Мошенничество в сети - Кэтфишинг - Теория и практика

Цифровая революция набирает обороты. Искусственный интеллект, нейросети и прочие аналогичные технологии стремительно входят в нашу повседневную жизнь. А продукт фирмы Open AI — пресловутый chatGPT, чуть ли не поставил всех на уши. И сложно представить, каким будет наше ближайшее будущее. Точно это не может предсказать никто. Но бесспорно, что каким бы оно не было, мошенники в нём наверняка останутся. А значит, аферы в сети по-прежнему будут популярны. Поэтому мы хотим вам ещё немного рассказать о таком явлении, как кэтфишинг, одну из крайне распространённых схем обмана в интернете.


Чем же так опасен кэтфишинг и как с ним бороться

Я уже писал о том, как человек стал жертвой сетевых жуликов. Цена доверчивости оказалась действительно высока – реально большая сумма денег и, в конечном итоге, сама жизнь фигуранта статьи. Ознакомиться можно здесь. Но тема далеко не исчерпана, ведь кэтфишинг в сети – это настолько обширное явление, что ни одна, ни две, ни даже три статьи ее и близко не раскроют. Впрочем, следует помнить, что в большинстве сетевых схем преступники используют все те же принципы обмана, что и в реале, только автоматизировав и масштабировав их с помощью IT – технологий.


Взгляд безопасника

Если посмотреть на сетевую архитектуру с точки зрения web-security, то отчетливо видится два компонента: человеческий и машинный. Машинный компонент, в свою очередь, подразделяется на “железо” и “софт” (А сейчас видимо добавятся еще и нейросети. По сути, это тоже софт, но принципиально иной и настолько продвинутый, что его придется ранжировать по отдельным категориям). Теперь возникает вопрос: какой из них наиболее подвержен атакам?

На заре развития интернета, машинный компонент был крайне несовершенен и предельно уязвим для всего, начиная от простого технического сбоя и заканчивая умышленными действиями. Неудивительно, что тогда ему и не доверяли хранение денег или конфиденциальной информации. Но сейчас надежность машин достигла такого высокого уровня, что “хакнуть” так просто их уже не получится (принципиально это возможно, но крайне сложно и требует продвинутого = дорогостоящего оборудования). Вот и выясняется, что самым слабым звеном системы по-прежнему остается человек. Нужно лишь правильно подобрать к нему ключик — для этого и нужен кэтфишинг.


Кэтишинг. Что это такое?

Единого мнения на этот счет нет, и вряд ли появится в ближайшем будущем — в связи с широкими вариациями самого явления. Исходя из вышеизложенной теории сетевой архитектуры, я бы определил фишинг как атаку преимущественно на человеческий компонент, а хакерство – на машинный. Хотя понятно, что это условное деление, ведь преступные действия обычно состоят из связки фишинг/хак, но всегда один из них превалирует.

Базовый принцип

Сущность нашего мышления дуальна. Мы эмоционально-логические существа. Аферисты это знают и с успехом пользуются этим свойством человеческого сознания. Чтобы “рыбалка” была успешной, они обратятся к вашим эмоциям. Таким как: сочувствие, сострадание, жадность, гнев, страх. Если у них это получилось – считайте, что вы у них на крючке.


Инструменты

Кратко разберем, как мошенники практикуют кэтфишинг и что используют в своей “работе”.

OSINT

Судя по публичным заявлениям руководителей спецслужб, во второй половине ХХ века разведка государств на 70 – 90% черпала информацию из открытых источников. И это еще интернета не было – только TV, радио и печатные СМИ.

Вот в этом и состоит суть технологии OSINT. Open Source INTelligence (OSINT) – технология поиска, сбора и анализа информации из открытых источников.

Подсказка: не только спецура может разрабатывать “вероятного противника”, но и мошенники — свои “охотничьи угодья”.

Социальная инженерия

Разные манипулятивные техники со все той же задачей – “пробить” вас на эмоции. Цель – побудить/заставить объект манипуляции совершить некие действия, например, перевести деньги или выдать конфиденциальную информацию.


