Андрей Бусаргин, Group-IB: «Нельзя бороться с атаками на бренды в интернете вручную: у вас должны быть технологии защиты и "красная кнопка" для немедленного реагирования»
О том, как выглядит индустрия интернет-мошенников сегодня, почему они стали еще большей головной болью для маркетологов, digital-специалистов и служб безопасности, а также как с этим бороться без походов в суд, рассказал Андрей Бусаргин, замгендиректора компании Group-IB по направлению защиты от цифровых рисков
Недавний скандал с рэп-исполнителем Моргенштерном, от имени которого якобы разыгрывалось 10 миллионов рублей, лишь один из сотен примеров мошеннических схем, затрагивающих как бренд компании, так и кошельки фанатов певца. Для участия в конкурсе достаточно было пройти опрос и ввести данные банковской карты в нужное поле. И все.
— Привет, Андрей. Аудитория AdIndex — представители агентств и брендов. Поэтому первый вопрос о том, что угрожает бизнесу в Интернете сегодня?
— Интернет-мошенничество как вид киберпреступления появилось не менее 10 лет назад, и за это время стало более технологичным и массовым. Новые технические возможности и «старая добрая» социальная инженерия работают и позволяют мошенникам бить по репутации брендов и наносить им прямой финансовый ущерб.
Создавая тысячи сайтов фальшивых банков, авиакомпаний, автодилеров и страховщиков, прикидываясь звездами шоу-бизнеса, проводящих фальшивые опросы, мошенники похищают деньги, данные банковских карт и личную информацию пользователей. Те потом предъявляют претензии реальным брендам.
Пострадать от мошенников могут все: Gucci, Mercedes, Apple или региональная компания небольшого уровня. Даже производители крафтовых рюкзаков с 10 клиентами могут оказаться под угрозой. Если один из этих 10 клиентов переведет деньги мошенникам, компания уже упустила 10% прибыли.
— Как выглядит такая схема мошенничества?
— Это многоступенчатая схема, одну из таких мы назвали «кроличья нора». Все начинается с безобидного взаимодействия с пользователем: гивэвей блогера или звезды (реже — известных брендов), от имени которых объявляют конкурсы, акции или опросы с приличным призовым фондом и дорогими подарками.
Среди селебрити, чей бренд чаще других используют мошенники, — Ольга Бузова, Юрий Дудь, Иван Ургант, Баста, Тимати, Анастасия Ивлеева, Михаил Галустян, Андрей Малахов.
После перехода по ссылке на ресурс-опросник жертву просят ответить на несложные вопросы и «поделиться» своей удачей в WhatsApp или соцсетях с друзьями.
Таким образом, злоумышленники обеспечивают вирусное распространение схемы и нагоняют трафик на свои мошеннические сайты. Параллельно у жертвы запрашивают адрес электронной почты, который в будущем может быть использован для рассылки фишинговых писем или заражения вредоносной программой.
Всем жертвам, которые клюнули на «наживку» на предыдущем этапе, на почту или в личные сообщения в мессенджерах приходят приглашения принять участие в новом грандиозном опросе или викторине с приличным денежным вознаграждением.
Хотя на этих на ресурсах уже нет упоминаний известных брендов или «звезд», но пользователи не подозревают, что оказались в «ловушке».
Суть мошенничества в том, что в конце опроса нужно перечислить деньги, чтобы оплатить «пошлину», «налог» или совершить тестовый платеж. Естественно, никакого вознаграждения жертва не получает, зато теряет свои деньги и персональные данные.
Человека так долго водят «по норе», что жертва теряет бдительность.
— То есть личные бренды блогеров тоже подвержены атакам?
— Личный бренд подвергается атакам, как и любой другой. Помимо сомнительных конкурсов и розыгрышей брендовых товаров, как вариант — мошенники просто «угоняют» аккаунт звезды в Instagram и требуют за него выкуп. Звезды часто обращаются к нам, стараемся помочь, хотя иногда это нелегко.
Недавно мы обнаружили необычный вид скама, жертвами которого оказались блогеры, музыканты и звезды шоу-бизнеса. Злоумышленники создавали в Telegram фейковые аккаунты продюсеров «звезд» и обещали всего за 10 000 рублей разместить рекламу в Instagram певицы Елены Темниковой или рэпера Моргенштерна.
