Как устроено онлайн-мошенничество в Молдове и Румынии — расследование Recorder

Фейковая реклама, программы удалённого доступа в руках аферистов, использование искусственного интеллекта, а также бессилие властей — это новая эра интернет-мошенничества, считают расследователи румынского издания Recorder. Они подробно изучили схемы в деле DeepFake, в ходе расследования которого на прошлой неделе прошли обыски в колл-центрах Кишинёва, а ранее — в Румынии и Украине. Как все это устроено и как уберечься от мошенников?

В конце прошлой недели в ходе совместной операции DeepFake молдавских и румынских властей, которая коснулась нескольких колл-центров, в Кишинёве задержали 12 человек. Румынское издание Recorder провело своё расследование по этому делу, и их информация совпала с той, что представили прокуроры.

Молдавские и румынские сотрудники правоохранительных органов провели 60 обысков в домах, офисах, в том числе четырех колл-центрах, автомобилях в Кишинёве и двух других городах Молдовы, говорится в заявлении молдавской полиции.

«Автором мошеннической схемы стала организованная преступная группа, состоящая из представителей нескольких стран. Операция проводилась совместно с прокурорами DIICOT из Румынии, при поддержке Управления стратегических расследований украинской полиции (провело девять обысков в Киеве), под эгидой европейских агентств Евроюст, Европол и Selec и при поддержке спецназа Fulger из Кишинёва», — сообщила полиция Молдовы.

В Бухаресте — 120 уголовных дел

Одновременно о своём расследовании рассказало и Управление по расследованию организованной преступности и терроризма (DIICOT) румынской прокуратуры.

Дело возбудили по запросу Управления финансового надзора, и в марте этого года была создана совместная с молдавскими коллегами следственная группа.

Позже в одно дело «объединили 120 уголовных дел, зарегистрированных в других прокуратурах, по жалобам 150 пострадавших», а «ущерб, нанесённый пострадавшим, составляет около 15 миллионов [румынских] леев«, сообщает DIICOT.

«В результате проведённого расследования выяснилось, что в 2022 году на территории Республики Молдова была создана организованная преступная группа, члены которой создавали и распространяли в виртуальной среде (интернете) рекламу, предлагающую возможность определённого заработка, быстрого и существенного в результате небольших инвестиций (250 долларов США, 250 евро) в акции/виртуальные валюты через торговые онлайн-платформы, рекламу, содержащую для достоверности изображения известных людей или логотипы банковских отделений, специализированных экономических изданий или телеканалов», — сообщает учреждение по борьбе с организованной преступностью.

Представители DIICOT подробно описали метод опустошения банковских счетов тысяч жертв в Румынии, которые купились на фальшивую рекламу в интернете, и такого рода аферы процветают. Людей заманивают видеороликами, в которых используются лица известных политиков, журналистов или бизнесменов, чья речь сгенерирована с помощью ИИ, которые лгут об инвестировании в акции или других схемах обогащения.

Кто за этим стоит

За этим обманом стоят сложно устроенные преступные группы, «которым на руку жадность крупных технологических корпораций и неспособность властей защитить своих граждан», пишет Recorder. Хотя полиция и прокуратура признают, что сталкиваются со шквалом жалоб, они не располагают данными о реальных масштабах этого явления и даже не могут привести пример реально раскрытого дела.

Институциональное бессилие тем более постыдно, поскольку мошенники используют даже образы политиков, находящихся у власти: в Румынии это премьер-министр Марчел Чолаку и министр Себастьян Бурдужа, например. Бурдужа в начале этого года публично заявил, что выдвинет уголовные обвинения против тех, кто использовал его образ для создания фальшивых рекламных объявлений. Теперь, семь месяцев спустя, министр признаёт, что у него нет никаких новостей о ходе расследования.

Recorder попытался разгадать механизмы этого явления и выяснил, как работает сеть, какие сценарии она использует и как скрываются конечные бенефициары, которым косвенно помогает пассивность румынских властей и технологических гигантов.

