Мошенничество на OLX.UA и трагедия личности

Нет, это не блог... Скорее, это маленькая история о человеке и его превращении из успешного специалиста-фрилансера в преступника. Трагедия личности здесь основное.


«Мне жаль многих из них. Это молодые рабята...» А.А.


В конце мая 2020 года в одном из чатов украинского ИБ-сообщества промелькнула информация о новой схеме мошенничества на крупнейшем сервисе объявлений Украины – OLX.UA. Мы решили не проходить мимо и разобрались в ситуации.

По задумке отцов-основателей аббревиатура OLX на английском языке должна была означать «OnLine EXhange» – онлайн-обмен. К сожалению, в Украине, волею судеб, эти три буквы приобрели отнюдь не положительные коннотации.

Scam[skæm]– афёра, мошенничество.

Суть конкретно рассматриваемой мошеннической схемы заключалась в следующем. Задача злоумышленника – завладеть данными банковской карты жертвы. Жертва – покупатель или продавец. Способ – вступить в коммуникацию с жертвой, перевести разговор за пределы площадки OLX (например, в мессенджер), усыпить бдительность, передать ссылку на поддельный веб-ресурс, склонить к «заполнению формы для принятия оплаты» за OLX Доставку (Рис. 1-2).

Рис. 1 Перевод разговора в Telegram; передача ссылки на поддельный веб-сайт


ВНИМАНИЕ! Если Вы сразу не видите почему веб-сайт на рис. 2 следует считать мошенническим – Вам срочно нужно повысить уровень осведомленности в вопросах информационной безопасности.

Рис. 2 Сайт-подделка


После заполнения формы для «получения средств от покупателя» (злоумышленника), данные банковской карты продавца-жертвы в полном составе отправятся злоумышленнику в Telegram-чат. Для удобства злоумышленника, если кто-либо посетил страницу оплаты, последний получит соответствующее уведомление (рис. 3).

Рис. 3 Сообщение с данными платёжной карты жертвы


Отметим, что для пущей правдоподобности сообщение об оформленном товаре также отправляется жертве на электронную почту (рис. 4-5).

Рис. 4 Сообщения об оформлении поддельных заявок


Рис. 5 Поддельное сообщение со ссылкой на фишинговый сайт


К слову говоря, сама реализации описываемой мошеннической схемы целиком и полностью полагалась на техническую составляющую, а именно: поддельные сайты созданы с учетом требований по оптимизации, Telegram-боты (в т.ч. для формирования поддельной ссылки на основе ссылки-оригинала), API-различных сервисов. В конце-концов – техническое задание и оценка качества (рис. 6).

Рис. 6 Техническое задание к мошенническому проекту


В результате проведённых мероприятий нам удалось идентифицировать более 300 украденных наборов данных платёжных карт, включая номер карты, код и срок её действия. Данные были скомпрометированы в период с 18 марта по 31 мая 2020 года. Статистика по банкам-экваерам обнаруженных карт:

  • ПриватБанк
  • МоноБанк
  • UniversalBank
  • Ощадбанк
  • Альфа-Банк
  • Райффайзен Банк Аваль

Виновник сего повествования – юноша, который несколько лет успешно работал на фрилансе, оказывая услуги по веб-программированию. В какой-то момент мошенничество показалось ему более привлекательной затеей и он стремглав пустился в преступную погоню за наживой. Дебютировав в сфере скама, к маю 2020 года злоумышленник начал проявлять интерес к кардингу и даже сохранил на память следущее стихотворение (рис. 7).

Кардинг – вид мошенничества, при котором производится операция с использованием платежной карты или её реквизитов, не инициированная или не подтверждённая её держателем.

Рис. 7 Стих про кардеров (автор неизвестен)


Злоумышленник, сосредоточенный на своём «черном» промысле и, вероятно, будучи вдохновленным текущей безнаказанностью (как скамеров так и кардеров), потерял чувство самосохранения и допустил несколько ошибок, вследствие чего он был однозначно идентифицирован и, вероятно, попал в разработку правоохранительных органов (продолжение следует).

Рис. 8 Преступник


И не удивительно (слова автора).

Я не являюсь пользователем OLX. Тем не менее, как упоминалось ранее, истории мошенничества на OLX – нечто обыденное. Возможно, существующие подсказки о безопасности следует сделать более навязчивыми в стиле «Осторожно, мошенники!», приведя информацию о перечне типичных схем обмана, соответствующей статистике и рекомендациях. О том, «как не стать LOX на OLX», можно, среди прочего, почитать на веб-сайте Ассоциации ЄМА [2].


Не проходите мимо.

Если Вы стали жертвой (даже если Вы поняли это сейчас) – сообщите об этом. На сайте Департамента киберполиции Национальной полиции Украины создан специальный веб-ресурс


Спасение утопающих – дело рук самих утопающих.

Не стоит рассчитывать что Вас не коснется. Не стоит возлагать надежды на то, что злоумышленников найдут, осудят и посадят в тюрьму. Пеняйте на себя, самообразовывайтесь, интересуйтесь вопросами информационной безопасности самостоятельно (помимо этой статьи прочтите приведенные ниже ссылки).


Не исчерпывающий список доменных имён, зарегистрированных злоумышленником и использованных с целью создания поддельных веб-сайтов приведен ниже.

	2020-01-20	olx.name
	2020-02-08	obiavlienie.network
	2020-04-04	liqpay.top
	2020-04-06	obyavlenia.top
	2020-04-28	obyevlenie.top
	2020-05-11	obyalvenle.top
	2020-05-11	olx-dostavka.top
	2020-05-20	obyalvenie.com.ua
	2020-05-11	obyalvenie.top
	2020-05-23	ua-obyavlenie.com
	2020-05-23	obyavenle.top
	2020-05-23	obyavenie.top
	2020-05-27	ua-obyavlenle.com
	2020-05-27	ua-obyavlene.com
	2020-05-27	ua-obyalvenle.com
	2020-05-27	ua-obyalvenie.com
	2020-05-27	ua-obiavlenie.com


[1]  https://telegra.ph/Iskusstvo-obshcheniya-s-mamontami-11-18

[2]  https://www.ema.com.ua/citizens/cyber-safety-school/shemi-out-of-olx-shahrajstva-infografika/


Отдел реагирования на инциденты CyS Centrum (CyS-CERT)