«Яндекс» предупреждает: на российских веб-сайтах расплодилось большое количество мошеннических объявлений, в которых посетителей просят ввести номер мобильного телефона, а затем — код, присланный в SMS. Согласно данным компании, такие сайты посещает 21% месячной аудитории Рунета и около 2% суточной, в сутки на них приходится в среднем свыше 10 млн. визитов, в результате которых жертвы теряют десятки миллионов рублей.

Эти цифры прозвучали в докладе «Мошеннические интернет сайты, опыт противодействия», представленном на конференции РИФ+КИБ 2013 руководителем группы антивирусных проектов «Яндекс» Александром Сидоровым. По его словам, поисковая система «Яндекс» опознает мошеннические сайты, ограничивает число их показов в выдаче, предупреждая пользователей об опасности, а также отправляет списки этих сайтов партнерам.

В марте текущего года компании «Яндекс», Mail.ru Group, Google, «ВКонтакте», «Лаборатория Касперского», Group-IB и «Доктор Веб» опубликовали совместное заявление, в котором отметили рост случаев сбора телефонных номеров для принудительной подписки абонентов на платные услуги. Злоумышленники создают имитации популярных ресурсов и размещают на них объявления типа «Вы выиграли приз», «Ваш аккаунт заблокирован» и т.п. Созданные страницы содержат поле для ввода номера телефона, на который впоследствии высылается SMS с кодом подтверждения. После ввода этого кода на мошенническом веб-сайте жертва в качестве «приза» получает SMS-подписку, за которую с ее счета ежедневно списываются деньги.

Чтобы обезопасить пользователей от этого вида мошенничества, названные компании наладят взаимный обмен данными об угрозах и оповещение телеоператоров о коротких номерах, используемых злоумышленниками. Потенциальным жертвам напоминают о бдительности, рекомендуют тщательно проверять адреса страниц с заманчивыми объявлениями и использовать специализированную программную защиту. Избавиться от навязанного сервиса можно, обратившись к своему сотовому оператору.

Рекрутинговый сервис HeadHunter совместно с компаниями Group-IB и UALinux разоблачил мошенника, незаконно использовавшего брэнд HeadHunter в целях личной наживы.

20-летний украинец создал поддельный сайт headhuhter.ru, имя которого, как можно видеть, отличается от названия известной компании лишь одной буквой. А для пущей убедительности тайпсквоттер украсил новый ресурс логотипом HeadHunter. Посетителям подложного сайта предлагалось авторизоваться, указав номер мобильного телефона. На этот номер высылалась SMS с кодом, который следовало ввести в веб-форму – якобы для завершения процесса авторизации. На самом деле, как обнаружили эксперты, в результате такой «авторизации» посетителя подписывали на платные услуги контент-провайдеров, которые наверняка не скупились на вознаграждение посреднику.

По итогам расследования против «предпринимателя» было возбуждено административное дело по статье 51-2 КоАП Украины (нарушение прав на объекты интеллектуальной собственности). Суд признал молодого человека виновным и наложил штраф, сумма которого не раскрывается. Хотя судили его за нарушение авторских прав, пострадавшие, по данным HeadHunter, могут в индивидуальном порядке подать заявление о возмещении убытков. Поддельный сайт headhuhter.ru закрыт, количество пострадавших и общую сумму ущерба, причиненного мошенником, никто пока не огласил.

В связи с увеличением попыток тайпсквоттинга владельцы HeadHunter развернули активную борьбу с мошенничеством, наносящим урон репутации портала. На сайте уже выложена информация о типовых приемах мошенников, обманом завлекающих посетителей на подставные сайты и разоряющих их мобильные счета. А соискателям и работодателям напоминают, что регистрация на HeadHunter бесплатная и не предполагает отправки каких-либо SMS. Кроме того, при заходе на рекрутинговый сервис следует в первую очередь обратить внимание на адресную строку и убедиться в подлинности ресурса. Главная страница HeadHunter расположена по адресу http://hh.ru/, остальные сайты имеют адрес вида http://город.hh.ru. Сообщить о найденной подделке можно на адрес anti-phishing@hh.ru.   