Политики, бизнесмены и журналисты — персонажи фейковой рекламы

Цитата из расследования Recorder: «Вы открываете окно YouTube и нажимаете кнопку воспроизведения. Перед началом воспроизведения любого видео вас встречает реклама, но это не настораживает, ведь вы и раньше видели рекламу на YouTube, в том числе и известных брендов. А в этот раз о выгоде инвестиций на новой платформе вам рассказывает известный политик или артист».

Например, гражданам Румынии, заходившим на новостной сайт, во время чтения статьи предлагался баннер с изображением Марчела Чолаку. Премьер-министр объявлял, что теперь любой гражданин может инвестировать в акции Petrom. В Чёрном море обнаружены новые запасы газа, и все румыны имеют право на получение выгоды, и якобы так можно получать стабильный ежемесячный доход до 5 тысяч румынских леев в месяц. Расследователи приводят и другие примеры липовых объявлений.

Для человека, продвинутого в сфере онлайн-технологий, приведенный пример вызовет явные подозрения. Даже если они похожи на оригиналы, голоса за кадром звучат странно и не синхронизируются с мимикой и жестами на экране. Посыл, который они несут, также сомнителен: идея распределения ресурсов между гражданами не похожа на фильм о демократическом государстве с капиталистическим устройством.

Поэтому можно легко сделать вывод, что человеку попалась реклама, основанная на технологии deepfake. Это цифровая манипуляция с видео, аудио или изображением, выполненная с помощью искусственного интеллекта (ИИ) или другого специализированного программного обеспечения.

Ниже для примера представлен видеомонтаж, в котором расследователи поместили оригинальные изображения рядом с преобразованными посредством deepfake изображениями, используемыми в рекламе, которая пестрит в Интернете.

Но не имея возможности распознать подделку, многие пользователи сосредотачиваются на рекламном сообщении и соблазняются идеей лёгкой финансовой выгоды, даже находя аргументы для подтверждения уже созданной ими иллюзии, говорится в источнике.

Переходя по ссылке и заполняя форму, жертва ждёт звонка, чтобы узнать, как стать инвестором Hidroelectrica, Petrom или Transgaz. «Где-то в Кишинёве из офиса в современном здании со стеклянными стенами кто-то набирает номер и раздается звонок. В том же помещении десятки людей сидят перед компьютерами со множеством мобильных телефонов. Они говорят одновременно на румынском, русском и английском языках. И нет, это не колл-центр, из которого звонящим помогают стать инвесторами, а место, из которого координируется обман тысяч людей», — рассказывает Recorder.

Трудоустройство через детектор лжи

В таком колл-центре в Кишинёве работал Виктор (настоящее имя в целях защиты личности изменено), молодой человек из Молдовы, с ним удалось поговорить редакции Recorder. Его показания раскрывают организованную преступную систему до мельчайших деталей: при приёме на работу кандидатов подвергали проверке на детекторе лжи, призванной защитить сеть от полиции «под прикрытием» или людей, которые могут собрать доказательства того, как опустошаются счета жертв.

После приёма на работу выдавались точные инструкции о том, как вести себя и что говорить, исходя из реакции «клиента». Виктор предоставил расследователям несколько листов сценариев, которые мошенники используют для обучения операторов колл-центра:

Конечная цель этих разговоров, в которых операторы колл-центра следовали стандартным сценариям, — получить доступ к банковским приложениям и удостоверениям личности с фотографией людей. Как только доходило до этого, все счета жертвы опустошались, а в кишинёвском офисе раздавался пронзительный звонок.

«Так объявляют о новой жертве, отмечают колокольным звоном и аплодисментами. Каждый, кто работает в этих колл-центрах, знает, что делает». Это свидетельства Виктора, парня из Республики Молдова, который некоторое время работал в таком колл-центре. Он утверждает, что собрал доказательства и уведомил власти Республики Молдова, но теперь опасается за свою жизнь: «Мне угрожали и избивали на улице. Я просто боюсь выходить из дома».

