В сети новый виток мошенничества на национальном достоянии – «Газпроме», точнее, «инвестициях» в компанию. Сценарий известный, но судя по тому, что киберпреступники продолжают рекламироваться, распространять видео-ролики – есть среди граждан те, кто попадается на предложение «продавать газ за границу». Вчера комментировали эту тему для «Коммерсанта». Решили поделиться находками, которые встретились в ходе изучения вопроса. Среди фальшивых сайтов попался даже двойник РБК.
Давайте разберёмся
Чтобы оценить масштабы явления, помогает взглянуть на число новых зарегистрированных сайтов по теме. По нашим наблюдениям, за квартал только в зоне .ru зарегистрировано не меньше 300 доменов со словами gaz, в том числе в сочетании со словом invest. Большинство так и не выходят «на рынок» и регистрируются на всякий случай. Но в Яндексе есть не меньше 2 страниц поисковой выдачи (не меньше 20) действующих сайтов с абсолютно идентичными предложениями инвестировать в продажу газа (https://gazprominvest24.ru/?preland, https://gazplatfrom.com/). Мошенники предлагают оставить на сайте контакт, чтобы скинуть предложение.
Интерес мошенников к теме заработка на газе может быть вызван тем, что «Газпром» сейчас очень привлекателен для инвестеров. Цены на газ и акции компании растут и бьют рекорды на фоне дефицита сырья в Европе и постпандемийного восстановления спроса. Кроме этого, для начала активных действий мошенники любят использовать инфоповоды, а СМИ активно освещают предстоящий запуск «Северного потока 2».
Мошенничество под инфоповоды уже мало кого удивит, однако в этот раз киберпреступники подготовились основательно: только по рекламе в «гугле» выдается на меньше 5 рекламных объявлений, есть ролик на YouTube, который размещен в том числе и на добротно сколоченных одностраничниках для регистраций.
В том числе по рекламе была доступна (и после публикации в «Коммерсанте» тоже) подделка под РБК со статьей об истории успешного инвестирования. Чтение её, а также «комментариев» под текстом может доставить удовольствие – от слога и используемых аргументов. Если конечно не забывать, что все это словесное разноцветие может возыметь реальное действие на впечатлительных людей. Кнопка CTA в статье ведет на другой одностраничник, который доступен с переменным успехом. Там всё то же предложение супердоходных инвестиций.
Мы специалисты по ИБ, но не по веб-продвижению, поэтому не будем додумывать за профессионалов (может быть кто-то профессионально расскажет в комментариях, как это устроено): мошенники защищают свои детища, например, иногда вместо этого сайта «РБК» прогружается рекламный одностраничник или просто форма регистрации.
Обещают прибыль в 30%
Цифра в 30% может натолкнуть на воспоминания о почивших финансовых пирамидах, которые тоже обещали именно такую доходность. Но тут, конечно, все более топорно, потому что злоумышленники заботами о том, чтобы придать какой-то легитимный вид своей организации себя не обременяют. На сайтах (например, на сайте «компании» «ГАЗ актив») нет никаких контактов для самостоятельной обратной связи, из-за чего нельзя проверить почту или телефон на наличие отзывов в интернете. Мошенники ссылаются на мифический законопроект. Имя «руководителя» и название «компании» могут впечатлить, но такой в реальности не существует. А самое главное – если немного покопаться в деталях, и найти информацию о «руководителе национального проекта «ГАЗ актив» Викторе Зубкове, можно понять, что подобную организацию в его биографии, конечно, не найти.
А вот ещё один фейковый ресурс с «инвестициями в «Газпром» выглядит уже не так красиво, проработан хуже (см. скриншот ниже). На сайте также присутствует видео, но в нем проще распознать подделку, например, по несуществующей лицензии. Доменная зона тоже нетипичная для крупных госкомпаний (.spase).
Вот ещё несколько интересных находок, где может располагаться последний ресурс с формой регистрации может располагаться также по этим ссылкам: https://www.gassprom.ru/?gclid=Cj0KCQjw-NaJBhDsARIsAAja6dM0a782VVnSduzOsNlTty57-JO2JbfnY_wgHovLUB0gJhJsA0Vl0_gaAgGiEALw_wcB, https://gasactive.ru/?gclid=Cj0KCQjw-NaJBhDsARIsAAja6dPzWPp1tyxf22eF3sBf21m76qdmCDNgIohO-jNQpa9wNJMnlsnZ3y8aAnCkEALw_wcB, https://tracker.spt.in.ua/click.php?key=xgfdah02mvi99cnsrhl6&gclid=%7Bgclid%7D&placement=%7Bplacement%7D&adposition=%7Badposition%7D&campid=%7Bcampaignid%7D&device=%7Bdevice%7D&devicemodel=%7Bdevicemodel%7D&creative=%7Bcreative%7D&adid=%7Badid%7D&target=%7Btargetid%7D&keyword=%7Bkeyword%7D&matchtype=%7Bmatchtype%7D (ссылки не сокращаем, чтобы вы видели, как это всё выглядит в адресной строке).
И бонусом – ещё один фейковый сайт с новым дизайном (скриншот ниже). У которого не до конца дописан адрес (без номера дома и офиса). В контактах значится фейковая почта (info@advertclick.info). «Газпром» же ведёт переписку с электронных адресов, имеющих домен @adm.gazprom.ru).
Если постараться, можно найти ещё больше подобных ресурсов. Вот, например, список, который ведет сама компания Газпром. Увидите, он огромный: https://www.gazprom-neft.ru/company/contacts/feedback/warning/
Поэтому, будьте бдительны, а лучше – жалуйтесь и блокируйте такие сайты, чтобы менее продвинутые пользователи не попались в лапы мошенникам. Например, Google это можно сделать здесь, а в Яндексе по этой ссылке.
Небольшая памятка, как распознать фишинговый сайт:
Смотрите на название домена. Мошенники под видом «Газпрома» могут использовать как подходящие доменные имена (gasactive.ru), так и совсем не связанные с инвестициями (advertclick.info). Во втором случае проблем не возникнет, но в первом есть свои нюансы. Мошенники часто используют тайпсквоттинг – похожее написание бренда, в котором вместо буквы может использоваться цифра, опечатки, другая доменная зона. Например, www.gassprom.ru вместо настоящего домена www.gazprom.ru. Проверить доменное имя можно в whois-сервисах (reg.ru), если домен зарегистрирован недавно и на частное лицо (private person) вероятно, что он мошеннический, т.к. уважающие себя бренды так не делают.
Не игнорируйте предупреждения браузеров и антивирусных программ. Они пополняют свои реестры по жалобам или самостоятельно.
Плохой дизайн. У мошенников мало времени для того, чтобы сделать полнофункциональный сайт-фальшивку. Поэтому внутренние страницы могут не открываться, кнопки быть нерабочими. Или же вести на один и тот же сайт.
Нет информации о контактах фирмы или они выглядят странно. Если на сайте нет контактов для обратной связи, а только поле для ввода данных – это не есть хорошо. Любая легальная фирма не будет скрывать информацию о себе. Если же контакты есть, не поленитесь проверить их через поисковик, часто на компанию уже жалуются. «ГАЗ актив» («ГАЗАктив»), например, в сети уже разоблачали.