По образу и подобию: как нас обманывают сайты-двойники

Фейковые вакансии шагают по интернет-простору. В ловушку попадают те, кто хочет заработать удаленно. Мошенники рассылают веером предложения поработать диспетчером такси. Прошел по ссылке — попал на сайт, который на первый взгляд кажется вполне официальным. Далее просят внести данные, пройти в личный кабинет, где уже скопились заказы и, ах да, можно получить деньги — только добавьте своих 240 рублей. И адье! Вы теряете немного, но в масштабах всего предприятия, вероятно, цифра выглядит солидно. Сайты-двойники копируют страницы банков, отелей, концертных залов и официальных ведомств. Как мошенники оттачивают маскировку и что нужно знать, чтобы не попасть на удочку фишингового сайта, — разбирались «Известия».

Отдыхаем дома

Недавно международная компания по предотвращению кибератак Group-IB обнаружила целую сеть сайтов-клонов отелей и гостиниц в Сочи (или фишинговых сайтов, в переводе с английского phishing от fishing — «рыбная ловля, выуживание»). Причем мошенники скопировали не только реальные сайты «Розы Хутор», «Горки Плаза», Sochi Marriott Krasnaya Polyana и других, но даже разработали ресурс, например, для «Сочи Парк Отеля», у которого отдельного сайта в природе не существует (забронировать номер можно только через туроператора, в чьем управлении находится отель). Так, 39-летняя жительница Мордовии потеряла почти 50 тыс. рублей.

В ходе проверки специалисты в области противодействия кибермошенничеству оставили заявку на сайте, после чего с ними связался оператор с предложением либо полностью оплатить понравившийся номер в отеле, либо внести 50% от суммы. Заплатить на месте никак не получится, пояснил «представитель» отеля: «Там нет ни терминала, ни кассового аппарата».

«Как и ожидалось, оплата брони оказалась обычным переводом денег на счет некоего физлица. В таких схемах также нередко используется ИП, а сам перевод осуществляется через интернет-банкинг, — отмечают борцы с кибермошенниками. — В итоге клиент не получит, например, кассового чека, который подтвердил бы оплату конкретных услуг».

Всего удалось выявить около 60 подозрительных ресурсов, которые копируют и фирменные цвета, и бренд, и логотип самых разных отелей.

«Особенно часто туристы сталкиваются с сайтами-клонами отелей, бронируя гостиницы в Краснодарском крае или в Абхазии. Использование известных брендов мошенников совсем не пугает: «чем дороже, тем лучше», — отмечает пресс-секретарь Российского союза туриндустрии (РСТ) Ирина Тюрина. — Люди, которые становятся жертвами подобных ресурсов, бронируют отели не через туроператора, а самостоятельно, зачастую кликая на первую попавшуюся в поисковике рекламную ссылку.

Впрочем, мошенники быстро смекнули, что поживиться можно, не только создавая сайты-двойники отелей на Кубани и в Абхазии, но и сайты гостиниц востребованного среди туристов Крыма.

По словам владельца пансионата в Канаке Юрия Койчева, всё лето каждую неделю на ресепшене появлялось по три-четыре семьи в полной уверенности, что сейчас им предоставят забронированный номер. Оказалось, что мошенники выкупили домен, название которого очень похоже на название сайта крымского пансионата, только у сайта-клона есть дефис, а у оригинала — нет.

«Мы потом посчитали: люди в сумме потеряли более 10 млн. Особенно жалко было семью, которая заплатила 140 тыс. Мы всем стараемся помочь как можем, в самых безвыходных ситуациях пытаемся пристроить людей в соседние отели, — приводит слова владельца пансионата «Собеседник». — Если гости приехали из аэропорта на такси в 9 часов вечера, им просто некуда деться. Многие потом обращаются в полицию у себя в регионе. Мне сейчас звонят из отделений МВД по всей стране — я называю номер уголовного дела, чтобы приобщить все факты к одному».

«Инородный» сберегательный банк

В октябре был замечен сайт-двойник МВЦ «Екатеринбург-Экспо». Ресурс по виду ничем не отличался от оригинала: та же самая афиша, только цены на порядок выше. Самые внимательные обратили внимание на самый главный подвох: в названии сайта вместо оригинального «.ru» красовалось «.com».

Тем временем в Курске отметили появление фишинговых сайтов-двойников для оформления полиса ОСАГО. А в феврале мошенники покусились на официальный сайт Пенсионного фонда России. Причем жулики размещали на своем сайте подлинные номера фонда и даже гиперссылки на официальный сайт. Пресс-служба Пенсионного фонда напоминает, что адрес официального сайта — pfrf.ru. И что еще должно насторожить на сайте-клоне, так это большое количество рекламных баннеров и внезапный онлайн-чат с «пенсионным юристом».

