Обналичивание через системы оплаты мобильных операторов (M-Pesa, Airtel Money, Orange Money)

[Good Carder]

От кардера — кардерам. Пока классический кардинг в США и Европе задыхается от 3DS, BIN-фильтрации и AI-антифрода, умные деньги ушли туда, где защита до сих пор держится на SIM-карте и честном слове агента. В Африку. M-Pesa в Кении, Airtel Money в Нигерии, Orange Money в Западной Африке — это не просто платёжные системы, это целые финансовые экосистемы, через которые проходят триллионы долларов. Африка обрабатывает 74% всех мобильных денежных транзакций в мире, с 1.1 миллиарда зарегистрированных аккаунтов и годовым оборотом $1.4 триллиона. Это больше, чем банковская система многих европейских стран. И здесь до сих пор можно взять чужой номер телефона, получить доступ к кошельку и вывести деньги через сеть агентов, которые редко проверяют документы.

В этой статье я разберу архитектуру мобильных денег, схему SIM-свопинга с участием коррумпированных агентов, роль агентской сети в обналичивании, использование криптобирж для вывода средств, а также риски и ограничения, которые вводят африканские регуляторы.

Часть 1. Архитектура мобильных денег: как устроены M-Pesa, Airtel и Orange Money​

Африка совершила финансовый прыжок, перепрыгнув эпоху банковских карт. Здесь люди не имеют кредиток, но имеют мобильный телефон. И система мобильных денег построена на трёх китах: USSD, SIM-привязка и агентская сеть.

• USSD (Unstructured Supplementary Service Data) — это не требующий интернета текстовый интерфейс, работающий на любом телефоне. Вы набираете код (например, *100#), и система проводит вас через меню: отправить деньги, заплатить за товар, снять наличные. Безопасность USSD держится на том, что сессия привязана к активной SIM-карте в телефоне. Но если SIM-карта скомпрометирована, вся защита рушится. Уязвимости остаются и на уровне протокола: мошенники, использующие модифицированную SIM-карту (ThinSIM), могут перехватывать и инициировать USSD-команды без ведома жертвы.
• SIM-карта — единая точка входа. Одноразовые пароли для входа в банк, подтверждение переводов, сброс паролей — всё идёт через SMS на SIM-карту. Если мошенник получает контроль над SIM, он получает доступ ко всему. В 2024 году в Кении относительный SIM-свопинг провёл с помощью инсайдера, скомпрометировавшего KSh 45,000 за одну атаку, обойдя двухфакторную аутентификацию: SIM-карта жертвы была заменена на другую, контроль SMS перешёл к мошенникам.
• Агентская сеть — это точки выдачи наличных. Мелкие лавки, киоски, заправки. Вы приходите к агенту, называете номер телефона, он даёт вам наличные, списывая их с вашего счёта. Идентификация часто сводится к предъявлению удостоверения личности (ID), которое можно подделать. По данным исследований, агентское мошенничество является одной из трёх основных уязвимостей систем мобильных денег, наряду со смишингом (SMS-фишингом) и кражей/потерей телефона. Мошенники выдавали себя за агентов Safaricom, чтобы обманом получить личную информацию и доступ к счетам, обнуляя резервную наличность агентов («float»).

Часть 2. Схема «SIM-свопинг + дроп-агент»: обналичивание в Кении, Танзании, Нигерии​

2.1. Этап 1: Сбор данных жертвы​

Всё начинается с OSINT и социальной инженерии. 63% всех цифровых финансовых мошенничеств в Африке связаны с кражей личных данных (identity theft), что обходится континенту в $4 миллиарда ежегодно.

• Утечки ID. Мошенники покупают скомпрометированные паспортные данные в даркнете.
• Фишинговые SMS. Вы получаете сообщение от «банка» или «оператора» с просьбой подтвердить аккаунт. Ссылка ведёт на поддельную страницу, где вы вводите свои данные (ID, PIN).
• Взломы баз данных. Мошенники используют схемы со взломанными API-ключами и небезопасные эндпоинты для эксплойта платёжных систем Airtel Money. Доступ к базам клиентов позволяет мошенникам получать всё — от полного имени до паспортных данных и номера телефона.

2.2. Этап 2: SIM-свопинг​

Имея поддельное удостоверение личности и зная личную информацию жертвы, мошенник идёт в салон связи оператора (Safaricom, Airtel, MTN) и заявляет, что потерял SIM-карту. Сотрудник салона (иногда коррумпированный, иногда просто невнимательный) выдает дубликат SIM-карты на имя жертвы. С этого момента все SMS и звонки идут мошеннику. Сама процедура стала более контролируемой, но в Кении мошенники всё ещё могут использовать поддельное удостоверение личности (ID) и поддельное письмо от полиции, чтобы обмануть сотрудника. SIM-карта жертвы деактивируется, она теряет сеть, а мошенник получает доступ к M-Pesa и мобильному банку жертвы.