Удаленный контроль над телефоном — история Адрианы

Пока офис в Кишинёве празднует под звон колоколов и аплодисменты, где-то в Румынии жертва обмана чувствует, что у него земля ускользает из-под ног.

У Адрианы Кожокару именно такой опыт. Фейковое объявление, форма, заполненная онлайн, и несколько телефонных звонков. По итогам общения с операторами колл-центра все деньги на счетах, в том числе на кредитных картах, пропали. Она потерял 60 тысяч румынских леев, а позже узнала, что от её имени также были поданы заявки на получение кредита в несколько банков.

«После смерти моей матери это худший опыт, который я пережила», — говорит Адриана Кожокару. В прошлом учительница, сейчас она — социальный работник в уезде Тулча. «Я сказала себе: «Давай попробуем, если я потеряю тысячу леев, это не так уж и плохо, по крайней мере, я учусь инвестировать в акции», — призналась женщина.

После того, как её заинтересовала фейковая реклама и она заполнила форму, с ней связался человек, представившись брокером.

Он говорил тихо, с молдавским акцентом, — вспоминает Адриана. Акцент не насторожил её и на следующий день, когда с ней снова связались. Ей сказали, что для получения учётной записи им нужна её паспортом с фотографией, и еще нужно установить приложение в телефон.

«Они сказали мне загрузить приложение, чтобы они могли создать для меня эту учётную запись, и это приложение — AnyDesk*. Я думала он мне счёт делает для транзакций, чтобы всё было прозрачно, как сказал по телефону».

Схема проработана до мельчайших деталей. После того, как аккаунт был создан, поступил новый звонок. «Я знала номер банка, и мне позвонили с этого номера. Он сказал мне, что он брокер в банке, в котором у меня есть счёт, и что он позаботится о моих инвестициях на фондовом рынке. Он сказал мне не паниковать, потому что в ближайшие несколько минут моё приложение онлайн-бэнкинга будет заблокировано, и я не смогу следить за тем, что происходит».

Хотя звонок якобы был с номера банка, так называемый брокер также был членом преступной группы. Они используют программное обеспечение, которое позволяет отображать на телефоне вызываемого абонента фальшивый номер. Адриана Кожокару не знала ни о существовании приложения AnyDesk, через которое третьи лица могут управлять чужим телефоном, ни о программе, которая выводит на экран телефона номер, отличный от настоящего номера.

Женщина была убеждена, что разговаривала с кем-то из банка. Увидев, что приложение не разблокировалось, женщина позвонила в банк и на этот раз действительно разговаривала с реальным представителем, которого попросила восстановить ей доступ к приложению, чтобы проверить состояние счёта. На что тот ответил, что на счёте всего 21 RON. «Можете себе представить шок, я начала плакать и больше не могла говорить», — вспоминает женщина.

Адриана Кожокару подала заявление в полицию, но с февраля до сих пор не получала никаких известий от властей. Женщина говорит, что потеряла всякую надежду вернуть свои деньги. Помимо бездействия властей, ее беспокоит и отношение сотрудников банка, в котором она хранила свои деньги: «Как могли иностранцы совершить транзакции на 12 тыс. евро с моего телефона за два часа, без моего звонка?» — спрашивает она.

Помимо денег, которые были сняты с её счета, мошенники использовали её удостоверение личности для запроса кредита на личные нужды на сумму 90 тыс. леев. Поскольку у женщины уже был кредит, ей позвонили из банка не для того, чтобы сообщить, что преступники хотят получить от неё больше денег, а чтобы рассказать ей, что если она хочет ещё один кредит, ей нужен поручитель.

Я постарел на пять лет за два дня

Журналисты пообщались с тремя жертвами такого рода онлайн-афер. Сюжеты идентичны: молдавский акцент, AnyDesk, копия паспорта, звонок с номера банка и далее по отработанному сценарию.