Ведущий аналитик «Инфосекьюрити» Александр Вураско отмечает: чтобы сделать сайт-близнец, достаточно потратить нескольких часов на создание шаблона. Дальше можно штамповать сайты всего за 15 минут. Ни творчества, ни полета фантазии — грубый холодный расчет на доверчивость. Необходимый капитал — меньше 1 тыс. рублей. Срок жизни «обманки» — от нескольких часов до нескольких дней.

— Это проблема не новая, существует ровно столько, сколько существует интернет. Но последние 5–6 лет, по мере того как бизнес активно уходит в «цифру», мошенники тоже туда перемещаются, — говорит «Известиям» эксперт. — Подобные активные мошеннические сайты редко существуют больше нескольких дней. Как только пользователи начинают жаловаться, сайт быстро прекращает существование, но на его месте появляется новый.

— Сайты-клоны являются одним из наиболее распространенных видов онлайн-мошенничества, так как создание такого сайта не требует специальных навыков и существенных финансовых вложений: 100–300 тыс. рублей дохода от такого сайта вполне обычная цифра при затратах на создание в 100–500 рублей, — поясняет «Известиям» руководитель департамента инновационной защиты бренда и интеллектуальной собственности Group-IB Андрей Бусаргин. — Причем схема может работать как по обману обычных людей, так и юридических лиц, а мы знаем, что B2B-платежи могут быть очень существенными.

Александр Вураско ведет страничку в Instagram, где собирает занятные образцы фишинговых сайтов. Так, Иван Ургант, вероятно, и не знает, что рекламирует некий «Народный сберегательный банк России». Кредитное учреждение «прописано» в Москве по адресу: ул. Пятницкая, 24. Только если посмотреть на карту, в этом доме есть всё что угодно — пабы, рестораны, товары для бани — но банка нет. Чуть раньше телеведущего сделали лицом и другого несуществующего кредитного учреждения — некого «Капитал Платинум».

— Сайтов несуществующих банков появляется очень много. Что их объединяет: на них, как правило, есть личный кабинет и форма для оформления заявки на кредит. В принципе, данных, которые оставит человек на таком сайте, уже достаточно для того, чтобы на его имя злоумышленники, например, могли оформить микрокредит. Также потом этому человеку могут позвонить от имени «службы безопасности» банка. Персональные данные в этом случае используются для того, чтобы усыпить бдительность жертвы, — отмечает эксперт. — Когда злоумышленники обращаются по имени-отчеству, знают паспортные данные, это успокаивает.

В виртуальной коллекции специалиста почти 40 скриншотов: некие сайты с топливными картами за полцены, фейковые страницы, паразитирующие на авторитете известных компаний — банков, нефтяных компаний, сервисов по поиску дешевых авиабилетов, агропромышленных холдингов и многих других. Эксперт говорит, что на самом деле их сотни, но все они достаточно однотипные. Кстати, иногда на хэштег реагируют настоящие компании и берут ситуацию на контроль.

Ловись, рыбка, большая и маленькая

Атакуют мошенники как физических, так и юридических лиц. У простого обывателя сайты-клоны часто выуживают логины и пароли, копируя соцсети, почтовые сервисы, популярные торговые площадки, онлайн-банкинг.

— Очень часто подделывают сервисы по продаже авиабилетов. Таких появляется по 10–20 в день. Человек оставляет данные своей банковской карты на сайте мошенников, и с нее как минимум списывается определенная сумма. А если не повезет, мошенники смогут получить доступ к банковскому счету, — говорит Александр Вураско. — Фишинговые сайты часто используют для взлома соцсети. Если кого-то хотят взломать, то с большой долей вероятности пришлют письмо со ссылкой на фишинговый сайт, который будет, например, полностью имитировать страницу входа в Instagram. Человек вводит логин и пароль, их получает злоумышленник, и вуаля — страница взломана.

Активно развивается фишинг в отношении юридических лиц. Этот вид мошенничества, по словам специалиста, переживает сейчас расцвет. Суммы утекают большие, контрагенты несут убытки.

— Каждый день по ключевым словам можно обнаружить от 5 до 15 таких сайтов. Это не говоря о том, сколько я не нахожу, потому что какие-то названия промышленных предприятий просто не приходят мне в голову, — говорит Александр Вураско.

Отдельная история — обман зарубежных компаний: мошенники создают якобы англоязычные странички российских предприятий. Очень часто сайты появляются у предприятий, у которых нет отдельных сайтов даже в России: они входят в состав крупных компаний, все переговоры ведутся через головной офис.