Чтобы лишить мошенников возможности получать доход за счет сервиса коротких номеров, HeadHunter объединил усилия с компанией «Мегафон» и приглашает к сотрудничеству других операторов сотовой связи. За последние три месяца партнеры пресекли несколько мошеннических схем отъема денег у абонентов «Мегафон», ищущих работу на hh.ru. Во всех случаях для привлечения соискателей на поддельный сайт злоумышленники использовали спам-рассылки. После подтверждения фактов мошенничества контент-провайдеры, ответственные за короткие номера, были оштрафованы «Мегафон» в пользу пострадавших, а мошеннический контент убран с сайтов. По оценке специалистов HeadHunter, сотрудничество с компанией «Мегафон» поможет сократить число обманутых пользователей сайта hh.ru на 30%.

В 2012 году участники британской многоотраслевой антифрод-ассоциации CIFAS зафиксировали около 250 тыс. случаев мошенничества ― рекордное число, на 5% превысившее прежний показатель. Идентифицировать жертвы удалось более чем в 150 тыс. таких инцидентов.

Согласно статистике CIFAS, половину случаев мошенничества на территории Великобритании составляет Identity Fraud ― обман, совершаемый от имени законного пользователя или вымышленного лица. Количество таких инцидентов в минувшем году увеличилось на 9%. Более чем в полтора раза возросло число случаев угона аккаунтов (Facility Takeover Fraud) ― осуществления незаконного доступа к учетной записи и использования ее с целью совершения мошеннических действий. Количество жертв Identity Fraud и Takeover Fraud в совокупности увеличилось за год на 24%.

В то же время противозаконное использование аккаунтов их владельцами ― Misuse of Facility ― сократилось более чем на 15%. В Великобритании такие абьюзы обычно связаны с отмыванием денег: участники мошеннической схемы вербуют добровольцев, готовых за вознаграждение использовать свой непорочный аккаунт в интересах «общего дела». Данный вид мошенничества пока занимает в британском рейтинге 2 место; в минувшем году на его долю пришлось около 18,5% фрод-инцидентов.

В заключение несколько слов о CIFAS. Эта некоммерческая ассоциация насчитывает 260 британских организаций, представляющих разные сферы хозяйственной деятельности, включая госсектор. Участники этого альянса ведут активный обмен информацией о мошеннической деятельности и пополняют общую базу с целью предотвращения похожих инцидентов. Аналогичные службы были впоследствии созданы также в Южной Африке и Германии.

Окружной суд штата Вашингтон приговорил к 4 годам шведского предпринимателя, помогавшего продавцам фальшивых антивирусов легализовать платежи в рамках этого криминального бизнеса.

Уголовное дело гражданина Швеции Микаэля Патрика Сальнерта (Mikael Patrick Sallnert) было возбуждено по итогам трансграничной операции Trident Tribunal, проведенной спецслужбами США и правоохранительными органами 12 других стран, включая Украину, Литву и Латвию. После 3-летнего расследования силовикам удалось пресечь криминальную деятельность двух интернациональных группировок, наживавшихся на продажах лжеантивирусов. По оценкам ФБР, мошенники, поручившие шведу создать платежный сервис, обманули 960 тыс. пользователей, навязав им бесполезные программы, совокупно обошедшиеся жертвам в 71 млн. долларов.

Сальнерт был арестован в начале 2012 года на территории Дании. После экстрадиции в США он сознался в преступном сговоре с целью совершения мошеннических действий и в неавторизованном доступе к чужой компьютерной технике. Помимо тюремного срока, пособнику теневых бизнесменов назначен штраф в размере 650 тыс. долл.

Федеральный закон, закрепляющий дифференциацию составов преступления, предусмотренного ст. 159 УК РФ («мошенничество»), опубликован на государственном портале и вступает в силу с 10 декабря 2012 г.

Инициатором разделения мошенничества как преступления по сферам деятельности является Верховный суд России. В соответствии с поправками № 207-ФЗ от 29.11.2012 российский уголовный кодекс дополняется новыми статьями 159 со значками 1, 2, 3, 4, 5, 6, в том числе «Мошенничество с использованием платежных карт» (ст. 159³) и «Мошенничество в сфере компьютерной информации» (ст. 159⁶). При этом последнее трактуется как хищение имущества или приобретение права на чужое имущество «путем ввода, удаления, блокирования, модификации компьютерной информации или иного вмешательства в функционирование средств хранения, обработки и передачи информации или информационно-телекоммуникационных сетей».

