Останні кілька місяців багато українців отримують схожі повідомлення в месенджерах. Невідомі користувачі з неукраїнських номерів надсилають дивні пропозиції роботи. Наприклад, «Привіт, мене звати Айша, чи можу я перервати вас на кілька хвилин» або «Це відділ кадрів Amazon, ми наймаємо онлайн-працівників». У таких повідомленнях зазвичай чимало граматичних помилок, а іноді це просто фото тексту. Найбільше від спаму потерпають користувачі WhatsApp, рідше Telegram, серед них — майже вся редакція «Бабеля». Ми спробували поспілкуватися з авторами цих розсилок, але на якомусь етапі всі вони просто зникли. Щоб зʼясувати, чому та яка їхня кінцева мета, ми звернулися до кількох кіберфахівців — засновника аудиторської компанії з інформаційної безпеки Disl.Tech Андрія Перевезія, ексголови підрозділу з боротьби з кіберзлочинністю СБУ Костянтина Корсуна і члена ГО «Український кіберальянс» Шона Таунсенда. Також на наші запитання на умовах анонімності відповів чинний співробітник СБУ, який вивчав цю схему. Ось що вони думають і встигли дослідити.
Як працює схема?
Співробітник СБУ, який останніми місяцями досліджував масові розсилки, каже, що вся схема складається з двох етапів. Перший ― робот з «бізнес-акаунтів» (через такі акаунти компанії можуть зручніше спілкуватися з клієнтами: наприклад, робити розсилку повідомлень чи автоматично відповідати) WhatsApp надсилає стандартні повідомлення. Такі акаунти дозволяють обійти блокування спаму з боку месенджера.
Другий етап починається, якщо людина відповіла шахраю. На ньому з жертвою працює жива людина. Вона пропонує за гроші, наприклад, ставити лайки в TikTok. За один лайк обіцяють 30 гривень. Доказом виконаної роботи є скриншоти лайків. Після їхньої відправки аферисти надсилають «персоніфікований унікальний код». Його треба вислати «менеджеру» в Telegram, щоб отримати кошти. Насправді, вислати можна будь-який набір цифр, каже співробітник СБУ, бо код ― це фікція, насправді аферистам він не потрібен, так само як і реальні докази виконаної роботи.
Далі «менеджер» у Telegram просить надати банківські реквізити, щоб перерахувати гроші, але не перераховує. Натомість дає нові завдання і знижує ставку до 10 гривень за лайк. Після цього аферисти традиційно починають виманювати гроші, але до цього етапу оперативник СБУ не дійшов ― через велику кількість підозрілих запитань аферисти його заблокували.
«Останнім повідомленням [від шахрая] було «Россия правильно поступить. Всей семья смерть вам желать» [орфографія збережена]», ― розповідає наш співрозмовник у Службі безпеки.
Засновник аудиторської компанії з інформаційної безпеки Disl.Tech Андрій Перевезій теж досліджував цю схему і збирав досвід тих, хто на неї попався. Він каже, що частина користувачів, які відповіли на пропозиції попрацювати, згодом отримали фішингові посилання. Зазвичай в них просять ввести дані кредитних карток, логіни, паролі, наприклад, щоб отримати подарунок. За такими посиланнями можуть бути й віруси, які дозволяють отримати інформацію із заражених ними девайсів. Також Перевізій каже, що деяким користувачам пропонували «внести депозит» на рахунок, куди згодом нібито приходитиме зарплата. Звісно, ніякі гроші туди не перераховували.
Шон Таунсенд з «Українського кіберальянсу» додає ― у таких схемах аферисти ще часто просять жертв встановити програму для дистанційного управління компʼютером чи смартфоном «для віддаленої роботи». Таким чином шахраї отримують доступ до всіх даних і можуть, наприклад, красти гроші з банківської картки.
Як, де і коли шахраї отримали так багато номерів?
У даркнеті (загальна назва для сайтів, в яких приховані IP-адреси) регулярно продають і купують бази телефонних номерів. Залежно від кількості контактів та якості вони коштують від тисячі до десятків тисяч доларів, каже Костянтин Корсун. У базах можуть бути як активні, так і неактивні номери. Тому шахраї, які купують бази, щоб потім перепродати дорожче, чистять їх від «мертвих» номерів. Якщо абонент відповість ― номер активний, його лишають. Саме через це частині користувачів, які вступили в листування з шахраями, потім не відповіли, каже Корсун.
Іноді шахраї зверталися до користувачів за імʼям ― отже, вони провели базову OSINT (розвідка на основі відкритих джерел) — роботу щодо акаунтів, ймовірно, через спеціально створеного бота, припускає Корсун. Але зазвичай вони не знають імен власників. «У розмові ви можете назвати будь-яке імʼя шахраю, і він прийме його за справжнє», ― додає співробітник СБУ. Іноді замість ботів, за словами експертів, пишуть реальні люди, наприклад, з Нігерії чи Індії за $15 на місяць.
Що робити, якщо отримали такий спам?
Просто не відкривати його та заблокувати номер. Якщо маєте час, надішліть інформацію в Кіберполіцію. А якщо все ж хочете відкрити лінк, який вам надіслали, скопіюйте його та перевірте на сервісі VirusTotal, радить Корсун. Так безкоштовно можна дізнатися, чи є посилання фішинговим або вірусним.
