Мошенники прикинулись жертвами
Теракт активизировал фишинговую рассылку
После теракта в «Крокус Сити Холле» 22 марта в сети возросла вредоносная активность, как просто мошенников, так и провокаторов. Специалисты по кибербезопасности и представители «Крокуса» говорят о поддельных сборах на помощь жертвам и восстановление концертного зала, в том числе от фейков легальных благотворительных организаций и персон. Параллельно злоумышленники, наоборот, рассылают фейковые предложения о платежах за противоправные действия, вплоть до теракта, опираясь на суммы, названные обвиняемыми. Эксперты считают эти действия «попытками информационно-психической манипуляции гражданами».
Фото: Ирина Бужор, Коммерсантъ
В F.A.C.C.T (ранее Group-IB в России) рассказали “Ъ”, что наблюдают в сети (в частности, в Telegram и «ВКонтакте») «злонамеренную активность», связанную с терактом 22 марта. В частности, обнаружены созданные 23 марта «фейковые группы и каналы», посвященные сбору средств помощи жертвам (“Ъ” ознакомился с несколькими группами).
Организаторы ресурсов утверждают, что через них можно поддержать потерпевших и их семьи, предоставляя номер карты или банковского счета для перевода. В ряде случаев злоумышленники пишут, что средства пойдут на восстановление концертного зала.
С предупреждением о мошенниках обратились к гражданам и в самом «Крокус Сити Холле». Представители площадки 24 марта сообщили в Telegram, что в случае звонков или сообщений от якобы сотрудников «Крокус Сити Холла» не нужно «совершать никаких операций, заполнять документы, переводить деньги».
«Мошенники придумывают убедительные истории, а также выдают себя за реального человека или организацию, подменяя реквизиты в копии официального сообщения, например, благотворительного фонда,— говорят в F.A.C.C.T.— Чтобы не попасться, как минимум важно сверять реквизиты в сообществах с данным официальных источников». В VK заверили, что блокируют все сообщества, «которые ведут сборы без подтвержденных финансовых отчетов». В Telegram не ответили “Ъ”.
К 25 марта мошенники, использующие фишинг, охватили и англоязычный сегмент интернета: специалисты F.A.C.C.T. обнаружили маскирующиеся под британское издание The Guardian сайты, где пользователям предлагается пожертвовать деньги гражданам РФ, которых коснулась трагедия.
Для перевода предлагаются крипто-кошельки (WalletConnect, MetaMask и др.). Сайты распространяются на pages.dev, техническом домене, принадлежащем Cloudflare, уточняют эксперты.
В то же время в «МегаФоне» говорят, что не отмечают резкого роста телефонного мошенничества. В целом, по данным оператора, 22 марта всплеск голосового трафика в Москве составил 40% неделя к неделе, компания также наблюдала удвоение активности в Telegram. В МТС подтверждают, что в Московском регионе 22 марта с 20:00 до 00:00 в сравнении с тем же периодом 15 марта голосовой трафик вырос на 40%, передача данных — на 5%. В Tele2 также говорят о росте трафика. В «Вымпелкоме» отказались от комментариев. В Роскомнадзоре не ответили на запрос “Ъ”.
Специалисты по OSINT (Open Source Intelligence, разведка по открытым источникам) обращают внимание на другое направление мошенничества, рассчитанное на альтернативную аудиторию.
«Пользователям пишут неизвестные, предлагая заработать, выполнив ряд действий, включая помощь в организации теракта за 500–700 тыс. руб. (согласно видео, опубликованным силовиками, один из террористов в ходе следственных действий говорил, что должен был получить 500 тыс. руб.)»,— рассказывают в Т.Hunter. Такие сообщения отправляются в Telegram, WhatsApp и Viber.
«Для регистрации аккаунтов, которые мы исследовали, использовалась виртуальная телефония (автоматические телефонные станции.— “Ъ”)»,— уточняет глава департамента расследований T.Hunter Игорь Бедеров. Исходя из массовости и единообразия подходов, он предполагает, что это «попытки информационно-психической манипуляции гражданами».
«Пока мы видим обращения к старшеклассникам и студентам, географически фиксировались рассылки в крупных городах: Москве, МО, Петербурге, Казани, а также в Тульской и Смоленской областях»,— уточняет господин Бедеров. Это отчасти провокация паники, отчасти отвлечение внимания силовых структур. При этом эксперт предупреждает, что сейчас наблюдаются и реальные вербовочные мероприятия в соцсетях и Telegram: «Они отличаются отсутствием прямого обращения, сообщения распространяются в чатах».
Александр Хинштейн, глава комитета Госдумы по связи и IT, в своем Telegram-канале о провокациях в сети на фоне трагедии в «Крокус Сити Холле» 22 марта:
«Все, что мы можем сделать здесь и сейчас,— не отвечать провокаторам, сохранять здравый смысл и не поддаваться панике».
«Социально значимые поводы обычно отрабатываются злоумышленниками моментально, а продолжительность активности зависит от ряда факторов,— уточняют в "Информзащите".— Среди них действия правоохранительных органов, осведомленность и бдительность пользователей». В компании предупреждают, что «появляются и корпоративные риски», если дезинформация распространяется от имени компаний или реального благотворительного фонда: «Обманутые граждане впоследствии могут подать в суд на компанию, обвинив в хищении, ведь другой "обратной связи" после инцидента у них не будет».