За мелкое правонарушение с использованием чужой/поддельной платежной карты либо высоких технологий новые статьи предусматривают штраф до 120 тыс. руб.; обязательные, исправительные или принудительные работы; ограничение свободы до 2 лет или арест на 4 месяца. В тех случаях, когда такое преступление совершает группа лиц по предварительному сговору или ущерб пострадавшего значителен, сумма штрафа увеличивается до 300 тыс. руб.; альтернативная санкция ― лишение свободы на срок до 4 лет. Если преступник использовал свое служебное положение или размер ущерба признан крупным, судья может назначить штраф до 500 тыс. руб. либо срок до 5 лет с уплатой штрафа до 80 тыс. руб. Преступления, совершенные ОПГ или с причинением ущерба в особо крупном размере, караются лишением свободы до 10 лет со штрафом до 1 млн. руб.

При этом ущерб считается крупным, если стоимость похищенного имущества превышает 1,5 млн. руб., особо крупным ― 6 млн. руб.

Статья 303 УК дополнена частью 4-й, предусматривающей ответственность за фальсификацию результатов оперативно-розыскной деятельности «в целях уголовного преследования лица, заведомо непричастного к совершению преступления, либо в целях причинения вреда чести, достоинству и деловой репутации». Это преступление карается штрафом в размере до 300 тыс. руб., лишением должности и полномочий на срок до 5 лет или лишением свободы до 4 лет.

MoneyGram International согласилась перечислить в американскую казну 100 млн. долл., которые пойдут на выплату компенсаций жертвам мошеннических схем, использующих ее службу денежных переводов. Конфискация в пользу потерпевших является одним из условий соглашения об отсрочке судебного преследования, подписанного представителями компании в окружном суде Пенсильвании.

MoneyGram признала, что держит в штате коррумпированных сотрудников и смотрит сквозь пальцы на их участие в процессе отмывания денег. Главной причиной падения MoneyGram является перекос в приоритетах: если местный офис приносит большие барыши, отдел продаж активно поддерживает его на плаву, игнорируя жалобы жертв мошенничества и сигналы штатной анти-фрод службы. Презрев все нормы этичного ведения бизнеса, компания гонится лишь за прибылью, и при ее попустительстве мошенники успешно грабят тысячи американских граждан.

Окружной суд штата Мэриленд удовлетворил ходатайство Федеральной торговой комиссии США (ФТК) и постановил взыскать свыше 163 млн. долл. с последнего ответчика по делу Innovative Marketing (IM), одной из крупнейших бизнес-структур по продвижению лжеантивирусов в интернете.

В конце 2008 года ФТК обвинила вице-президента украинского филиала IM Кристи Росс (Kristy Ross) и ее пятерых сообщников в недобросовестном маркетинге и продаже продуктов, не обладающих заявленными свойствами. Согласно ФТК, подельники являлись ключевыми фигурами в масштабной мошеннической схеме, жертвами которой стали свыше 1 млн. пользователей из 60 стран. Фальшивые антивирусы производились в Киеве и активно рекламировались в Сети через баннеры, размещенные на арендованных сайтах. При активации такого баннера пользователь перенаправлялся на страницу, которая имитировала сканирование и воспроизводила длинный список зловредов, якобы обнаруженных в подключенной системе. Встревоженному посетителю тут же предлагали «пролечить» компьютер, купив защитную программу, которая на поверку оказывалась бесполезным приобретением.

Маркетинговая деятельность IM, как и все прочие операции, была поставлена на широкую ногу. Мошенники покупали рекламные площадки через сеть подставных агентств. По словам ФТК, за год с небольшим Росс потратила свыше 3,3 млн. долл. на рекламу WinFixer, WinAntivirus, DriveCleaner и ErrorSafe, которые подавались пользователям как панацея от всех угроз. Когда покупатели обращались с жалобой в службу техподдержки IM, их просто подкупали или советовали отключить штатные средства защиты. Колл-центры IM функционировали на территории США, Канады, Великобритании, Индии, Польши и Аргентины. Выручка от продаж тоже распылялась по всему свету, кочуя из Канады в Бахрейн, Сингапур, Швецию, Латвию или на Украину. По оценкам McAfee, которая принимала участие в расследовании, годовые доходы IM порой достигали 180 млн. долл., а интернациональный штат насчитывал более 600 человек.

