Объем мошенничества за пять месяцев 2021 года вырос в 3,7 раза к аналогичному периоду прошлого года и составил 539 млн рублей. Всего за 2020 год мошенники похитили у клиентов площадок не менее 831 млн рублей. Рост общего числа транзакций на 397% привел к увеличению (на 22%) заработка как рядовых мошенников, так и организаторов преступных схем (на 76%). Прошлая версия данного отчета доступна здесь.
Ни для кого не является секретом, что на популярных площадках «Авито», «Юла», «Авто.ру» и т.п. распространены мошеннические схемы, созданные для выманивания тем или иным способом денег с доверчивых покупателей и продавцов.
В последнее время получили широкое распространение целые группировки мошенников, работающие по модели «мошенничество как услуга» («Fraud—as—a—Service»). Эти группировки объединяют в своих рядах организаторов (“ТС”), поддержку (“саппорт”) и рядовых участников (“воркеров”).
Организаторы обеспечивают функционирование сервисов (каналы/чаты/боты в Telegram, фишинговые сайты, обработка платежей, отмыв и вывод средств), привлекают “воркеров” через рекламу на теневых форумах, предоставляют поддержку и забирают себе комиссию с каждого платежа.
“Саппорт” – помогают (дают советы и рекомендации, а также сами подключаются к общению при необходимости) “воркерам” обманывать жертв.
“Воркеры” – непосредственно обрабатывают жертв (“мамонтов”) методами социальной инженерии (присылают фишинговые ссылки на сайты не отличимые по оформлению от настоящих площадок) и получают выплаты от организаторов (за вычетом комиссии).
На данный момент группировки работают по двум основным типам мошеннических схем:
- Старая схема, когда мошенник (“воркер”) представляется продавцом и обманывает покупателя, уговаривая его перейти по присланной в сторонний мессенджер (часто WhatsApp или Telegram) фишинговой ссылке и заплатить (ввести данные платежной карты) за несуществующий товар.
- Схема 2.0, когда мошенник (“воркер”) представляется покупателем и обманывает продавца, уговаривая его перейти по присланной в сторонний мессенджер (часто WhatsApp или Telegram) фишинговой ссылке и введя данные платежной карты якобы получить на нее перевод с несуществующего депозита (т.н. “безопасная сделка”).
Существуют версии схем 3.0 и даже 4.0, но они занимают не существенную долю в общем объеме мошеннических транзакций.
Нами проанализировано 129 активных группировок из чуть более 200 всего существующих на данном “рынке”. В 63-х из них больше 100 участников (“воркеров”), а в 11-и – более 1,000. В самой крупной по количеству выплат группировке состоит около 13,000 “воркеров”.
Все данные для анализа собирались нами путем парсинга открытых и закрытых Telegram-каналов мошеннических группировок за период с октября 2019 года по май (включительно) 2021 года. Данные каналы предназначены для “воркеров”, и в качестве гарантий отсутствия махинаций с выплатами со стороны организаторов публикуют в режиме близком к реальному времени все снятия (транзакции) с платежных карт жертв.
Следует отметить, что разные каналы разных группировок публикуют немного отличающиеся по формату и составу данные. Например, одни указывают банк-эмитент платежной карты жертвы, другие нет.
Некоторые группировки не ограничиваются “работой” в России и странах бывшего СССР. Есть и такие, которые обеспечивают своим “воркерам” доступ к европейским площадкам и обработку платежных карт европейских банков.
И так, перейдем непосредственно к самому интересному – к цифрам. За анализируемый период во всех мошеннических каналах:
- Количество транзакций: 201,860
- Общая сумма всех транзакций: 1,390,744,084 руб.
Распределение мошеннических транзакций по месяцам. Тут можно заметить экспоненциальный рост в период до лета прошлого года, вызванный тем, что многие группировки прекратили свое существование и данные по их активности больше не доступны. Затем виден спад количества мошенничеств, при росте доходов, что можно объяснить увеличением “среднего чека“, за счет более качественной “работы“ мошенников.
- Средняя сумма одной транзакции: 6,889 руб. (медиана: 4,000 руб.)
- Максимальная сумма одной транзакции: 1,664,000 руб.
- Максимальное снятие с карты одной жертвы (суммарно за несколько транзакций): 2,100,000 руб. (21 транзакция по 100,000 руб.)
Распределение мошеннических транзакций по банкам. Как отмечалось выше, одни группировки указывают банк-эмитент платежной карты жертвы, другие нет. Всего были выявлены мошеннические транзакции по картам 129 банков.
- Всего активных “воркеров”: 19,083
- Среднее число транзакций у одного “воркера”: 7 (медиана: 3)
Активность “воркеров” в зависимости от дня недели. Наибольшую активность “воркеры” проявляют в начале недели.
Активность “воркеров” в течении дня. Закономерно, что активность “воркеров” снижается в ночное время (на графике московское время) и особенно общее снижение активности заметно в выходные дни.
- Максимальное число транзакций у одного “воркера”: 4,646
- Всего получено “воркерами”: 977,507,419 руб.
- Средний заработок одного “воркера” за весь период: 34,546 руб. (медиана: 9,520 руб.)
- Максимальный заработок одного “воркера” за весь период: 24,255,669 руб.
- Средний заработок организаторов одной группировки за весь период: 3,203,385 руб. (медиана: 425,421 руб.)
- Максимальный заработок организаторов одной группировки за весь период: 74,124,552 руб.
- Площадка с максимальным числом мошеннических транзакций: «Авито» (63,056 транзакций)
- Площадка с максимальной суммой мошеннических транзакций: «Авито» (343,503,455 руб.)
Распределение мошеннических транзакций по площадкам. Всего были выявлены мошеннические транзакции по 63 площадкам, при этом общая доля 53 из них не превышает 5%. По 43 площадкам выявлено менее 100 мошеннических транзакций на общую сумму 6,858,103 руб. Следует учитывать, что есть транзакции, которые попали в общую статистику (и по сумме и по количеству), но не попали в статистику той или иной площадки.