В другом случае от имени популярного Telegram-канала «Незыгарь» предлагалось представителям одного из крупнейших российских предприятий из сферы агропромышленного комплекса обсудить отказ от публикации негатива за определенную сумму.
В данном случае мы говорим о двух разных мошеннических схемах — отсюда отличающиеся по статусу жертвы и суммы ущерба. Если фейковый продюсер собирает «на рекламу» звезд по 10 000 рублей и рассылка идет по широкому списку контактов, то в случае с «лже-незыгарем» мошенники точечно атакуют предпринимателей, крупные компании, чтобы с помощью вымогательства и шантажа получить сотни тысяч рублей.
Ущерб от неправомерного использования бренда знаменитостей в интернет, по оценке Group-IB, составляет более полумиллиарда рублей в год.
— С брендовыми товарами и знаменитостями примерно понятно. Насколько я знаю, вы защищаете Viber в России. Как вы работаете с этим мессенджером?
— В случае с мессенджером, через него может распространяться информация о различных розыгрышах, новом тарифе оператора связи или скидках на авиабилеты, например.
То есть обо всем, на что ведутся пользователи. В феврале мы заблокировали 706 мошеннических ресурсов, которые мимикрировали под мессенджер Viber.
Первая волна мошенничества началась в феврале и была связана с пандемией, остальные выявленные случаи в большей степени касались годовщины компании Rakuten Viber — в 2020 году мессенджер отпраздновал свое десятилетие.
Кроме того, Group-IB и «Столото» обнаружили и нейтрализовали около 3000 мошеннических ресурсов, замаскированных под популярные лотереи, а также более 5 000 фейковых аккаунтов и групп в соцсетях. «Двойники» незаконно использовали бренд «Столото».
Group-IB совместно с Okko Спорт, официальным вещателем Английской Премьер-лиги (АПЛ) в России, выявила и заблокировала более 16 500 пиратских ссылок на нелегальные онлайн-трансляции и архивные видеозаписи АПЛ. Тем самым был предотвращен ущерб на сумму около 42 млн рублей. Во всех этих случаях мошенники пытались заработать на незаконном использовании бренда.
— Многие пользователи хотели получить инвайты в Clubhouse или найти версию приложения для Android, в том числе и среди представителей рекламной индустрии, которые являются нашими читателями. В таких социальных сетях нового типа пока еще нет случаев мошенничества?
— Мошенники максимально встраиваются в информационную повестку, ведь так им легче создать спрос на свой мошеннический товар или услугу. Как только новостные ленты начали выводить Clubhiuse в топы, сразу стали появляться различные приложения, прикрывающиеся этим трендом.
Они не давали пользователям зайти в Clubhouse, зато предлагали при «регистрации» оставить данные банковской карты или другую информацию. Инвайты тоже стали отдельным видом мошенничества. Злоумышленники продавали их пачками на досках объявлений, даже если в реальности никаких инвайтов у них не было.
Одна из важных проблем — люди не идут в полицию и не рассказывают о таких случаях в Facebook: зачастую им стыдно признаться в том, что тебя обманули, или они не верят, что можно что-то сделать. У жертвы появляется ощущение, что она сама виновата. Поэтому количество таких преступлений тяжело оцифровать.
— Пример в первую очередь описывает потерю личных средств или данных человека. Как мошенники обманывают компании? Как от них защититься?
— Существуют разные варианты мошенничества, и на каждый из них есть свои методы защиты.
Например, вы — бренд, который провел рекламную кампанию совместно с агентством, и они хотят об этой кампании рассказать. Агентство получает у вас разрешение на размещение вашего логотипа на своем сайте, на публикацию и так далее.
Но иногда вы можете найти свой логотип на сайте, к которому никакого отношения не имеете. Злоумышленники часто копируют сайты крупных брендов, чтобы воровать деньги или данные их клиентов.
С этим можно бороться. Как минимум, нужно уметь искать сайты, незаконно использующие ваш бренд. Для этого мало просто посадить десяток digital-специалистов, которые будут вводить различные поисковые запросы.
Мошенники инвестируют в регистрацию домена, сайты, создание инфраструктуры, дизайн, раскрутку. Им невыгодно, чтоб их нашли те, кто заинтересован в блокировке. Поэтому ссылка, которая будет показана потенциальной жертве, например, мне, не будет показана вам. Она будет формироваться индивидуально под ваш тип браузера, тип смартфона, часовой пояс и язык.