Одиозная компания прекратила свое существование в июне 2008 г., ее выкупило американское рекламное агентство Gambit Media. В конце того же года ФТК завершила расследование и подала иск в штате Мэриленд против владельцев и операторов мошеннического бизнеса. Позднее аналогичные иски были выдвинуты в других штатах.

В феврале 2009 г. за отсутствием ответчиков ФТК выиграла иск против главных зачинщиков этой сетевой аферы. Им был назначен штраф в размере 163 млн. долл. и наложен постоянный запрет на любые деловые операции и сетевую деятельность. Обоим главарям удалось скрыться до суда: один бежал на Украину, другой ― на родину, в Швецию.  Летом того же года ФТК согласилась урегулировать тяжбу с третьим ответчиком, хотя тот и объявил себя банкротом, а в январе 2011 ― еще с двумя, получив с них 8,2 млн. долл. Спустя 4 месяца федеральные власти при содействии коллег из Швейцарии конфисковали около 15 млн. долл., размещенные в этой стране одним из беглецов. Удастся ли ФТК получить многомиллионный штраф, назначенный Росс, покажет будущее.

Американский Центр приема жалоб в отношении киберпреступлений (Internet Crime Complaint Centre, IC3), работающий под эгидой ФБР, предупреждает о новой волне мошеннических сообщений о мифическом киллере.

Почтовые сообщения, представленные заявителями в IC3, написаны от имени некого Бауэра, частного агента из безвестного сыскного бюро, ― разумеется, международного масштаба. К сожалению, на этом фантазия спамеров иссякает: «агент» вполне ожидаемо выслеживает «киллера», мишенью которого якобы является получатель спам-письма. Чтобы ускорить поимку злодея, «намеченной жертве» предлагают связаться с «агентством» и приобрести там «тревожную кнопку».

Письма-«страшилки» о наемном убийце, которому якобы «заказали» адресата (так называемый hitman scam), появились в массовом обращении в конце 2006 года. С тех пор они периодически всплывают в репертуаре спамеров, обрастая новыми деталями и персонажами. Вначале это были откровенно вымогательские письма, сродни «нигерийским»: их авторы от имени киллера пытались заставить адресата заплатить за «отказ от преследования». Тогда федеральные агенты поспешили успокоить встревоженных пользователей, выпустили ряд алертов и провели разъяснительную работу.

Эти превентивные меры, видимо, спровоцировали первые изменения в спамерском сюжете: «письма о киллере» стали распространяться от имени ФБР. У получателя больше не просили «отступных», ему предлагали принять участие в расследовании, якобы проводимом по делу «киллера»», уже арестованного. Чтобы подтолкнуть потенциальную жертву к ответным действиям, ей сообщали, что ее имя значится в списке мишеней, изъятом у «киллера». Если адресат, проглотив наживку, вступал в переписку с мошенниками, у него на каком-то этапе запрашивали персональные данные.

Когда ФБР погасило и эту волну, мошенники на какое-то время оставили американцев в покое и откочевали в Австралию. Последняя спам-рассылка «от киллера» на территории этой страны была зафиксирована минувшим летом, при этом угрозы распространялись в виде SMS.

Очередную смену сюжета спамеры, судя по всему, решили обкатать на проверенной аудитории и вернулись в США. Вопреки их стараниям, во всех вариациях писем четко прослеживается поставленная задача: запугать получателя и вовлечь его в приватную переписку. Потенциальную жертву просят действовать быстро, держать рот на замке и ни в коем случае не обращаться в полицию.

IC3 призывает пользователей игнорировать подобные спам-письма. Любой ответ подскажет авторам рассылки, что email-адрес активен, и они не отступятся, пока не получат с намеченной жертвы деньги или персональные данные.

PhonepayPlus, британский регулятор сферы премиум-услуг, оштрафовал на 50 тыс. фунтов (около 80 тыс. долл.) московского владельца коротких номеров за использование SMS-троянца. В случае неподчинения принятому решению блюстители правопорядка намерены применить более жесткие санкции к сервис-провайдеру, использующему неэтичные методы ведения бизнеса в чужом интернет-пространстве.

