Мошенники массово публикуют в YouTube, Facebook и Instagram русскоязычные объявления от имени различных несуществующих киберполиций, Интерпола, ЕЦБ и даже совета ЕС с предложениями вернуть деньги, украденные брокерами, криптосервисами и другими финансовыми институциями.
При этом при переходе на страницу фишингового сайта предлагается подтвердить свой аккаунт в Facebook, а также ввести данные карты якобы для проведения процедуры chargeback. После этого происходит хищение данных карты, а также «угон» аккаунта в Facebook, который затем используется для запуска в кредит аналогичных объявлений.
Кампания использует таргетинг на русский язык и нацелена, в первую очередь, на эмигрантов, которым приходится пользоваться услугами «черных брокеров» для перевода средств с родины при заблокированных банковских каналах платежей. Также объявления показываются пользователям заблокированных в России соцсетей, использующих VPN.
По данным DLBI, только с начала августа Meta (признана экстремистской организацией в России) получила более 500 жалоб на подобные объявления, что говорит о достаточно высокой эффективности фишинговой схемы, как минимум, в угоне аккаунтов. При этом реакция как AI, так и живых модераторов на жалобы остается крайне вялой: менее 10% фишинговых объявлений удаляются с первого раза, еще около 30% – после запроса повторной проверки. Более половины мошеннических объявлений продолжают функционировать до исчерпания лимита рекламного аккаунта.
При этом сами мошенники также совершенствуют схемы обмана. В частности, в последние недели в объявлениях стали активно использоваться омоглифы (символы кодировки UTF-8, внешне сходные с буквами русского алфавита, но имеющие другие коды). Таким образом преступники пытаются обмануть алгоритмы автоматической модерации.
Как отметил основатель сервиса DLBI Ашот Оганесян, мошенники всегда стараются получить что-то с уже обманутых пользователей и чаще всего под предлогом вернуть украденные ими же деньги. Однако в данном случае, опасность представляет именно вирусность кампании, когда каждый взломанный аккаунт начинает работать на ее продвижение.
«Вопрос также вызывает пассивность модераторов крупнейших соцсетей, пропускающих весь этот фрод. Вероятно, после запрета работы в России, они кардинально сократили подразделения, отвечающие за русскоязычный контент, а AI не справляется с великим и могучим русским языком. В такой ситуации я бы посоветовал пользоваться российскими ресурсами, где нет проблем с модерацией и уровень фишинга значительно ниже», - отметил он.
«В любом случае, не стоит верить тому, что кто-то, кроме правоохранительных органов, вернет вам украденное. Но даже последние вряд ли попросят у вас данные карты, включая CVC-код», - добавил Ашот Оганесян.