— Как найти такие сайты?
— Раньше мошенники создавали похожие доменные имена, например sberbanc вместо sberbank, запускали контекстную рекламу на всю страну. Но такие страницы легко находились, и заблокировать их в силу очевидного нарушения законных прав банка было относительно несложно. Теперь все иначе.
У нас были кейсы, когда мошенники отключали доступ к их сайту для сотрудников конкретного бренда или запускали свой сайт только после семи вечера, когда в вашей компании уже никто не работает, все ушли домой.
Как я уже говорил, они могут подстраивать таргет под устройство. Если в вашей компании все пользуются Windows, то показывать рекламу только на Mac и так далее.
Или вы федеральная компания с головным офисом в Москве, а мошенники таргетируются только на аудиторию в Саратове. Для выявления таких нарушений с вами должна работать «служба быстрого реагирования» в режиме 24/7/365. Основная масса таких мошенничеств выявляется на техническом уровне, с помощью обучаемых систем, настроенных на поиск и обнаружение вашего бренда в десятках разных категорий источников — в социальных сетях, Telegram-каналах, контекстной рекламе, поисковой выдаче, рекламных объявлениях и даже в даркнете, если нужно.
— Что происходит после того, как вы обнаружили нелегально используемый бренд?
— Мы проходим всю цепочку мошеннической схемы от самого начала, например от конкурса от имени селебрити и известного банка в Instagram до финальной точки — там, где пользователя уже просят ввести данные банковской карты для перевода выигрыша.
Обмануть могут почти на любом этапе взаимодействия, иногда несколько раз. Если мошенничество обнаруживается, ресурс нужно оперативно заблокировать. Особенно если использован товарный знак бренда или есть попытка украсть данные карты или другую информацию.
— Как оценить ущерб от таких атак?
— Можно оценить ущерб для конкретных компаний. Подсчитать аудиторию, умножить на конверсию, на средний чек. Это будет примерная потеря в месяц.
Мы проводили исследования по конверсии. Выяснилось, что фишинговые письма открывают минимум 20% пользователей. Это очень плохой показатель. Конверсия довольно серьезная и в контекстной рекламе. Для крупных брендов даже 1% в денежном выражении на всю базу клиентов превращается в крайне внушительную сумму.
— Насколько часто дела о защите бренда доходят до суда в России и в мире?
— Без паспортных данных или почты сложно привлечь мошенников к ответственности. Представьте, что у вас есть только логины и ники на форумах. Этого мало, чтобы добраться до физического лица, идентифицировать его и привлечь к судебной ответственности. Для этого нужно провести длительное расследование.
За некоторыми злоумышленниками можно следить годами. Если они ошибутся и где-то оставят свои настоящие данные, тогда получится их идентифицировать. Это крайне нетривиальная задача. Специалистов, которые могут этим заниматься, в мире единицы.
Судов мало, но они есть. И мы прилагаем усилия, чтобы таких случаев становилось все больше. Часто выделяем на это свое собственное время и средства. Чтобы были какие-то показатели и примеры, которые отвадят других от обмана. Особенно молодежь. Если человек разбирается в digital, то лучше пусть идет в нормальную компанию маркетологом.
Еще одна проблема в том, что часто такие суды непубличны: о прецедентах мало кто знает, потому что это репутационный вопрос.
— Куда обращаться, если бренд использовался неправомерно?
— Есть разные пострадавшие стороны: обманутые пользователи и контрагенты. Им необходимо пойти в полицию, чтобы об этом узнали представители официальной компании. Для пресечения незаконной деятельности важно, чтобы началось расследование. Если исков много — лучше.
Если пострадала компания, также важно обращаться в правоохранительные органы, чтобы инициировать расследования, и чтобы велась статистика таких дел.
Более правильным способом обезопасить себя являются меры, которые не позволят преступлению произойти. Лучше позаботиться о своей цифровой защите проактивно: мониторить ситуацию и не ждать, когда к вам придут потерпевшие. Зарегистрируйте свой товарный знак или интеллектуальную собственность, чтобы ее нельзя было просто так использовать без вашего согласования.
Обращайтесь к компаниям-вендорам, чтобы те автоматизированно, используя различные паттерны мошеннических схем, круглосуточно и во всех часовых поясах мониторили информационное пространство ваших digital-активностей, товарных знаков, продуктов и прочее.
