"Вы думаете, что я обману вас на 30 долларов, хотя потратила на ваше обучение этой работе столько времени?" — спросила "Стелла", мошенница из WhatsApp, с которой связался Euronews Next.
Для расследования фишинговой аферы с подбором персонала журналист Euronews Next, выдавая себя за нового "сотрудника", "работал" со Стеллой, которая, как утверждает, является лондонским рекрутером коммерческой платформы Digital Logic.
Стелла пыталась убедить нас конвертировать доллары США в Tether (USDT) — криптовалюту, привязанную к стоимости доллара, и перевести эту сумму на платформу Digital Logic, на которой мы якобы зарабатывали деньги.
За первую неделю "работы" мы взяли комиссию в размере 0,6% и заработали, по словам платформы, 800 USDT, но для продолжения работы нам нужно было "обнулить" счет и добавить 30 USDT.
Когда Euronews Next спрашивал Стеллу, зачем это нужно и не является ли это мошенничеством, она защищалась и подчеркивала, что просит у нас лишь небольшую сумму.
Однако к тому времени Euronews Next уже пообщался с экспертами по мошенничеству, которые подробно рассказали об этой афере и пояснили, что суммы, необходимые для "обнуления", удваиваются каждую неделю.
Хотя эксперты уже подтвердили, что Digital Logic является частью более широкой сети мошенников, согласно документу на сайте компании, она была зарегистрирована в Техасе (США) 14 июля 2008 года.
Euronews Next связался с представителем правительства штата Техас, который не согласился: в штате существует компания с таким же названием, но она была создана задолго до 2008 года, а документ Digital Logic является поддельным.
Digital Logic — далеко не единственная компания с фальшивым представительством в интернете, говорится в новом отчете компании CloudSEK, специализирующейся на кибербезопасности. Его авторы обнаружили, что более 1000 фирм подвергаются атакам именно такого рода мошенников.
"Мы проводили ИИ-мониторинг брендов для одного крупного клиента, когда обнаружили у него большое количество поддельных доменов", — говорит вице-президент CloudSEK Кушик Сивараман.
"Мы обнаружили, насколько хорошо организовано мошенничество, насколько часто оно встречается и как быстро меняется с точки зрения операционной безопасности", — рассказал он в интервью Euronews Next.
Он и его команда назвали мошенничество WebWyrm. По их прогнозам, оно уже позволило ограбить более чем 100 000 жертв на сумму в более чем 100 млн евро.
Откуда мошенники берут наши номера?
Хотя CloudSEK все еще выясняет, как мошенники завладели сотнями тысяч телефонных номеров, они полагают, что некоторые из них получены в результате утечки информации с доски объявлений, поскольку в некоторых сообщениях упоминаются заявки, поданные кандидатами на этих досках.
Однако рекрутинговые компании, использованные мошенниками в качестве псевдонимов, утверждают, что они не подвергались хакерской атаке.
По мнению экспертов некоммерческой организации JobsAware, с которыми Euronews Next беседовал в первой части этого расследования, телефонные номера, на которые нацелено это мошенничество, не обязательно соответствуют клиентам крупных фирм, таких как Adecco или Hays и Reed, за которых выдают себя мошенники.
"Вашего номера телефона не было в утечке данных из компании Totaljobs, и ваши данные по-прежнему находятся в безопасности", — говорится в письме, которое рекрутер разослал клиентам в начале октября и к которому получил доступ Euronews Next.
Другие подозревали в утечке данных компанию WhatsApp, которую в мае обвинили в утечке 500 млн номеров и на которой разворачивалась основная часть этой аферы.
Однако представитель компании, принадлежащей Meta, заявил Euronews Next, что они не подвергались хакерской атаке и что эти утверждения необоснованны.
Также стали появляться сообщения о мошеннических сообщениях, полученных в iMessage, что еще больше осложнило поиски.
"Все говорят: "Мы уже сталкивались с подобным мошенничеством", но я думаю, что люди не осознают масштабов этого мошенничества", — пояснил Сивараман из CloudSEK.
Компания поддерживает связь с правоохранительными органами, которые "сначала не были удивлены", но, осознав масштабы мошенничества, изменили свое мнение.
В ходе расследования Euronews Next связался с Европолом, Интерполом и ФБР. Если первая организация заявила, что не может подтвердить или опровергнуть факт работы над WebWyrm, то Интерпол в ответ на наш запрос сообщил, что не располагает информацией, которой можно было бы "поделиться на данном этапе".
ФБР не предоставило более подробной информации о происхождении данных жертв, отметив лишь, что его подразделение Internet Crime Complaint Center получило "более 500 жалоб на мошенничество с использованием WhatsApp, поданных заявителями из более чем 60 стран".
За WebWyrm стоит Китай?
CloudSEK потратила полгода на раскрытие сети WebWyrm, и, хотя работа продолжается, по их словам, уже обнаружено более 6 тысяч мошеннических сайтов.
