- Автор темы
- #1
Более 80% атак с использованием социальной инженерии в III квартале 2025 года приходится на мессенджеры. Злоумышленники активно расширяют площадки для атак и придумывают новые сценарии манипуляций с доверием, и одна из них — схема pig butchering.
Как она устроена и какие признаки помогут вовремя распознать опасность и уберечь свои средства, рассказывает Дмитрий Пойда, аналитик по расследованиям AML/KYT провайдера «Шард».
В соцсетях или мессенджерах пользователю пишет собеседник, который якобы претворяется инвестором, предпринимателем или потенциальным партнером. Киберпреступник за несколько недель или месяцев узнает жертву и располагает ее к себе. После этого он предлагает «безопасную инвестицию», обычно в криптовалюту или на псевдоплатформу, имитирующую легитимную биржу.
С технической точки зрения такие операции выглядят убедительно: демонстрируются реальные блокчейн-транзакции, выделяется личный менеджер, присутствует интерфейс поддержки. Пока жертва «инвестирует», баланс в приложении растет, однако вывести средства невозможно. В какой-то момент доступ к платформе блокируется, и мошенники исчезают.
По данным аналитических компаний, ущерб от схемы pig butchering за последние два года превысил $10 млрд.
Колл-центры таких операций чаще всего располагаются в Юго-Восточной Азии, при этом нередко работников привлекают к участию в мошеннических схемах в условиях, близких к принудительному труду. Популярность этой схемы объясняется относительно простой организацией, так как злоумышленникам требуются только знания психологических приемов. При этом особенности работы криптовалют, такие как быстрые переводы и относительная анонимность, создают условия, в которых подобные мошеннические схемы могут действовать на глобальном уровне.
На практике это реализуется через несколько основных сценариев:
Они создаются на одноразовых доменах с коротким жизненным циклом, от нескольких дней до пары недель.
Такие ресурсы активно продвигаются через социальные сети, мессенджеры и таргетированную рекламу на русском, китайском, вьетнамском и испанском языках. Злоумышленники подкрепляют иллюзию надежности именами «звезд», а также поддельными публикациями в СМИ и обещаниями «стабильного дохода на волатильности». Эти проекты ориентированы на локальные диаспоры или группы с ограниченной финансовой грамотностью. Как показало недавнее расследование в Нью-Йорке, русскоязычных жителей убеждали инвестировать через фейковые «криптоплатформы» с доменами, адаптированными под американский рынок.
Массовое распространение подобных схем стало возможным благодаря PBaaS (pig butchering‑as‑a‑service), который предоставляет готовую инфраструктуру для фишинговых проектов. В ее состав входят шаблоны сайтов популярных бирж, инструменты обхода антифрод‑систем, панели управления и API для генерации одноразовых доменов и SSL‑сертификатов. Такие сервисы позволяют быстро запускать сотни фейковых криптоплатформ, включая подключение хостинга и Telegram‑ботов поддержки. Дополнительно могут предоставляться услуги по SEO‑продвижению, интеграции платежных решений и имитации пользовательской активности.
Фактически PBaaS превратился в конвейер для криптопирамид, снимая с мошенников необходимость в технической экспертизе. Массовость и высокая автоматизация таких сервисов делают противодействие им особенно сложным, поскольку новые фейковые платформы могут появляться почти сразу после блокировки предыдущих.
Как она устроена и какие признаки помогут вовремя распознать опасность и уберечь свои средства, рассказывает Дмитрий Пойда, аналитик по расследованиям AML/KYT провайдера «Шард».
Как устроена схема pig butchering
Схема pig butchering (дословно «откорм перед забоем»), или «забой свиней», одна из наиболее распространенных форм доверительного онлайн-мошенничества. Она выстраивается на длительном поддержании контакта и формировании ощущения близости, после чего злоумышленники выманивают средства у своих жертв.В соцсетях или мессенджерах пользователю пишет собеседник, который якобы претворяется инвестором, предпринимателем или потенциальным партнером. Киберпреступник за несколько недель или месяцев узнает жертву и располагает ее к себе. После этого он предлагает «безопасную инвестицию», обычно в криптовалюту или на псевдоплатформу, имитирующую легитимную биржу.
С технической точки зрения такие операции выглядят убедительно: демонстрируются реальные блокчейн-транзакции, выделяется личный менеджер, присутствует интерфейс поддержки. Пока жертва «инвестирует», баланс в приложении растет, однако вывести средства невозможно. В какой-то момент доступ к платформе блокируется, и мошенники исчезают.
По данным аналитических компаний, ущерб от схемы pig butchering за последние два года превысил $10 млрд.
Колл-центры таких операций чаще всего располагаются в Юго-Восточной Азии, при этом нередко работников привлекают к участию в мошеннических схемах в условиях, близких к принудительному труду. Популярность этой схемы объясняется относительно простой организацией, так как злоумышленникам требуются только знания психологических приемов. При этом особенности работы криптовалют, такие как быстрые переводы и относительная анонимность, создают условия, в которых подобные мошеннические схемы могут действовать на глобальном уровне.
