После теракта в «Крокус Сити Холле» 22 марта в сети возросла вредоносная активность, как просто мошенников, так и провокаторов. Специалисты по кибербезопасности и представители «Крокуса» говорят о поддельных сборах на помощь жертвам и восстановление концертного зала, в том числе от фейков легальных благотворительных организаций и персон. Параллельно злоумышленники, наоборот, рассылают фейковые предложения о платежах за противоправные действия, вплоть до теракта, опираясь на суммы, названные обвиняемыми. Эксперты считают эти действия «попытками информационно-психической манипуляции гражданами».
В F.A.C.C.T (ранее Group-IB в России) рассказали «Ъ», что наблюдают в сети (в частности, в Telegram и «ВКонтакте») «злонамеренную активность», связанную с терактом 22 марта. В частности, обнаружены созданные 23 марта «фейковые группы и каналы», посвященные сбору средств помощи жертвам.
Организаторы ресурсов утверждают, что через них можно поддержать потерпевших и их семьи, предоставляя номер карты или банковского счета для перевода. В ряде случаев злоумышленники пишут, что средства пойдут на восстановление концертного зала.
С предупреждением о мошенниках обратились к гражданам и в самом «Крокус Сити Холле». Представители площадки 24 марта сообщили в Telegram, что в случае звонков или сообщений от якобы сотрудников «Крокус Сити Холла» не нужно «совершать никаких операций, заполнять документы, переводить деньги».
«Мошенники придумывают убедительные истории, а также выдают себя за реального человека или организацию, подменяя реквизиты в копии официального сообщения, например, благотворительного фонда,— говорят в F.A.C.C.T.— Чтобы не попасться, как минимум важно сверять реквизиты в сообществах с данным официальных источников».
В VK заверили, что блокируют все сообщества, «которые ведут сборы без подтвержденных финансовых отчетов».
К 25 марта мошенники, использующие фишинг, охватили и англоязычный сегмент интернета: специалисты F.A.C.C.T. обнаружили маскирующиеся под британское издание The Guardian сайты, где пользователям предлагается пожертвовать деньги гражданам РФ, которых коснулась трагедия.
Для перевода предлагаются крипто-кошельки (WalletConnect, MetaMask и др.). Сайты распространяются на pages.dev, техническом домене, принадлежащем Cloudflare, уточняют эксперты.
В то же время в «МегаФоне» говорят, что не отмечают резкого роста телефонного мошенничества. В целом, по данным оператора, 22 марта всплеск голосового трафика в Москве составил 40% неделя к неделе, компания также наблюдала удвоение активности в Telegram. В МТС подтверждают, что в Московском регионе 22 марта с 20:00 до 00:00 в сравнении с тем же периодом 15 марта голосовой трафик вырос на 40%, передача данных — на 5%. В Tele2 также говорят о росте трафика. В «Вымпелкоме» отказались от комментариев. В Роскомнадзоре не ответили на запрос «Ъ».
Специалисты по OSINT (Open Source Intelligence, разведка по открытым источникам) обращают внимание на другое направление мошенничества, рассчитанное на альтернативную аудиторию.
«Пользователям пишут неизвестные, предлагая заработать, выполнив ряд действий, включая помощь в организации теракта за 500–700 тыс. руб. (согласно видео, опубликованным силовиками, один из террористов в ходе следственных действий говорил, что должен был получить 500 тыс. руб.)»,— рассказывают в Т.Hunter. Такие сообщения отправляются в Telegram, WhatsApp и Viber.
«Пока мы видим обращения к старшеклассникам и студентам, географически фиксировались рассылки в крупных городах: Москве, МО, Петербурге, Казани, а также в Тульской и Смоленской областях»,— уточняет господин Бедеров. Это отчасти провокация паники, отчасти отвлечение внимания силовых структур. При этом эксперт предупреждает, что сейчас наблюдаются и реальные вербовочные мероприятия в соцсетях и Telegram: «Они отличаются отсутствием прямого обращения, сообщения распространяются в чатах».