Кэтфишинг: распространенные технические приемы

Коммуникация, коммуникация и еще раз коммуникация. Чистый пиар в изначальном смысле этого слова (PR, public relations – связи с общественностью). Сюда входят: e-mail и sms-рассылки (в том числе спам, но это не обязательно), статьи, форумы, разные порталы до новостных включительно. Все это с обратной связью. Ну и, конечно же, их величества соцсети, список которых мне откровенно лень катать.

Теперь перейдем к конкретным схемам “рыбаков”:

1. Просьба о помощи

Это один из самых простых вариантов: создается предельно жалостливая история, красиво упаковывается и постится по всем соцсетям. С просьбой о вспомоществовании и платежными реквизитами.

Как реагировать на такое с учетом того, что как минимум часть историй действительно правда? Честно — не знаю, у меня нет ответа.

2. Опросы, тесты

Человеку предлагают пройти опрос, тест или квест. Канал связи разный. Телефонный звонок давно устарел, а вот разные мессенджеры очень даже в тренде. Через пару дней с ним связываются и сообщают, что он победил в розыгрыше (набрал нужное количество баллов, у него удачная карма, звезды так сошлись, организаторы были в шоке от его эрудиции – нужное подчеркнуть). Но чтобы получить свой выигрыш надо оплатить 5 – 10 долларов за его пересылку. После этого о своих деньгах вы можете честно забыть (о призе и организаторах — тоже).

Не знаю, сколько так можно “заработать”, но давайте попробуем прикинуть. Допустим, в “сеть” попалось 10 000 “рыб” (для соцсетей это не так уж много). Предположим, конверсия составила 5%, тогда “выхлоп” будет 2.5 – 5 тыс. долларов. Неплохо так за 3 – 4 дня. Даже если я и ошибся, пусть в десять раз, все равно 250 – 500 баксов – хорошая сумма. Ведь если бы кэтфишинг не приносил дохода, кто бы его практиковал, не так ли?

Во втором случае с вас стребуют данные карты, куда перевести “выигрыш”. Причем не только номер, но и дату, до которой она действительна, и CVV (это три цифры на обороте). Все это якобы нужно для “верификации” карты. А на самом деле, что бы спи… снять с неё деньги.

Граждане, запомните: кроме НОМЕРА(!!!) карты, никакие другие ее реквизиты никому передавать нельзя! По уму, даже родным и близким. У них тоже могут выдурить информацию. Какие потом у вас с ними будут отношения?

3. “Волшебный кошелек” – разнообразные обменники

Тоже просто. Я об эту схему постоянно “запинаюсь” в соцсетях, в основном — на фейсбуке. Что интересно, ФБ этих явных мошенников не банит, а вот я недавно словил бан непонятно за что от Марка Цукерберга. В общем, читаешь заметку, где автор со щенячьим восторгом описывает некий кошелек, куда закидываешь сумму, а она через некое короткое время удваивается (утраивается… удесятеряется — от совести человека зависит).

Т-с-с-с! Только между нами: В таких кошельках работает “система ниппель”: Туда дуй, а обратно ху… Ничего, в общем.

Видал я такое. В моей розовой юности. АО МММ называлось. И прочие “трасты”. Просто детище Сергея Мавроди было первое и самое раскрученное. Сколько так можно “наловить”? Не знаю. Подозреваю, что “улов” стартует от нескольких сот долларов.

4. Работа на дому

Еще один популярный “разводняк”. Основная локация – тот же ФБ. И тоже вольготно себя чувствуют. В объявлении рекламируется работа на дому. Причем простая (Из серии: справится любой. Коробочки там делать, ручные подарки, финтифлюшки…). Требует 2 – 3 часа времени в день, и на диво хорошо оплачивается, примерно 20 – 30 долл/день. Нужен “первоначальный взнос” в размере тех же 20 – 30 у.е. На материалы. Ну, дальше вы поняли…

5. “Депозит” за работу (Развод на фриланс-биржах)