Мужчина из Харгиты, пожелавший остаться неизвестным, за один день потерял 120 тысяч RON. По его словам, полицейский рассказал ему, что мошенники используют фейковые IP-адреса и узнать их реальное местонахождение крайне сложно. Кроме того, он сообщил ему, что группа, стоящая за аферой, имея доступ к данным жертв, создавала многочисленные банковские счета для использования в транзакциях. Таким образом, деньги жертвы переводятся на счета, созданные мошенниками с данными других пострадавших, и средства затем исчезают, в большинстве случаев через конвертирование в криптовалюты.

Мужчина возмущен тем, что банки не предупреждают клиентов, когда с их счетов совершаются такие крупные транзакции. Через 20 минут он позвонил в банк, где ему ответили, что не могут заблокировать транзакцию, хотя перевод был сделан на счёт в том же банке. Ему предложили просто заблокировать счёт, на котором у него уже не было денег. «В каком мире мы живём? Я потерял целое состояние. Я постарел на пять лет за два дня», — говорит он.

За последние полгода журналисты зафиксировали десятки подобных случаев, а количество жалоб в полиции стремительно растет.

Например, в Сучаве мужчина потерял все свои сбережения со счетов, при этом остался в долгах, после того как преступникам удалось оформить кредит в банке, где у мужчины был счёт. Банк одобрил кредит на 37 800 румынских леев и в тот же день вся сумма была снята со счёта.

В ответе для Recorder Ассоциация банков Румынии перекладывает ответственность на клиентов: «Банки ввели и продолжают реализовывать меры по выявлению и ограничению мошенничества. Предоставление клиентом банковских данных преступникам является аспектом, который делает всю конструкцию уязвимой и подвергает пользователя риску быть обманутым».

Как журналисты Recorder выступили в роли потенциальных «инвесторов»

Чтобы проверить действия мошенников, журналисты связались с одной из групп, распространяющих рекламные ловушки. Google вывел их на сайт artisfinance.pro, где изображение премьер-министра Румынии Марчела Чолаку используется для привлечения инвестиций в акции Petrom: «Учитывая, что цены на нефтепродукты быстро меняются, каждая инвестиция в проекты Petrom приносит в среднем 4200-5000 леев в месяц». Хотя на самом деле он никогда не заявлял ничего подобного.

Контактной информации на сайте нет. Единственный вариант — заполнение формы: имя, адрес электронной почты, номер телефона.

Расследователи создали клиента инкогнито, и через несколько часов им позвонили с номера, зарегистрированного в Румынии. Женщина с молдавским акцентом рассказала, что ей пришлось создать для журналистов аккаунт для инвестирования в акции крупных румынских компаний в сфере энергетики. Минимальная сумма, которую можно было внести, составила 1200 румынских леев.

Далее она настойчиво просила данные банковской карты: имя, номер, срок действия и код безопасности. На вопрос, законно ли запрашивать такие данные, женщина по телефону ответила: «Если данные на карте были бы конфиденциальными, то там их не печатали бы. Карта это нечто из пластика».

После отказа дать данные карты собеседница выступила с новым предложением: установить приложение на личный телефон, чтобы она могла сама произвести операцию. Это приложение AnyDesk.

После того, как ей сказали, что звонят журналисты, он резко бросила трубку и не отвечала на последующие звонки.

Подобная фейковая реклама появляется на всех основных платформах – Google, YouTube, Facebook — и является основным способом приманки жертв в ловушку.

В приведённом случае компания Google получила некоторую сумму денег на продвижение рассматриваемой рекламы и по идее должна предоставить максимально прозрачную информацию о заказчике. Так журналисты узнали, что её оплатило физическое лицо из Украины, но личность не была подтверждена.

Другими словами, Google позволяет рекламодателям загружать рекламу на платформу, даже если они не выполнили два основных этапа регистрации: первый шаг — заявить о своей личности, а второй — предоставить документы, подтверждающие, что вы тот, кто вы есть.