"При появлении сообщений о злоупотреблениях мошенники быстро переходят на новую инфраструктуру", обеспечивая "устойчивую анонимность и непрерывность работы", говорится в новом отчете компании.
По мнению исследователей, злоумышленникам удается избежать обнаружения, регулярно меняя IP-адреса своих платформ.
CloudSEK отмечает схожие черты этих сайтов, в том числе мобильность, название по набору ключевых слов (как в случае с названием "работодателя" Euronews Next — Digital Logic), а также необходимость входа на страницу для получения полного доступа к платформе.
Ануж Шарма, исследователь безопасности из CloudSEK и автор отчета WebWyrm, обнаружил, что веб-сайты соответствуют 119 IP-адресам, сгруппированным по 12 номерам автономных систем (ASN) — сетей для размещения IP-адресов.
"Оркестранты — это, конечно, одна единая группа", — сказал Шарма в интервью Euronews Next. По словам исследователя, два из 12 выявленных им ASN базируются в Китае и "ранее были замешаны в мошенничестве, например, в криптовалютных аферах".
Все веб-сайты содержат "китайский язык или ссылки на него в исходном коде". Кроме того, Шарма установил, что 800 веб-сайтов были построены на ThinkAdmin, китайском бэкэнд-фреймворке.
CloudSEK не может с уверенностью приписать WebWyrm какой-либо группе, но, как сообщил Euronews Next, считает, что мошенничество может быть организовано группами китайского происхождения.
Тем временем, пока ведутся расследования и тщательно изучаются преступники, появляются мошенники-подражатели, а организаторы меняют методы, причем все чаще сайты размещаются на серверах американской IT-компании CloudFlare, которая позволяет скрывать IP-адреса, пояснил Шарма.
Основано ли это мошенничество на киберрабстве?
"Мы были очень удивлены масштабами этого мошенничества, а также тем, как злоумышленники подстраиваются под региональные условия", — сказал вице-президент CloudSEK Сивараман.
Его команда обнаружила в коде мошеннических сайтов ссылки на более чем 600 номеров WhatsApp со всего мира.
По мнению CloudSEK, мошенники, скорее всего, имеют телефонные фермы с бесконечными рядами телефонов или используют SIM-боксы — шлюзы, с которых они работают с несколькими SIM-картами.
Они также полагают, что преступники устанавливают виртуальные международные номера через легкодоступные сервисы. Но на этом они не останавливаются.
"Когда вы находитесь в США, вам приходит сообщение о том, что вы можете заработать в долларах, а в Индии вы получите сообщение о том, что это рупии. Таким образом, мошенники ориентируются на валюту, на местную специфику, а создаваемые ими фальшивые домены даже имеют префиксы или суффиксы, что помогает им привязывать их к различным регионам", — пояснил Сивараман.
По данным собственного расследования Euronews Next, если вначале мошенничество было направлено в основном на британские и австралийские номера, то теперь на него обращают внимание жители Италии, Франции и Швейцарии.
Индивидуальный подход и масштабность взаимодействия с людьми побудили команду Сиварамана изучить возможности проведения подобной операции.
"Именно тогда мы связали это с киберрабством", — сказал Сивараман.
По данным компании Humanity Research Consultancy (HRC), киберрабство достигло невиданных ранее масштабов.
"В то время как рассылка мошеннических сообщений стала обыденным явлением, эти неудобства могут на самом деле корениться в новой злокачественной форме современного рабства", — говорится в их отчете на эту тему.
СПЧ зафиксировал случаи создания торговцами людьми "компаундов" в Юго-Восточной Азии и Дубае, которые теперь развиваются и в Латинской Америке.
В Мьянме, в городе Мьявадди, расположенном недалеко от границы с Таиландом, создано около 20 комплексов, наиболее известным из которых является KK Park, а в Камбодже одним из основных центров киберрабства назван Сиануквиль, который является частью китайской инициативы "Один пояс — один путь".
Согласно заявлению правительства Камбоджи, специальная экономическая зона Сиануквиля, расположенная на окраине города, "построена китайскими и камбоджийскими предприятиями" и "направлена на создание идеальной инвестиционной платформы для предприятий".
Возможно, изначально так и было, однако, по мнению СПЧ, запрет на азартные игры в Камбодже в 2019 г. и пандемия COVID-19 привели к уходу многих инвесторов, которые оставили место для китайских организованных преступных группировок.
Сегодня в "городе с преимущественно китайским населением" казино превратились в такие комплексы.
Преступники привлекают жертв со всего континента, включая Китай, Вьетнам и Бангладеш, размещая на порталах вакансий и в социальных сетях объявления о работе в сфере обслуживания клиентов, обслуживания товаров и онлайн-игр.
