за пользователя.

Изучая сайт, мы заметили тот самый API-ключ. Оказалось, что он настроен некорректно и позволяет не только отправлять сообщения с данными жертв, но и добавлять новых администраторов или участников в чат. Мы воспользовались этой уязвимостью: применили токен, вписали свои ники и принудительно авторизовались в их закрытом Telegram-канале. Нам оставалось только сидеть и смотреть, чем именно они промышляют.

Другой раз я попадал в подобные чаты уже без использования технических лазеек — через обычный поиск. Существуют инструменты, которые позволяют искать тематические группы. Также ссылки часто всплывают в других зловредных каналах, где сидят злоумышленники.

Кто скрывается за аватарками чата

Когда думаешь о составах таких чатов, кажется, что там сидят изощренные манипуляторы, которые находят подход к каждому человеку и заставляют отдавать последнее. Но в реальности все куда проще и страшнее. Помимо взрослых, мы увидели много школьников.

У них в чатах есть свое разделение труда: кто-то занимается только микрозаймами, кто-то нацелен на обычные переводы с карт, а есть отдельная группа, которая работает «по линии ФСБ». Они запугивают людей уголовными делами и «спасают их деньги». Но схемы мы обсудим позже, а сейчас — заработки.

Экономика этого бизнеса устроена элементарно. Прибыль делят поровну: 50% забирает себе сам мошенник — тот, кто звонит и обрабатывает жертву, вторые 50% уходят «наверх» — тому, кто написал мошеннический софт и поддерживает инфраструктуру.

Деньги там крутятся большие. Все, наверное, видели новости про людей, которые отдали 10 миллионов кровных. В чате же мы видели войсы, где шла речь о сотнях тысяч рублей чистыми. Например, один из мошенников записывал кружок со школьной скамьи и рассказывал о том, как развел «мамонта» (так они называют взрослых людей, которые ничего не понимают в компьютерах) и заработал 400 тысяч.

По какой схеме поведут

Находясь внутри, я увидел то, о чем мы часто забываем: индустрия мошенничества достигла определенного уровня автоматизации. Если раньше фишинговый сайт нужно было верстать и поднимать вручную, то сейчас процесс поставлен на поток. Любой может сгенерировать сайт в несколько кликов (чаще всего под схемы попадают популярные сайты разных маркетплейсов, сервисов доставки и т. д.). Фактически это можно делать даже в ходе звонка с жертвой.

Схемы придумываются из жизненного опыта: мошенники адаптируют под свои цели любые бытовые ситуации. Например, один из самых популярных векторов сейчас — установка вредоносного приложения под видом трекинга посылки. Человеку звонит менеджер, говорит, что ему отправлена посылка, называет ему трек-номер и просит скачать приложение. Злоумышленник либо присылает ссылку, либо (чаще всего) присылает APK-файл для Android.

Выглядит это приложение, мягко говоря, сыровато. Но есть главное — «Введите свой трек-номер». Основной нюанс в том, что приложение работает так, как нужно мошеннику, только когда оно открыто. Поэтому чаще всего менеджеры звонят повторно под предлогом «давайте уточним детали». С помощью приложения они используют в своих целях системную настройку любого приложения — чтение СМС. Пока пользователь с ними на связи, они заходят на те же Госуслуги, авторизуются, получают СМС для входа (которую, кстати, не видит пользователь, потому что приложение прочитает его за него). Получив доступ к СМС, злоумышленники действуют моментально. В большинстве случаев они знают микрофинансовые организации с упрощенной системой выдачи займов и сразу же оформляют их.

Еще одна схема — игра на страхах через Госуслуги. Злоумышленники пытаются авторизоваться по номеру телефона человека. И в тот момент, когда он видит СМС с попыткой входа или кодом, как думаете, кто ему звонит? Якобы «Росфинмониторинг». Человеку сообщают о подозрительной активности, просят продиктовать код. Пользователя пугают, он диктует код из СМС, и прямо во время звонка ему сообщают: «Ваш разговор перехватывает ФСБ». Настоящий развод начинается именно на этом моменте, ведь человеку предлагают спасти его деньги и перевести на «безопасный счет».

Для запугивания они используют и липовые доверенности, подписанные электронной подписью. Юридической ценности они не несут, но добавляют ощутимый страх пользователю, который видит их в своем личном кабинете. Ну, и здесь исход тот же — «Сейчас спасем ваши деньги».

Маркетплейс Flowwow также стал одной из легенд, которой пользуются мошенники. Схема строится на простой психологии: злоумышленники находят дату рождения человека в открытых источниках и звонят с новостью: «Вам подарок, курьер уже едет». В праздник люди ждут сюрпризов и теряют бдительность. Под предлогом подтверждения доставки у них выманивают код из СМС, который на самом деле открывает доступ к банкам или другим аккаунтам.

Где берут ПД?

Давайте честно, когда мы получили первые сообщения о том, что клиентам звонят в их дни рождения и пытаются развести от имени Flowwow, меня пробрал холодный пот. Я, как и любой другой человек, конечно же, подумал об утечке персональных данных — настоящем кошмаре любого ибэшника. Но, проверив «каждую запятую», мы поняли, что утечки не было. В этот момент с плеч слетела примерно тонна груза.

Этот вариант отмели. Что дальше? Ответ лежал на поверхности. Проанализировав переписки злоумышленников, я в очередной раз понял одно: полной анонимности в век интернета не бывает.

Злоумышленники точно знают, как вас зовут и где вы живете.

Одна инфа сливается с разных сайтов, от которых не ожидаешь, а другую человек любезно сообщает всем в интернете в социальных сетях и других источниках.

Самые частые ресурсы — это, конечно боты, которые агрегируют информацию из всех утекших баз. Мы проверяли моего знакомого через такой ресурс, и в его случае нашлось абсолютно все: паспортные данные, СНИЛС, адрес проживания, даже номер машины.

Мы сами рассказываем о себе слишком много. Та же дата рождения, открыто указанная в профиле соцсети, становится идеальным триггером для схемы с «подарком». Также мошенники активно используют открытые корпоративные данные: списки сотрудников, протоколы комиссий или тендерные документы, которые по закону должны быть публичными.

Конечно, официально торговля персональными данными запрещена, и просто так купить базу в интернете нельзя. Но этот рынок никуда не исчез — он просто ушел в тень.

Социальная инженерия

Я уже говорил, что в чатах мошенников ожидаешь встретить грамотных социальных инженеров. На деле же триггеров, которые поймают человека на удочку, всего два: скорость и страх.

Я часто слышал, что люди говорят после разговора с мошенниками что-то вроде «Все было будто в тумане, сам ничего не понял». На деле его торопили, ему угрожали, на него давили — и один из этих триггеров сработал. В растерянном и испуганном состоянии пользователь может сделать все так, как нужно злоумышленнику.

Что делаем для безопасности во Flowwow и вам советуем

Технически мы не можем запретить злоумышленникам звонить людям и представляться нашим именем — эти атаки происходят вне нашего контура. Но и занимать позицию «это не наша проблема» мы считаем неправильным. Мы ведем борьбу там, где можем дотянуться.

Первое. Мы не ждем жалоб, а сами отслеживаем появление фишинговых доменов и фейковых групп в соцсетях. Как только находим клона, сразу отправляем запросы регистраторам доменов и хостинг-провайдерам на блокировку.

Второе. Регулярно чистим мошеннические каналы и ботов в мессенджерах. Да, на создание нового канала у них уходят минуты, но постоянные блокировки усложняют им жизнь и сбивают поток трафика.

Третье. Чтобы спать спокойнее, мы должны быть уверены, что данные не утекают от нас. Поэтому мы регулярно проводим пентесты и работаем с белыми хакерами в рамках программ Bug Bounty. Это позволяет находить и закрывать дыры раньше, чем ими воспользуются злоумышленники.

Четвертое. Лучшая техническая защита бесполезна, если пользователь сам продиктует код из СМС. Поэтому мы проводим образовательные активности в социальных сетях, пушах и других источниках.

Такое внутреннее исследование у нас вышло. В очередной раз запишем (и начальнику покажем): на 100% никто не защищен. А что для безопасности используете вы?