Согласно результатам расследования, проведенного по жалобам абонентов, ООО «Коннект», осуществляющее деятельность в Сети под именем SMSBill, предлагало британцам Android-программу доступа к игровому порталу 7mobi.net. Данный продукт запрашивал разрешение на установку и был препровожден 8-страничным пользовательским соглашением, набранным мелким шрифтом. Те, кто не ленился прокрутить его до конца, обнаруживали, что посредническая услуга может обойтись им в 5 фунтов, причем эти сведения были размещены лишь на 6-й странице. Если пользователь соглашался на установку, с его смартфона отсылалось текстовое сообщение на короткий номер 80079, инициирующее отправку абоненту платной SMS с номера 79555. По свидетельству PhonepayPlus, входящее SMS-сообщение с этого номера в Великобритании стоит 10 фунтов (около 16 долл.). В итоге игрок попадал-таки на вожделенный портал, но деньги списывались с его счета без надлежащего уведомления.

Случаи использования мобильных зловредов, замаскированных под легальные приложения или идущих в комплекте с ними, для накрутки платного трафика в Великобритании нередки, и последнее время PhonepayPlus ведет активную борьбу против этого вида мошенничества. Дополнительный функционал «проводника» к игровому сервису был опознан Sophos как Android-троянец Opfake. По оценке PhonepayPlus, за время своего присутствия на смартфоне зловред успевал обокрасть неосторожного абонента в среднем на 100-250 фунтов (160-400 долл.). Сколько при этом выручала SMSBill, определить не удалось: компания, по всей видимости, игнорирует британский кодекс чести, действующий в сфере премиум-услуг, и не проявила особого желания сотрудничать со следствием.

По мнению британских экспертов, зарубежный сервис-провайдер нарушил сразу несколько положений местного кодекса профессиональной этики: стремился скрыть реальную стоимость услуги, взимал плату без уведомления и согласия абонентов, а также осуществлял свою деятельность на территории страны, не будучи зарегистрированным в PhonepayPlus. Помимо уплаты штрафа, москвичам предстоит в течение 3-х месяцев возместить британским абонентам убытки, понесенные ими из-за Opfake, и представить доказательства выполнения этого условия в контролирующий орган. Все премиум-услуги, которые провинившаяся компания планирует предложить британцам в ближайшие 2 года, должны быть одобрены PhonepayPlus. Если требования, выдвинутые британским регулятором, не будут соблюдены, нарушителю обещана более суровая кара.

Компания по компьютерной безопасности PandaLabs в своем отчете за II квартал 2012 года (PandaLabs Quarterly Report. April-June 2012) объявила о новом этапе эволюции вирусов-полицейских.

Действия вирусов из этой группы основаны на страхе пользователей перед правоохранительными органами. PandaLabs сообщает, что поддельные антивирусные программ (scareware) сменились на программы, требующие выкуп (ransomware). Злоумышленники рассылают письма, имитирующие официальные сообщения, в которых уведомляют пользователя о необходимости заплатить штраф за неправильную парковку, за нарушение авторских прав или неуплату налогов. При этом на компьютер устанавливается программа, которая требует с пользователя «выкуп». Эксперты считают, что функцию требования выкупа разработчики вредоносного ПО взяли у программы-шифровальщика GpCode.

Подобные программы с каждым годом усложняются. Если раньше, чтобы избавиться от вредоносного ПО, было достаточно ввести некий общий ключ, то теперь ключ стал уникальным для каждого зараженного компьютера. При отсутствии доступа к серверу, где находятся все ключи, отключить программу становится невозможно.

Специалисты PandaLabs сообщают об еще одной необычной версии вирусов-полицейских. Вредоносная программа перехватывает управление веб-камерой пользователя и выводит на экран его компьютера снимок небольшого формата, снабженный текстом «Live recording». После чего пользователю предлагается остановить наблюдение, якобы ведущееся за ними правоохранительными органами в режиме real-time. Естественно, что никакой записи не идет, но запаниковавшая жертва готова тут же оплатить «штраф», чтобы снять наблюдение.

Эксперты считают, что основными источниками вирусов-полицейских являются страны Восточной Европы и России, где они и были созданы. По их мнению, эпидемия вирусов-полицейских будет развиваться дальше.