По данным СПЧ, возраст жертв обычно составляет от 18 до 30 лет, и хотя вначале они могут добровольно войти в комплекс, как только они начинают работать, они уже не могут уйти, у них отбирают паспорта, а в случае неподчинения им грозят пытки.
Жертвы также "открыто продаются между работодателями/рабовладельцами", говорится в докладе HRC.
Задержанных заставляют обманывать других людей через социальные сети или службы обмена сообщениями, такие как WhatsApp, и в зависимости от характера мошенничества требуют специальных навыков, например, владения английским языком.
Валентина Касулли, операционный директор HRC, занималась расследованием деятельности WebWyrm с февраля 2023 года.
Хотя у нее были подозрения, что мошенничество подпитывается киберрабством, она получила подтверждение только две недели назад.
"Мы получили информацию от жертвы, которая находилась в комплексе в Дубае. Он был переправлен туда и должен был обманом заставить людей выполнить определенное количество заданий на одном из сайтов", — рассказала она в интервью Euronews Next о методах работы WebWyrm.
Вторая жертва, находящаяся в Мьянме, также рассказала о подобном мошенничестве.
Стелла из компании Digital Logic сообщила, что находится в Лондоне, но Euronews Next не удалось получить ее фотографию по запросу, чтобы подтвердить ее личность или местонахождение.
Когда мы предложили обратиться в неправительственные организации, занимающиеся проблемами торговли людьми, если ей небезопасно, Стелла ответила: "Я не понимаю, о чем вы говорите".
"Международное преступление требует международного ответа"
По словам Касулли, в настоящее время в подобных лагерях содержится около миллиона человек. Эксперт полагает, что, хотя они могут быть вынуждены проводить операции с WebWyrm, скорее всего, они занимаются и другими видами мошенничества, например, долгосрочными аферами, в которых фигурируют романтические отношения и криптовалюты.
Комплексы обычно принадлежат человеку, который сдает их в аренду компаниям, управляющим киберрабами, а владельцы иногда платят взятки местным властям, утверждает HRC, которая в ближайшие недели выпустит брифинг о связи между WebWyrm и киберрабством.
"Это звено в цепи огромных преступных операций", — сказала Касулли, пояснив, что деньги, полученные от мошенничества, подобного WebWyrm, могут использоваться для финансирования незаконных азартных игр, наркоторговли и сексуальной эксплуатации.
"Деньги отмываются, и они просто исчезают. Их невозможно отследить", — добавила она.
Тот факт, что заработок осуществляется в криптовалюте, еще больше усложняет поиск средств, а недавно всплыла информация о финансировании террористической деятельности с помощью Tether.
При этом общественность узнает всё больше о подобных комлексах: китайский фильм "Больше никаких ставок" возглавил кассовые сборы этим летом, а Интерпол в июне поместил их в оранжевый список, исследователь утверждает, что необходимо сделать еще больше, чтобы остановить эту "глобальную угрозу безопасности".
В своем недавно опубликованном докладе Управление ООН по наркотикам и преступности (UNODC) подчеркивает недостатки местных властей, такие как коррупция и нехватка средств, но упоминает, что Ассоциация стран Восточной Азии (АСЕАН) и Китай разработали "всеобъемлющий, детальный план действий", который будет представлен в ближайшее время.
По мнению Касулли, ответственность лежит и на западных государствах.
"Это международное преступление, которое требует международного ответа", — сказала она и добавила, что "это также показывает, какую роль должны играть финансовая индустрия, банки и технологическая промышленность. Недостаточно быть специалистом по противодействию торговле людьми, нужны еще и киберэксперты, специалисты по финансам и криптовалютам, а также правоохранительные органы".
Согласно отчету CloudSEK, больше всего от этого мошенничества страдают британские компании и граждане.
"Тот факт, что нам удалось связать эту аферу с комплексами, показывает, что Великобритании необходимо что-то делать и с торговлей людьми, потому что на нее оказывается воздействие", — сказала она.
Помимо финансовых потерь, эксперты также отмечают эмоциональную тяжесть подобных афер. "Он покончил с собой через месяц после того, как я с ним поговорил", — рассказал Трой Гоченур из Глобальной организации по борьбе с мошенничеством (GASO) об одном британце, у которого мошенники выманили более 100 000 евро.
"Правоохранительные органы едва поспевают за мошенниками, и, возможно, поэтому мы не так часто слышим о мошенничестве с работой", — сказал Гоченур в интервью Euronews Next. Волонтер, который сам однажды стал жертвой мошенников, надеется, что будут приняты меры по защите людей.
"Но прежде чем это произойдет, будет похищено еще много средств, которые, скорее всего, не будут возвращены", — сказал он.
Эта статья является второй в серии расследования. В первой части вы узнаете о том, как Euronews Next распутал эту аферу, в результате которой у жертв похитили примерно 100 млн евро.
Источник: https://ru.euronews.com/next/2023/10/25/