Зимой этого года исследователь киберугроз столкнулся с классической схемой обмана в Telegram. Незнакомка по имени Арабелла предложила ему удалённую подработку с оплатой до $310 в день без необходимости опыта. Под видом легальной компании «Corner Office Consultants» скрывалась мошенническая схема, и исследователь решил в неё «включиться», чтобы изучить методы злоумышленников.
Описание
Как работал обман
После согласия на «работу» исследователя передали другому «сотруднику» — Марии, которая представилась представителем «Marble Media». Ему предложили выполнять монотонные задания (клики по кнопкам на поддельном сайте) и пообещали выплаты в криптовалюте. Однако вскоре выяснилось, что для продолжения «работы» нужно пополнять баланс - типичный признак финансовой пирамиды.
Попытка переиграть мошенников
Исследователь попытался обмануть самих злоумышленников:
- Подменил адрес криптокошелька в переписке, но мошенники это заметили.
- Использовал фальшивые скриншоты переводов, чтобы имитировать платежи.
- В одном случае ему даже удалось вывести $129 в Ethereum, но при повторной попытке схема раскрылась.
Финал «сотрудничества»
Когда исследователь напрямую спросил о мошенничестве, Мария начала оскорблять его на китайском, а затем удалила переписку. Арабелла и вовсе исчезла из Telegram.
Выводы
Анализ доменов показал, что злоумышленники используют множество похожих сайтов (например, marblemediaworks[.]cc), вероятно, работая по шаблону. В 2024 году жертвы подобных схем потеряли $9,3 млрд.
Индикаторы компрометации
Domains
- appradaseo.cc
- creatorseo-apps.cc
- creatorseoireland.cc
- dialektaseo.click
- dreamseo.cc
- hawksearchseos.cc
- marblemediaseo.cc
- marblemediaworks.cc
- profiletree-seo.click
- sdmgrowthseo.cc
- seoclick-tasks.cc
- seoclick-tasks.click
- seoclick-works.cc
- seoclick-works.click
- ukseo.click