Неясно, стоял ли на самом деле за этой рекламой кто-то из Украины, но известно, что украинские власти за последние годы ликвидировали несколько преступных групп такого рода. Одна из них, имеющая офисы в нескольких городах, в которых работали более 800 человек, была раскрыта в сентябре прошлого года, говорится в заявлении киберполиции Украины. Их целевой аудиторией были русскоязычные из постсоветского пространства, а также англоговорящие, особенно из Европейского союза, США и Канады.

С началом войны некоторые преступные группировки мигрировали из Украины в Молдову, а румыноязычные стали основной мишенью. Виктор, работавший в колл-центре в Кишинёве, говорит, что его отдел ориентировался только на людей из Румынии.

«На тренинге нам рассказали, как их привлечь. Позже подключилась другая команда, специализировавшаяся на опустошении счетов», — говорит он.

Тот же источник утверждает, что руководители сети дают взятки властям Республики Молдова, чтобы обеспечить свою защиту. Более того, в конце мая этого года Национальный центр по борьбе с коррупцией Молдовы задержал гражданина Украины, обвиняемого в попытке подкупа. Глава инспектората полиции в Кишинёве рассказал, что ему предложили взятку $20 тыс. «в обмен на защиту незаконной деятельности по предоставлению услуг «колл-центра»», говорилось в заявлении ведомства.

«Плата за защиту» заключалась бы в освобождении от возможного контроля со стороны госучреждений, причём указанный бизнес также имеет связи с другими ведомствами, занимающимися аналогичной деятельностью в Республике Молдова.

Потрясение румынских властей

Расследование набирает обороты и в Румынии. Все три жертвы, с которыми говорили журналисты, говорят, что полиция, похоже, перегружена.

В ответе Recorder румынская полиция сообщила, что по мошенничеству с помощью дипфейков она не может предоставить «статистические данные или сравнительный анализ относительно количества обманутых людей, количества раскрытых дел или количества дел в суде за преступления, совершённые указанным способом». Полиция сообщает, что раскрытые дела есть, но предоставить подробности отказалась.

Recorder отмечает, что ни полиция, ни прокуратура Румынии пока не смогли раскрыть ни одного конкретного дела.

И это на фоне тревожного роста онлайн-преступлений в Румынии. По словам представителей полиции, с 1 апреля 2023 года по 31 марта 2024 года количество жалоб увеличилось почти на десять процентов по сравнению с предыдущим периодом.

25% населения в мире лишились денег в интернете

По данным Глобального альянса по борьбе с мошенничеством (GASA), международной неправительственной организации, базирующейся в Гааге, во всём мире онлайн-мошенничество стало самым распространенным типом преступлений.

Отчет GASA за 2023 год:

• В прошлом году каждый четвёртый человек в мире потерял деньги из-за мошенничества или кражи личных данных;
• 1 триллион долларов — предполагаемая сумма, отнятая у жертв онлайн-мошенничества в 2023 году;
• 59% жертв не сообщают властям о том, что их обманули в интернете, причём многие убеждены, что это будет бесполезно;
• Только 7% жертв онлайн-мошенничества во всём мире удаётся вернуть потерянные деньги.

Мошенники свободны, потому что они действуют на глобальном уровне, тогда как правоохранительные органы действуют на местном, региональном или национальном уровне. По данным Всемирного экономического форума, только 0,05% всех киберпреступников подвергаются судебному преследованию.

Недавно появился новый тип рекламных сообщений: «Вы стали жертвой интернет-мошенничества? Мы гарантируем вам 100%, что вернем ваши деньги». Звучит, конечно, так же «хорошо», как и классические инвестиционные мошенничества. Люди склонны верить. Мошенники представляют себя профессионалами, способными вернуть деньги. Они не просят денег за услугу, а просят гарантии того, что человек действительно заинтересован в возмещении своего ущерба. Так они пытаются убедить пользователей отдать другие деньги в дополнение к тем, которые были им перечислены мошенникам, — рассказал комиссар Сорин Станикэ.

Какие шаги предпринимают Google и Facebook

Компания Meta, владеющая Facebook и Instagram, с годовым доходом более $130 млрд, не имеет офиса в Румынии, поэтому журналистам даже не к кому было обратиться за официальной реакцией.