Технически более сложная схема. Но не намного. Поскольку ни одна толковая биржа не будет сотрудничать с мошенниками, необходимо создать ее “клон”. Впрочем, весь “движ” и функционал конечно не копируют – это ахрененно сложно, долго и дорого. Да и вряд ли вообще возможно. Чаще всего – просто создают страницу оплаты с реквизитами исходной биржи. Там всего-то и надо: примерно тот же URL, с заменой пары букв/символов, и тот же визуал, с чем проблем нет от слова совсем. Потом связываются с фрилансером, сообщают, что он “прошел кастинг”, “клиент” согласен на условия (как правило, весьма хорошие). Далее “заказчик” пишет, что внес полную предоплату, она заморожена на депозите биржи до выполнения и приема задания. И предлагает внести “страховый платеж”, якобы затем, чтобы точно знать, что исполнитель будет работать. Типа, вернут после выполнения задания. Обычно требуют 15 – 20% от полной суммы и подсовывают “сачок”, пардон – страницу оплаты.

Подсказка: метод очень популярен на известных и раскрученных биржах. Настолько, что на многих из них есть статьи – предупреждения. Вот и рекомендую их читать.

В связи со всем этим вспоминается крылатая фраза Остапа Бендера:

– Попрошу делать взносы!

6. Вредоносные сайты

Есть ресурсы, где можно словить “трояна” – вредоносную прогу. Распространенная схема: где-то (чаще в соцсетях или в рассылке) расписывают дивный сайт, который, что золотая рыбка, такой хороший, такой полезный… Переходите туда и получаете “подарок”. Смысл действий в получении конфиденциальной информации. Это, например, могут быть коды доступа к вашим платежным документам (кошелькам, картам и прочее). Или те же коды к вашим связным аккаунтам. Которые, кстати, отлично торгуются или используются самими злоумышленниками, ниже расскажу – как именно.

Следует отметить, что большинство таких атак комп отобьет – все-таки антивирусы у нас довольно хорошие, но “фишеры” не унимаются. Заодно, дам уже порядком избитый совет: не ходите по подозрительным ссылкам.

7. Взлом аккаунтов соцсетей

То же, что и выше, но атаки ведутся на акки соцсетей, что по ряду причин намного проще сделать. Похоже, с ФБ я попал именно под такую раздачу – по какой-то причине bot-security принял меня за взломщика. Кстати, реальные взломщики имеют софт, позволяющий обмануть этого бота. Один из таких способов – подставить под бан “левый” акк. Ну или вариант 2 – это был вообще не бан, просто мой аккаунт был взломан и его похитили.

Возникает резонный вопрос: зачем оно кому надо? Есть варианты:

  • Тупо продать. Ведь инфа – очень ценная вещь, и подобный товар разлетается как горячие пирожки
  • Арбитраж трафика
  • Прочие варианты

Эта тема настолько обширна, что в рамках этой статьи раскрывать ее не буду, только обозначу. Также скажу, что есть “гении” (и немалым числом), которые “ломают” гос-депозитории и качают БД (базы данных) жителей целых стран! А сами потом, зачастую, отправляются “парить нары” – государство таких “шуток” почему-то не понимает.

8. Спам с вирусом

Смотри главу “Вредоносные сайты” – закинуть “трояна”.

9. Личная просьба о помощи

Такой вариант: ваш хороший знакомый сообщает, что попал в сложную ситуацию (Заодно может ее и расписать в красках, мошенники прекрасно знают, как это делать так, чтобы проняло) и просит энную сумму, причем как можно скорее. Обычно эквивалент 100 – 500 “в капусте. Конкретная сумма зависит от доходов и статуса (вас и друга), что тоже мониторится из тех же соцсетей. Конечно, будут заверения, что непременно отдаст (Вот как только – так и сразу, после дождичка в четверг…). На самом деле, денег вы не получите, поскольку это был не ваш приятель, а “рыбак” с его взломанного акка. Как вам потом с другом общаться – я не знаю.

Мораль: прежде чем выполнять такие просьбы, свяжитесь с просителем по альтернативным каналам, к примеру, электронной почтой или другим мессенджером, если есть телефон – позвоните. Скорее всего, реальный обладатель аккуаунта будет сильно удивлен.