2.3. Этап 3: Cash-out через дроп-агента​

Самый ответственный этап — перевод виртуальных денег в реальные наличные.

1. Мошенник входит в M-Pesa с SIM-карты жертвы.
2. Переводит деньги на счёт подставного агента или дропа — человека, который за процент готов обналичить средства. Сеть агентов M-Pesa настолько обширна, что многие операции остаются незамеченными.
3. Дроп идёт к агенту (или сам является агентом) и снимает наличные. Агентская сеть часто становится мишенью мошенников, действующих методами социальной инженерии и эксплуатирующих слабые операционные процедуры.

• Реальный кейс: В 2025 году в районе Киамбу, Кения, семеро подозреваемых (четверо мужчин и три женщины) были арестованы за то, что одурманили жертву, провели SIM-свопинг и обчистили её мобильные и банковские счета на 250,000 кенийских шиллингов ($1 900). Они использовали снотворное, чтобы получить доступ к телефону, а затем оформили перевыпуск SIM-карты в салоне связи.

Часть 3. Роль агентской сети в обналичивании​

Агенты — это слабое звено в экосистеме мобильных денег. По данным Ассоциации мобильных денег Ганы, растёт число мошеннических атак и кибератак на агентов. В Дар-эс-Саламе, Танзания, агент финансовых услуг потерял 7 миллионов шиллингов, получив фальшивые сообщения, якобы отправленные оператором мобильной связи.

Методы атак на агентов:

• Социальная инженерия: Мошенник звонит агенту, представляясь сотрудником оператора, и говорит, что нужно «обновить систему» или «пополнить float». Он убеждает агента перевести деньги на указанный счёт.
• Поддельные агенты: Мошенники сами регистрируются как агенты с поддельными документами, получают доступ к системе и обналичивают средства.
• Взлом API: В Уганде хакеры взломали систему Airtel Money через уязвимость в API легального беттинг-сайта (партнёра Airtel) и вывели около $2 млн.

Как использовать дроп-агентов для схемы:

• Дроп-агент — это человек, который либо уже является легальным агентом, либо регистрируется под видом мелкого бизнеса. За 20–30% комиссии он обналичивает любые суммы, не задавая вопросов.
• Схема с «ошибочным переводом»: Мошенник переводит деньги на счёт агента, а затем звонит и говорит: «Извините, ошибся, верните на другой номер». Агент возвращает деньги на подставной счёт, а оригинальный перевод уже был сделан с украденного аккаунта. В результате жертва теряет деньги, а агент получает фрод-флаг.

Часть 4. Перевод денег через криптобиржи без KYC​

M-Pesa и другие системы мобильных денег становятся идеальным шлюзом для входа в мир криптовалют. Огромное количество транзакций проходит через них, они слабо контролируются, а во многих африканских странах регуляторы ещё не внедрили жёсткие AML-процедуры.

4.1. Почему мобильные деньги идеальны для отмыва​

• Высокий объём, низкий контроль. Африка обрабатывает большинство мировых мобильных денежных переводов, но требования AML к операторам мобильных денег часто ниже, чем к банкам, что создаёт уязвимости, которые могут использовать мошенники. Многие операторы не обязаны соответствовать тем же стандартам, что и банки, а их надзор часто фокусируется на финансовой доступности, а не на рисках финансовых мошенничеств.
• Анонимность при P2P-переводах. Регуляторы начинают ужесточать контроль, но пока что отследить происхождение средств на P2P-платформах гораздо сложнее, чем в классических банках.

4.2. Схема: M-Pesa → P2P-биржа → криптовалюта → чистый кошелёк​

В 2026 году Binance активно участвовала в операции Red Card 2.0, помогая правоохранительным органам бороться с мошенничеством, но несмотря на это, мошенники продолжали использовать P2P-транзакции на бирже для отмывания денег. Основные сценарии включают покупку криптовалюты с наличных или подставных кошельков с последующей конвертацией в стейблкоины и выводом за пределы континента. Для обхода AML-мониторинга мошенники часто используют операции дробления и P2P-взаимодействия с подставными продавцами.

Схема:

1. Мошенник получает наличные от дроп-агента.
2. Он идёт на P2P-биржу (NoOnes, Paxful, LocalMonero) и покупает USDT или XMR у продавца, который принимает наличные (или M-Pesa перевод).
3. Продавец переводит криптовалюту на кошелёк мошенника.
4. Мошенник выводит криптовалюту на холодный кошелёк, где связь с исходной M-Pesa-транзакцией разрывается.

4.3. Реальные кейсы отмыва через крипту​

• $4 млн через USDT. Мошенники украли более $4 млн из кенийского банка, отмыв украденные средства через USDT. Мобильные деньги и криптовалютные P2P-транзакции служат основными каналами для перемещения украденных денег.
• $2.1 млрд подозрительных операций. Межправительственная целевая группа GIABA обнаружила $2.1 млрд подозрительных криптовалютных транзакций в Западной Африке. Это лишь вершина айсберга.

Часть 5. Регуляторные риски и ограничения​

Африканские регуляторы не спят. В 2026 году они активно ужесточают контроль за мобильными деньгами и криптовалютами. Основные тренды и ограничения 2026 года:

5.1. Ограничения на транзакции и лимиты​

• Кения (M-Pesa): Суточный лимит на переводы — KSh 500,000 ($3,800). Максимальный баланс аккаунта — KSh 500,000. С 2026 года налоговая служба Кении (KRA) автоматически отслеживает все транзакции выше KSh 500,000 в месяц. При превышении этого порога аккаунт попадает под аудит, а средства могут быть заморожены на 14 дней без решения суда. В 2025 году более 42,000 M-Pesa-аккаунтов были помечены за суммы выше KSh 500,000, а 3,200 из них были заморожены.
• Нигерия (CBN): Временный лимит для новых мобильных банковских аккаунтов в первые 24 часа — ₦20,000 ($13). Банки обязаны внедрить системы мониторинга входящих и исходящих транзакций в реальном времени и устройство-привязку (device binding). Банковские приложения могут быть активны только на одном устройстве.
• Порог срабатывания AML: Во многих африканских странах транзакции, превышающие эквивалент $1,000, автоматически проверяются.

5.2. Liveness Checks и усиленная верификация​

В Нигерии Центральный банк ввёл обязательную проверку живого лица (liveness check) при открытии онлайн-счета или его реактивации. Liveness-проверка требует от пользователя выполнения действий в реальном времени (моргание, улыбка, поворот головы). Это прямое препятствие для использования поддельных документов, которые не могут пройти динамическую биометрию. Хотя это не остановит полностью, но для доступа к счетам и проведения операций без участия биометрии потребуется больше усилий.

Часть 6. OPSEC и чек-лист для кардера​

• Сбор данных: Используйте утечки ID и фишинговые SMS, чтобы получить паспортные данные жертвы и PIN M-Pesa. Персонализированные атаки через утекшие базы повышают шансы на успех.
• SIM-свопинг: Подделайте ID жертвы (или найдите коррумпированного сотрудника салона связи) и запросите дубликат SIM. В Кении мошенники подделывают удостоверения личности и полицейские письма, получая доступ к аккаунту. Услуги коррумпированных сотрудников салонов связи можно найти на даркнет-форумах.
• Дроп-агент: Используйте подставного агента (или агента-дропа, согласившегося на комиссию 20–30%) для обналичивания. Агентская сеть остаётся уязвимой для социальной инженерии и эксплуатации операционных слабостей.
• Крипто-прокладка: Переведите наличные в криптовалюту через P2P-биржу (NoOnes, LocalMonero). Используйте промежуточный кошелёк и XMR, чтобы разорвать цепочку.
• Регуляторные ограничения: Не превышайте KSh 500,000 в месяц на один M-Pesa-аккаунт. Используйте несколько аккаунтов для дробления сумм. Помните, что налоговая служба Кении отслеживает кумулятивные суммы за месяц, а не разовые операции.
• Заметание следов: После обналичивания уничтожьте SIM-карту, закройте аккаунты, смените прокси. Не используйте одну SIM-карту для нескольких операций.

Резюме​

Системы мобильных денег в Африке — это «дикий Запад» платёжной индустрии. M-Pesa, Airtel Money и Orange Money обрабатывают триллионы долларов, но их безопасность до сих пор держится на честном слове агентов и уязвимой SIM-привязке. Схема «SIM-свопинг + дроп-агент» позволяет переводить виртуальные деньги в наличные за считанные часы.

Следующее звено — криптовалюта. Через P2P-биржи мобильные деньги превращаются в USDT или XMR, которые затем выходят на глобальный рынок без AML-проверок.

Главные барьеры — регуляторные лимиты (KSh 500,000 в Кении, ₦20,000 в Нигерии) и новые требования liveness-проверки (биометрия). Но для тех, кто знает, как обходить ограничения и заметать следы, Африка остаётся золотым дном.

Быстрая памятка на одну строку:
«SIM-свопинг + дроп-агент + крипто-P2P = обналичка за 2 часа. M-Pesa — кошелёк, ID — ключ, агент — выход. USDT — чистые деньги. KSh 500,000 лимит, ₦20,000 — первый день, liveness — помеха, но не стена. Африка — последний бастион кардинга. Используй, пока не закрыли»