У Google есть представители в Бухаресте, но они предоставили те же стандартные ответы, с помощью которых корпорация отмахивается, где бы и когда вопросы ни касались серьёзных этических проблем, с которыми она сталкивается: их политика «чётко запрещает дипфейки и фейковую рекламу, обеспечивая крепкую основу для выявления и удаления этого типа контента». И это несмотря на то, что интернет полон комментариев пользователей, утверждающих, что они сообщили о фейковом контенте, а Google не предпринимает никаких действий. В 2023 году выручка Google (Alphabet) превысила $300 млрд, при этом компания подробностей о системах обеспечения соблюдения политик не предоставляет, «поскольку злоумышленники часто используют эту информацию, чтобы подорвать наши усилия и избежать принудительного исполнения».

Компания отмечает, что в 2023 году ими были заблокированы или удалены:

• 206,5 млн дезинформационных объявлений, включающих множество мошеннических приёмов, в том числе дипфейки;
• 273,4 млн постов с рекламой финансовых услуг;
• Более 1 млрд объявлений, нарушающих политику злоупотреблений в рекламной сети, включая продвижение вредоносных программ.

Как избежать мошенничества в интернете

Национальное управление кибербезопасности (DNSC), учреждение, обеспечивающее защиту инфраструктуры Румынии в виртуальном пространстве, делает ставку на обучение граждан. «Решением постепенного сокращения числа жертв в этом случае является профилактика и финансовое образование, но особенно кибербезопасность», — ответили изданию.

DNSC, румынская полиция и Румынская ассоциация банков запустили в конце прошлого года Национальный проект по предотвращению онлайн-преступности и цифровому образованию #SigurantaOnline.

Предлагаем ознакомиться с рекомендациями румынских властей, чтобы не попасть в ловушку инвестиционного мошенничества:

• «Обязательно проверьте несколько источников (а не только те, которые предоставили злоумышленники) на наличие высокодоходных инвестиционных предложений от неизвестных лиц. Крупные выигрыши могут скрывать мошенничество;
• Отправьте жалобу на попытки мошенничества в проплаченных рекламных объявлениях той социальной сети, где продвигается мошеннический контент;
• Остерегайтесь нежелательных электронных писем или сообщений в соцсетях, предлагающих быстрые или крупные выигрыши. Не переходите по ссылкам в соцсетях, которые обещают крупный заработок за короткий период времени;
• Не общайтесь и не поддерживайте отношения с представителями финансовых платформ, когда они очень настойчивы и оказывают давление, чтобы заставить вас инвестировать;
• Устанавливайте приложения на телефон/компьютер только из официальных источников;
• Убедитесь, что единственный человек, имеющий доступ к инвестиционным приложениям/сайтам, это вы, а не тот, кто рассказал вам об инвестициях;
• Никогда не передавайте личные или банковские данные другим людям (счёт, пользователь, пароль мобильного/интернет-банка, номер карты, код безопасности на обратной стороне карты и т. д.);
• Когда вы получаете электронное письмо или сообщение из неизвестных источников, не отвечайте на него и не открывайте ссылки в его содержании;
• Если вы считаете, что вас обманули и вы уже передали свои банковские реквизиты другим людям, немедленно сообщите об этом в банк, в котором у вас есть счета, и в полицию.

*AnyDesk — приложение, с помощью которого человек может предоставить другому человеку удалённый доступ к своим устройствам (телефону, ноутбуку, планшету). Предназначенное для облегчения удаленного устранения технических проблем, оно часто используется мошенниками для доступа к банковским приложениям жертв.

К приложениям удалённого доступа также относятся TeamViewer, Ammyy Admin, AeroAdmin и другие.

Читайте также:

• (ВИДЕО) Подробности о задержаниях в колл-центрах Кишинёва — как обманутые вкладчики потеряли около 1,2 млн евро
• Мошенники использовали интервью nokta с Майей Санду для рекламы крипто-сервиса

nokta