Какие сценарии социальной инженерии используют мошенники
Как упоминалось ранее, схема pig butchering представляет собой форму долгосрочной социальной инженерии. Ее ключевая цель заключается в том, чтобы последовательно завоевать и удерживать доверие жертвы, создавая иллюзию надежных отношений. На этом основании мошенники убеждают человека переводить значительные суммы на контролируемые ими кошельки.На практике это реализуется через несколько основных сценариев:
- Классический длительный диалог. Мошенники ведут затяжные «романтические» или деловые переписки в мессенджерах и соцсетях. После установления доверия аккуратно вводится тема «выгодных» криптоинвестиций с демонстрацией «растущего» баланса. Ключевые психологические приемы включают эмпатию, подтверждение и постепенное привыкание к идее вложений.
- Голосовая манипуляция. Используются звонки с подменой номера или заранее отработанными скриптами. Злоумышленник имитирует опытного инвестора, создавая ощущение срочности и компетентности, что заставляет действовать без проверки информации.
- Поддельные рабочие чаты. Мошенники формируют клоны корпоративных групп с аналогичными названиями и аватарами. В таких чатах жертву просят сменить платежные реквизиты или оплатить «важную услугу». Срабатывает фактор доверия к коллегам и рабочему контексту.
- Перехват номера и контроль SMS/OTP. Атакующие получают контроль над телефонным номером и используют SMS-коды для восстановления доступа к почте, мессенджерам и финансовым сервисам, после чего перенаправляют транзакции на свои счета.
- Видеоверификация как инструмент давления. Проводятся видеозвонки (FaceTime и аналоги), где злоумышленники демонстрируют «документы» или интерфейсы платформ, снижая скепсис жертвы. В процессе могут выманиваться коды подтверждения или запрашиваться удаленный доступ под видом помощи, нередко через показ экрана.
Что влияет на массовое распространение мошеннических криптоплатформ
Мошеннические криптоплатформы чаще всего появляются в виде клонов легальных инвестиционных сервисов, псевдобирж и образовательных площадок. Используются знакомые элементы доверия, например: фирменные знаки, торговые интерфейсы, поддельные графики котировок и фиктивная онлайн-поддержка.Они создаются на одноразовых доменах с коротким жизненным циклом, от нескольких дней до пары недель.
Такие ресурсы активно продвигаются через социальные сети, мессенджеры и таргетированную рекламу на русском, китайском, вьетнамском и испанском языках. Злоумышленники подкрепляют иллюзию надежности именами «звезд», а также поддельными публикациями в СМИ и обещаниями «стабильного дохода на волатильности». Эти проекты ориентированы на локальные диаспоры или группы с ограниченной финансовой грамотностью. Как показало недавнее расследование в Нью-Йорке, русскоязычных жителей убеждали инвестировать через фейковые «криптоплатформы» с доменами, адаптированными под американский рынок.
Массовое распространение подобных схем стало возможным благодаря PBaaS (pig butchering‑as‑a‑service), который предоставляет готовую инфраструктуру для фишинговых проектов. В ее состав входят шаблоны сайтов популярных бирж, инструменты обхода антифрод‑систем, панели управления и API для генерации одноразовых доменов и SSL‑сертификатов. Такие сервисы позволяют быстро запускать сотни фейковых криптоплатформ, включая подключение хостинга и Telegram‑ботов поддержки. Дополнительно могут предоставляться услуги по SEO‑продвижению, интеграции платежных решений и имитации пользовательской активности.
Фактически PBaaS превратился в конвейер для криптопирамид, снимая с мошенников необходимость в технической экспертизе. Массовость и высокая автоматизация таких сервисов делают противодействие им особенно сложным, поскольку новые фейковые платформы могут появляться почти сразу после блокировки предыдущих.
Какие признаки сигнализируют о рисках pig butchering
Ранние признаки pig butchering чаще проявляются через поведение и манеру общения, на которые стоит обратить внимание:- Неожиданное «знакомство». Контакт возникает без явной причины, например, через случайное сообщение в мессенджере или на платформе знакомств. Обращения выглядят вежливо и ненавязчиво, но их цель — вывести общение из публичного пространства.
- Повышенный интерес к личной жизни. Мошенник проявляет чрезмерное внимание к деталям, создает ощущение взаимопонимания. Через какое-то время разговоры могут смещаться к теме финансовой независимости, инвестиций или «новых возможностей», при этом собеседник позиционируется как «опытный наставник» или «успешный трейдер».
- Демонстрация «роста прибыли». Могут присылаться скриншоты поддельных платформ с якобы растущим балансом, ссылки на «официальный сайт» или приложение, где деньги «увеличиваются» ежедневно.
- Перевод общения в приватные каналы и предложения «попробовать с малой суммы». Такая тактика создает иллюзию безопасности и контролируемого риска.
- Слишком «гладкий» и шаблонный язык. В сообщениях встречаются неестественные обороты и клишированные формулы вроде «dear friend» или «my mentor taught me».
- Создание ощущения срочности. Фразы вроде «надо успеть до закрытия окна» или «рынок сейчас в идеальной фазе» служат давлением и повышают вероятность принятия поспешного решения.
Как технологии помогают выявлять фейковые платформы
Проверка репутации и истории домена с помощью сервисов вроде Whois позволяет определить владельца, дату регистрации, контактные данные и статус ресурса. Анализ через специализированные сервисы помогает сразу выявить:- Недавно зарегистрированные домены, особенно младше одного месяца;
- Анонимные или подставные контактные данные;
- Частые смены регистратора или владельца.