Программист Даркула (Darcula) «удивительно успешен». От 70 до 80% фишинговых веб-сайтов используют его мошенническое ПО. В Германии почти 20 тысяч человек ввели номера своих кредитных карт на поддельных страницах. Около 4 тысяч из них предоставили код подтверждения от своего банка.

Поддельные сайты DHL: десятки тысяч жертв в Германии

«Посылка не может быть доставлена» – с помощью таких текстовых сообщений мошенники обдирают десятки тысяч людей только в одной Германии, сообщает tagesschau.de. Злоумышленники заманивают немецких жертв в первую очередь на поддельные сайты DHL. Исследования, проведенные BR и международными СМИ, выявили глобальную систему мошенничества.

Читайте также: Немцы закрыли 2 крупнейшие платформы киберпреступности

Они позируют на фоне автомобилей с дверями типа «крыло чайки», носят одежду люксовых брендов и тусуются в дорогих ночных клубах. Мошенники завладевают данными кредитных карт сотен тысяч жертв по всему миру и демонстрируют свой экстравагантный образ жизни в интернете. Вместе с международными партнерами Bayerischer Rundfunk удалось разоблачить нескольких человек, стоящих за одной из крупнейших фишинговых сетей. Считается, что десятки тысяч случаев мошенничества с поддельными текстовыми сообщениями только в Германии – дело ее рук.

Репортеры BR реконструировали аферу

Преступники действуют из Азии – их обман стал возможен благодаря вдохновителю, который называет себя Даркулой (имя напоминает о вампире). Они отправляют миллионы сообщений на смартфоны по всему миру:

«Посылка DHL прибыла на склад и не может быть доставлена из-за неполной адресной информации. Пожалуйста, подтвердите свой адрес по ссылке в течение 12 часов». Так они заманивают своих жертв в ловушку.

Репортеры BR подробно реконструировали аферу. Основанием для этого явилась база данных преступников, в которой перечислены сотни тысяч жертв, копия используемого ими ПО и более 40 тысяч сообщений из внутренних чат-групп в мессенджере. Норвежская компания Mnemonic, занимающаяся кибербезопасностью, предоставила данные BR, норвежской телекомпании NRK и французской газете Le Monde.

«Волшебный кот» копирует веб-сайт DHL

Мошенническое ПО носит название «Волшебный кот». С его помощью можно обманчиво реалистично имитировать сайты компаний и организаций из более чем 130 стран всего за несколько кликов. Мошенники часто копируют страницы почтовых компаний и компаний по доставке посылок. В их репертуаре есть и поставщики электроэнергии, и органы власти. Но чаще всего злоумышленники заманивают немецких жертв на поддельные сайты DHL.

Как только кто-то открывает фейковую страницу, ПО оповещает на китайском: «Пользователь успешно зашел на сайт». В режиме реального времени злоумышленники могут прочитать, как пользователи вводят свои данные. Эти данные сохраняются, даже если пользователь пытается их удалить. ПО разработал 24-летний китаец.

Разработчика «Волшебного кота» зовут Даркула

В мессенджере на его аватарке изображен кот. Даркула очень мало рассказывает о себе. Но исследование показало, что за «Волшебным котом» стоит 24-летний китаец по имени Юйчэн С.. У исследовательской группы есть фотография его удостоверения личности, на которой изображен молодой человек с темными волосами. Он родом из центральной китайской провинции Хэнань. Его нынешнее местонахождение неясно.

В базе данных, которая доступна BR, нет никаких доказательств того, что разработчик ПО сам захватывает данные кредитных карт. Судя по всему, он сдает в аренду мошенническое ПО другим преступникам через посредников. Любой, кто хочет получить доступ к «Волшебному коту», должен заплатить лицензионные сборы, несколько сотен долларов в неделю.

Даркула некоторое время администрировал чат-группу, в которой мошенники общались друг с другом. Некоторые преступники предлагают обучающие курсы: как обманывать эффективнее. Другие обещают массовую рассылку текстовых сообщений в определенные страны. Даркула объединяет их всех.