Подходите к защите технологично, используя современные возможности автоматизированных платформ защиты и аналитики, например класса Digital Risk Protection. Полумеры вас от мошенников уже не спасут.
— Расскажите подробнее о Digital Risk Protection. Что это такое?
— Digital Risk Protection (DRP) — платформа для защиты от цифровых рисков, построенная на основе искусственного интеллекта.
Она проактивно обнаруживает мошенничество и ликвидирует инфраструктуру злоумышленников еще на этапе подготовки атак.
Алгоритмы системы были разработаны на основе нашего опыта по защите более 350 брендов по всему миру.
Естественно, начали мы с рунета, но затем довольно быстро научились искать атаки на бренды в Европе, Азии, Америке, а 28 апреля мы презентуем наше решение на мировой арене.
Мы покажем, как один мошеннический сайт скрывает «паутину» из сотен других, заготовленных мошенниками под атаку на бренды, представим сетевой граф для мгновенной корреляции данных и соотнесения мошенничества с конкретными преступными группами. Покажем различные кейсы о том, как готовятся атаки и как предотвратить в досудебном порядке, что мы делаем в 85% случаев.
— Каким брендам подходит эта платформа?
— Банкам, ритейлу (онлайн и офлайн), топливно-энергетическому комплексу (заправки и авиационное топливо), логистике, авиации, туристическому бизнесу, тяжелой промышленности, FMCG-производству, службы доставки, курьерские службы, такси и медиа.
Отдельно стоить выделить личные бренды, блогеров и селебрити. Это люди, которые дорожат своей репутацией. Когда злоумышленники выступают от их лица, то репутация среди аудитории падает и рекламодатели к ним не приходят.
— Как защититься рекламщикам и маркетологам от мошенников в интернете?
— Первый совет — включить разумную паранойю. Развивайте ее самыми разными средствами, это не шутка. Не смотрите письма от незнакомых людей или открывайте их из безопасной среды (через виртуальные машины, например).
Научитесь смотреть исходный код письма: вы удивитесь, когда поймете, что отправитель не тот, за кого себя выдает. Иногда мошенники могут маскироваться под ваших коллег. Если открываете письма со смартфона, то не давайте доступ к файлам, к микрофону, к различным сервисам внутри устройства. И не загружайте файлы из таких писем.
Заходя на различные сайты в сети, всегда проверяйте адресную строку, убедитесь, что это официальный сайт. Особенно когда просят оставить ваши контактные данные.
Однажды я наткнулся на розыгрыш автомобиля, который блогер якобы делал с одним известным банком. И уже почти согласился участвовать, но сайт был не официальный.
Я написал в поддержку банка насчет этого конкурса и ждал ответ три дня. И это я, к тому времени уже повидавший разные схемы мошенничества. А люди без опыта могут вообще не заметить подмены — сайт-то похож. Картинка красивая, и она «продает».
Поэтому простой совет: считайте все сайты с розыгрышами и призами опасными. Если решили все же участвовать — проверяйте домены через сервисы Whois, которые показывают данные о владельце и другую полезную информацию.
— А если мы говорим о защите не отдельных пользователей, а целых компаний?
— Здесь важно быть в тренде и защищаться от угроз настоящего, а не прошлого. Схемы и методы мошенников сильно усложнились, однако почему-то многие компании не хотят этого признавать.
Даже удивительно, когда компания, которая имеет многомиллионные бюджеты на промо и рекламу, пытается обезопасить себя от злоумышленниками по устаревшим методам, которые работали лет шесть назад.
Невозможно бороться с атаками на бренды в Интернете вручную: у вас должны быть технологии защиты и «красная кнопка» для немедленного реагирования.
Если вы — маркетолог или рекламщик в компании и в ваши обязанности входит «мониторить интернет» и устранять «абьюзы на бренд», может быть стоит отказаться от практики делать это вручную и «строчить» письма в техподдержку.
Лучше делать это автоматизированно, доверив свою репутацию в сети профессиональному партнеру. Я бы хотел пожелать компаниям открыть глаза, понять, что пользователей все равно продолжают обманывать. В идеале — установить доступные на рынке решения. Например, наш Digital Risk Protection.
Ну и иметь на всякий случай контакты тех, кто поможет вам вернуть угнанный аккаунт вашего босса или корпоративный аккаунт компании.