— В англоязычном интернете даже есть сайты-реестры фишинговых страниц российских предприятий, — отмечает эксперт. — Чаще всего это химические предприятия и предприятия нефтегазовой отрасли, причем необязательно добывающие — нефтеналивные порты, нефтебазы.
Точки, тире и замки

Как распознать фишинговый сайт и не попасться на удочку? Нередко сайты-клоны кричат о себе большим количеством рекламных баннеров, есть, например, блок отзывов, но вы свой отзыв добавить туда не сможете. Одним из верных показателей был замок в адресной строке, но сейчас и это не панацея.

Фишинговые сайты всё чаще стали получать SSL-сертификаты, то есть соединение с ними осуществляется по дешифрованному HTTPS-соединению. Если еще несколько лет назад в качестве одного из признаков фишингового ресурса эксперты упоминали, что во многих браузерах в адресной строке отображается иконка в виде замка (если всё хорошо, замок зеленый. — «Известия»), то сейчас фишинговые сайты массово получают сертификаты через публичные бесплатные сервисы, и наличие зеленого замка уже ни о чем не говорит. Даже если сайт имеет сертификат, он может быть фишинговым, — предупреждает ведущий аналитик.

Увы, уточняет Андрей Басаргин, защиты от копирования контента на сегодняшний день не существует.

— Есть приемы, его затрудняющие, но если мошенники задались целью создать сайт-клон, то помешать им невозможно. При этом простому пользователю очень сложно отличить копию от оригинала. Различия в самом содержании веб-страниц заметить может только самый бдительный: например, часто злоумышленники подменяют почту и номер телефона на свои, — замечает специалист.

Подобрать универсальный способ для выявления подделки сложно, но можно знать несколько моментов и, как говорится, глядеть в оба.

— Самый верный способ (пусть не обижаются агрегаторы) — посмотреть билеты на одном сайте, а идти покупать на сайте авиакомпании. Забронировать отель через проверенные сервисы, адреса которых на слуху, — рекомендует Александр Вураско. — Есть такие сайты-агрегаторы, которые имеют давнюю хорошую репутацию. Можно использовать их или официальные сайты отеля. Причем не переходить на эти сайты по ссылкам, которые вы получили в письме, а искать через поисковую систему и сверять адрес. Злоумышленники часто используют тайпсквоттинг — регистрируют доменные имена, максимально похожие на имена оригинального сайта. В названии может быть тире, буквы схожего написания. Если есть хоть малейшие сомнения, набирайте адрес вручную.

— Рекомендуем проверять дату регистрации сайта, на котором вы собираетесь совершить покупку или оставить персональные данные, используя такие сервисы, как Whois, и воздержаться от предоплаты и переводов по реквизитам, — советует Андрей Бусаргин. — Чем ресурс моложе, тем больше риск. Если домену всего пара дней, стоит отказаться от использования этого сайта.

Кстати, у многих магазинов и компаний есть странички в социальных сетях, где также опубликованы адреса официальных сайтов. Еще один полезный совет — не следует спешить откликаться на призыв «спецпредложение» в электронном письме.

— Даже если вы видите в письме ссылку с нужным адресом сайта, совершенно необязательно, что по ссылке вы будете переадресованы именно на этот сайт. Если речь идет об авиабилетах, то имеет смысл, например, позвонить в авиакомпанию и уточнить, — советует Александр Вураско. — Рекламные баннеры тоже часто ведут на фишинговые сайты, причем баннеры могут быть в том числе и в соцсетях: грешат этим и Facebook, и Instagram. Я регулярно обнаруживаю в Instagram баннеры с рекламой фейковых соцопросов Сбербанка. Главный совет — проверять адреса, цены. Если все продают за 10 тыс., а где-то вы видите этот же товар за 2 тыс., то с очень большой долей вероятности это мошенники.

Компаниям тоже не стоит сидеть сложа руки. В конце концов, чем больше сайтов-клонов конкретного бренда, тем больше тень на репутации честного бизнеса.

— Компаниям нужно следить за неправомерным использованием их бренда (символики, наименований, логотипов, товарных знаков и цветовых схем сайтов) и окружающим их инфополем, ведь чаще всего именно клиенты приносят плохую весть о появившемся сайте-клоне, — отмечает Андрей Бусаргин. — Проактивный мониторинг позволит вовремя узнать о проблеме и предупредить всех остальных пользователей, а также инициировать блокировку данного ресурса, обратившись в профильные компетентные организации, так как самостоятельная блокировка сайта — это долгий и сложный процесс. Чем раньше происходит блокировка такого ресурса, тем лучше: именно в первые пару недель мошенники зарабатывают основные деньги, после чего сайт перестает иметь для них ценность.

Елена Мотренко

Опубликовал: Александр Абрамов (info@ict-online.ru)

Рубрики: Web, Безопасность

Ключевые слова: информационная безопасность, веб