10. Фальшивые интернет – магазины

Смотри: “Депозит” за работу (Развод на фриланс биржах). Вариант этой схемы. Создается фальшивый интернет-магазин, все как положено: товары, страница оплаты, служба поддержки, вежливый женский голос чат-бота. Но как только вы “сделали покупку”, денежки тю-тю… Товара вам тоже не будет.

11. Кэтфишинг на маркетплейсах

Смотри: “Депозит” за работу (Развод на фриланс биржах). Очень похожая схема, причем “терпилой” оказывается уже продавец. Кратко: Создается страница оплаты с визуалом маркетплейса и сильно похожим URL. Потом кидают продавцу сообщение (вайбер, вацап), что уже купили товар, деньги на депозите маркетплейса, а продавцу следует сообщить данные карты на которую они поступят. Причем, требуют дату актуализации и все тот же CVV. Якобы для верификации. Все, этого достаточно, чтобы “выжать ее досуха”.


Автор – лох!

К сожалению, вынужден вам признаться, что такие советы легче раздавать, чем следовать самому. И моя история тому подтверждение. Да, кэтфишинг сработал, и я сам пару раз попадал на удочку ловкачей. Оба раза дело закончилось благополучно (для меня), но сам факт…

Как я попался в сети мошенников

Развод на бирже по описанной выше схеме: “заказчик” написал, что готов работать, деньги перевел на депозит биржи (а это стандартная схема безопасной сделки на большинстве платформ), и предложил мне внести “страховый платеж” (а вот такого на биржах нет, не было и не будет). Я чуть было не купился, но в последний момент одумался.

Второй раз продавал на маркетплейсе. “Клиент” кинул сообщение в вайбер, что присмотрел мой товар. Как я обрадовался (и расслабился!). Деньги реально были нужны. После еще пары месседжей он сообщил, что оплатил товар, а мне надо верифицировать карту выплаты. И кинул мне ту самую страницу оплаты очень похожую на страницу ресурса. Там были поля, куда надо ввести номер карты, срок действия и CVV. И чат-бот. И я как дурак все заполнил. Но в мозгах все же что-то клацнуло, я ведь понимал, что могут снять. У меня несколько карт, поэтому я сунул им пустую – на тот момент там был эквивалент 0,5 долларов. Чат-бот мне ответил, что для верификации недостаточно средств. Я спросил сколько надо. Он назвал эквивалент 30 долларов. Деньги у меня были на другой карте. И было горячее желание перекинуть на указанную, чтобы пройти “верификацию”. Но я удержался. После этого “клиент” на связь не выходил, и я его искать не стал. А “паленую” карту мне пришлось деактивировать.

Еще признак тех, кто активно использует кэтфишинг: сами они звонить вам не будут и на звонок не ответят, связь только в мессенджере.


Заключение

Постарался сделать вам наиболее полный обзор приёмов, с помощью которых осуществляется кэтфишинг. Но вместо рыбы – мы с вами, господа. Поэтому есть большой смысл внимательно ознакомится с предложенным материалом и поделиться им с друзьями и знакомыми. Попасться на удочку мошенников реально неприятно (я после той истории на маркетплейсе минут пять изъяснялся про себя словами, которых в словарях не пишут). Вместе с тем помните, что это далеко не полный перечень, плюс, к тому, регулярно появляются новые связки. Поэтому сохраняйте бдительность, граждане.

Я высказал личную точку зрения, которая может не совпадать с мнением администрации сайта. Всех, кому есть что сказать по этой теме, с удовольствием выслушаю в комментариях

PS: Все приведенные в статье суммы для удобства указаны в долларовом эквиваленте. Понятно, что “рыбаки” работают в основном с национальной валютой. Описаны наши реалии. В Европе и Америке кэтфишинг тоже “имеет место быть”, что следует даже из предыдущей статьи, но там “чек” надо умножать раз в пять минимум. Всем удачи и осознанности.

Оставьте комментарий