IT-эксперт Форд Меррилл, который консультирует органы безопасности в нескольких странах по вопросам мошенничества с помощью текстовых сообщений, утверждает, что программист Даркула (Darcula) «удивительно успешен». От 70 до 80% фишинговых веб-сайтов используют его мошенническое ПО.

После того, как журналисты попытались связаться с разработчиком, появился человек, который утверждал, что не является Юйчэном С., но работает с ним. Он сообщил, что Юйчэн С. разработал ПО и продал его. Оно было предназначено только для создания веб-сайтов, а не для мошенничества с кредитными картами.

Харрисон Сэнд из норвежской охранной компании Mnemonic, которая выследила Даркулу, сомневается в этом. Цель ПО — нацелиться на широкую общественность и украсть данные кредитных карт.

«Мы не видим способа, как это ПО могло быть использовано в законных целях».

Десятки тысяч жертв в Германии

В базе перечислены жертвы мошенничества с конца 2023 года по лето 2024 года. Оценка показала, что почти 900 тысяч человек во всем мире за этот период раскрыли информацию о своих кредитных картах.

В Германии почти 20 тысяч человек ввели номера своих кредитных карт на поддельных страницах. Около 4 тысяч из них предоставили код подтверждения от своего банка. С помощью этих кодов мошенники могут вносить карты в цифровые кошельки, такие как «Apple Pay» и «Google Pay».

На снимках изображены смартфоны, на которых хранятся данные более десятка карт. Их можно использовать для оплаты без дополнительного ввода PIN-кода, поэтому жертвы могут быть ограблены несколько раз.

BR побеседовал с более чем 100 пострадавшими в Германии. Многие из них подтвердили, что потеряли деньги из-за этой аферы.

Во внутренних чат-группах мошенников видно, что некоторые злоумышленники используют собственные платежные терминалы. Так они могут использовать скопированные кредитные карты из дома. Другие мошенники выкладывают фото чеков в чате и в соцсетях после покупок в люксовых магазинах.

Преступник в Бангкоке

Репортерам удалось выявить одного из самых активных участников сети Darcula. Он действует под именем X667788X и, судя по всему, обманул тысячи людей с помощью «Волшебного кота». Это видно из базы данных, в которой перечислены жертвы. Он обучает других максимально эффективному обману, продает ПО и предлагает услуги по отправке текстовых сообщений. Он с удовольствием рассказывает, сколько денег зарабатывает на мошенничестве.

Этот молодой человек называет себя «Крис». Он родом из города Сиань в Китае. В течение нескольких месяцев он работал из Бангкока. Оттуда он публиковал в социальных сетях фотографии из дорогих суши-ресторанов и с Lamborghini. Недавно он снова опубликовал пост из Китая – с гоночной трассы под Шанхаем. Когда BR и NRK задают вопросы о нем в его окружении в Бангкоке, он удаляет посты, на которых видно его лицо.

В беседе с журналистами человек, стоящий за именем X667788X, отрицает, что он Крис:

«Я X66, но вся информация, которую вы нашли, неверна».

Никаких расследований BKA не ведет

Несмотря на десятки тысяч жертв в Германии, Федеральное ведомство уголовной полиции (BKA) не расследует мошенническую сеть вокруг Даркулы и «Волшебного кота». В BKA пишут, что знают о «Darcula Group» с октября 2024 года. За группой будут постоянно наблюдать «для оценки феномена». Ведомство заявляет:

«Расследования в отношении международных фишинговых групп осложняются тем, что требуется международное негласное полицейское сотрудничество».

Логистическая группа DHL, чей сайт особенно часто подделывают преступники, говорит:

«Пожалуйста, поймите, что мы не комментируем вопросы кибербезопасности».

Читайте также:

Подпишитесь на наш Telegram
Получайте по 1 сообщению с главными новостями за день
6 мая 2025 в 10:26
Теги: , , , , ,
Заглавное фото: pexels.com

Читайте также:

Обсуждение

Подписаться
Уведомить о
guest
0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии