Не каждому сайту доверяй свою банковскую карту

Насколько комфортней стала наша жизнь с появлением интернет-сайтов! Не выходя из дома, можно решить массу вопросов – купить проездные билеты, забронировать отель, оформить лечение в клинике, приобрести вещи и продукты, даже кредит оформить… Только не зря Интернет прозвали Всемирной паутиной: сайты-двойники копируют страницы банков, отелей, концертных залов, официальных ведомств, затягивая в свои сети не особо бдительных граждан. 

Как мошенники оттачивают маскировку и что нужно знать, чтобы не попасть на удочку фишингового сайта, разбирался корреспондент «Известий» Елена Мотренко («В» дает материал в сокращении, полностью вы можете прочитать его на сайте iz.ru).

Отдыхаем дома

Недавно международная компания по предотвращению кибератак Group-IB обнаружила целую сеть сайтов-клонов отелей и гостиниц в Сочи (или фишинговых сайтов, в переводе с английского phishing от fishing – «рыбная ловля, выуживание»). Причем мошенники скопировали не только реальные сайты гостиниц, но и даже разработали ресурс для отеля, у которого отдельного сайта в природе не существует (забронировать номер можно только через туроператора, в чьем управлении находится отель). Так, 39-летняя жительница Мордовии потеряла почти 50 тыс. рублей.

В ходе проверки специалисты в области противодействия кибермошенничеству оставили заявку на сайте, после чего с ними связался оператор с предложением либо полностью оплатить понравившийся номер в отеле, либо внести 50 % от суммы. Заплатить на месте никак не получится, пояснил «представитель» 
отеля: «Там нет ни терминала, ни кассового аппарата».

«Как и ожидалось, оплата брони оказалась обычным переводом денег на счет некоего физлица. В таких схемах также нередко используется ИП, а сам перевод осуществляется через интернет-банкинг, – отмечают борцы с кибермошенниками. – В итоге клиент не получит, например, кассового чека, который подтвердил бы оплату конкретных услуг».
Всего удалось выявить около 60 подозрительных ресурсов, которые копируют и фирменные цвета, и бренд, и логотип самых разных отелей.

«Особенно часто туристы сталкиваются с сайтами-клонами отелей, бронируя гостиницы в Краснодарском крае или в Абхазии. Использование известных брендов мошенников совсем не пугает: чем дороже, тем лучше, – отмечает пресс-секретарь Российского союза туриндустрии (РСТ) Ирина Тюрина. – Люди, которые становятся жертвами подобных ресурсов, бронируют отели не через туроператора, а самостоятельно, зачастую кликая на первую попавшуюся в поисковике рекламную ссылку».

По словам владельца пансионата в Канаке Юрия Койчева, все лето каждую неделю на ресепшене появлялось по три-четыре семьи в полной уверенности, что сейчас им предоставят забронированный номер. Оказалось, что мошенники выкупили домен, название которого очень похоже на название сайта крымского пансионата, только у сайта-клона есть дефис, а у оригинала – нет.

«Мы потом посчитали: люди в сумме потеряли более 10 млн. рублей. Особенно жалко было семью, которая заплатила 140 тыс. Мы всем стараемся помочь, как можем, в самых безвыходных ситуациях пытаемся пристроить людей в соседние отели, – приводит слова владельца пансионата «Собеседник». – Если гости приехали из аэропорта на такси в 9 часов вечера, им просто некуда деться. Многие потом обращаются в полицию у себя в регионе. Мне сейчас звонят из отделений МВД по всей стране, я называю номер уголовного дела, чтобы приобщить все факты к одному».

«Инородный» сберегательный банк

Тем временем в Курске отметили появление фишинговых сайтов-двойников для оформления полиса ОСАГО. А в феврале мошенники покусились на официальный сайт Пенсионного фонда России. Причем жулики размещали на своем сайте подлинные номера фонда и даже гиперссылки на официальный сайт. Пресс-служба Пенсионного фонда напоминает, что адрес официального сайта – pfrf.ru. И что еще должно насторожить на сайте-клоне, так это большое количество рекламных баннеров и внезапный онлайн-чат с «пенсионным юристом».

В большинстве случаев мошенничество вскрывается уже на стадии взыскания долга по кредиту.

– Эта проблема не новая, существует ровно столько, сколько существует Интернет. Но последние 5-6 лет, по мере того как бизнес активно уходит в цифру, мошенники тоже туда перемещаются, – говорит «Известиям» ведущий аналитик «Инфосекьюрити» Александр Вураско. – Подобные активные мошеннические сайты редко существуют больше нескольких дней. Как только пользователи начинают жаловаться, сайт быстро прекращает существование, но на его месте появляется новый.

– Сайты-клоны являются одним из наиболее распространенных видов онлайн-мошенничества, так как создание такого сайта не требует специальных навыков и существенных финансовых вложений: 100–300 тыс. рублей дохода от такого сайта вполне обычная цифра при затратах на создание в 100–500 рублей, – поясняет «Известиям» руководитель департамента инновационной защиты бренда и интеллектуальной собственности Group-IB Андрей Бусаргин. – Причем схема может работать по обману как обычных людей, так и юридических лиц. 

Сайтов несуществующих банков появляется очень много. Что их объединяет: на них, как правило, есть личный кабинет и форма для оформления заявки на кредит. В принципе, данных, которые оставит человек на таком сайте, уже достаточно, чтобы на его имя злоумышленники, например, могли оформить микрокредит. Также потом этому человеку могут позвонить от имени «службы безопасности» банка. Персональные данные в этом случае используются для того, чтобы усыпить бдительность жертвы, – отмечает эксперт. – Когда злоумышленники обращаются по имени-отчеству, знают паспортные данные, это успокаивает.

В виртуальной коллекции специалиста почти 40 скриншотов: некие сайты с топливными картами за полцены, фейковые страницы, паразитирующие на авторитете известных компаний – банков, нефтяных компаний, сервисов по поиску дешевых авиабилетов, агропромышленных холдингов и многих других. Эксперт говорит, что на самом деле их сотни, но все они достаточно однотипные. Кстати, иногда на хештег реагируют настоящие компании и берут ситуацию на контроль.

Ловись, рыбка, большая и маленькая

Атакуют мошенники как физических, так и юридических лиц. У простого обывателя сайты-клоны часто выуживают логины и пароли, копируя соцсети, почтовые сервисы, популярные торговые площадки, онлайн-банкинг.

– Очень часто подделывают сервисы по продаже авиабилетов. Таких появляется по 10–20 в день. Человек оставляет данные своей банковской карты на сайте мошенников, и с нее как минимум списывается определенная сумма. А если не повезет, мошенники смогут получить доступ к банковскому счету, – говорит Александр Вураско. – Фишинговые сайты часто используют для взлома соцсети. Если кого-то хотят взломать, то с большой долей вероятности пришлют письмо со ссылкой на фишинговый сайт, который будет, например, полностью имитировать страницу входа в Instagram. Человек вводит логин и пароль, их получает злоумышленник, и вуаля – страница взломана.

Активно развивается фишинг в отношении юридических лиц. Этот вид мошенничества, по словам специалиста, переживает сейчас расцвет. Суммы утекают большие, контрагенты несут убытки.

– Каждый день по ключевым словам можно обнаружить от 5 до 15 таких сайтов. Это не говоря о том, сколько я не нахожу, потому что какие-то названия промышленных предприятий просто не приходят мне в голову, – говорит Александр Вураско.

Отдельная история – обман зарубежных компаний: мошенники создают якобы англоязычные странички российских предприятий. Очень часто сайты появляются у предприятий, у которых нет отдельных сайтов даже в России: они входят в состав крупных компаний, все переговоры ведутся через головной офис.

– В англоязычном Интернете даже есть сайты-реестры фишинговых страниц российских предприятий, – отмечает эксперт. – Чаще всего это химические предприятия и предприятия нефтегазовой отрасли, причем необязательно добывающие – нефтеналивные порты, нефтебазы.

Точки, тире и замки

Как распознать фишинговый сайт и не попасться на удочку? Нередко сайты-клоны кричат о себе большим количеством рекламных баннеров, есть, например, блок отзывов, но вы свой отзыв добавить туда не сможете. Одним из верных показателей был замок в адресной строке, но сейчас и это не панацея.

Если еще несколько лет назад в качестве одного из признаков фишингового ресурса эксперты упоминали, что во многих браузерах в адресной строке отображается иконка в виде замка (если все хорошо, замок зеленый. – Прим. «Известия»), то сейчас фишинговые сайты массово получают сертификаты через публичные бесплатные сервисы, и наличие зеленого замка уже ни о чем не говорит. Даже если сайт имеет сертификат, он может быть фишинговым, – предупреждает ведущий аналитик.

Увы, уточняет Андрей Басаргин, защиты от копирования контента на сегодняшний день не существует.

– Есть приемы, его затрудняющие, но если мошенники задались целью создать сайт-клон, то помешать им невозможно. При этом простому пользователю очень сложно отличить копию от оригинала. Различия в самом содержании веб-страниц заметить может только самый бдительный. Например, часто злоумышленники подменяют почту и номер телефона на свои, – замечает специалист.

Подобрать универсальный способ для выявления подделки сложно, но можно знать несколько моментов и, как говорится, глядеть в оба.

– Самый верный способ (пусть не обижаются агрегаторы) – посмотреть билеты на одном сайте, а идти покупать на сайте авиакомпании. Забронировать отель через проверенные сервисы, адреса которых на слуху, – рекомендует Александр Вураско. – Есть такие сайты-агрегаторы, которые имеют давнюю хорошую репутацию. Можно использовать их или официальные сайты отеля. Причем не переходить на эти сайты по ссылкам, которые вы получили в письме, а искать через поисковую систему и сверять адрес. Злоумышленники часто используют тайпсквоттинг – регистрируют доменные имена, максимально похожие на имена оригинального сайта. В названии может быть тире, буквы схожего написания. Если есть хоть малейшие сомнения, набирайте адрес вручную.

– Рекомендуем проверять дату регистрации сайта, на котором вы собираетесь совершить покупку или оставить персональные данные, используя такие сервисы, как Whois, и воздержаться от предоплаты и переводов по реквизитам, – советует Андрей Бусаргин. – Чем ресурс моложе, тем больше риск. Если домену всего пара дней, стоит отказаться от использования этого сайта.

Кстати, у многих магазинов и компаний есть странички в социальных сетях, где также опубликованы адреса официальных сайтов. Еще один полезный совет: не следует спешить откликаться на призыв «спецпредложение» в электронном письме.

– Даже если вы видите в письме ссылку с нужным адресом сайта, совершенно необязательно, что по ссылке вы будете переадресованы именно на этот сайт. Если речь идет об авиабилетах, то имеет смысл, например, позвонить в авиакомпанию и уточнить, – советует Александр Вураско. – Рекламные баннеры тоже часто ведут на фишинговые сайты, причем баннеры могут быть в том числе и в соцсетях: грешат этим и Facebook, и Instagram. Я регулярно обнаруживаю в Instagram баннеры с рекламой фейковых соцопросов Сбербанка. Главный совет – проверять адреса, цены. Если все продают за 10 тысяч, а где-то вы видите этот же товар за 2 тысячи, то с очень большой долей вероятности это мошенники.

– Компаниям нужно следить за неправомерным использованием их бренда (символики, наименований, логотипов, товарных знаков и цветовых схем сайтов) и окружающим их инфополем, ведь чаще всего именно клиенты приносят плохую весть о появившемся сайте-клоне, – отмечает Андрей Бусаргин. – Проактивный мониторинг позволит вовремя узнать о проблеме и предупредить всех остальных пользователей, а также инициировать блокировку данного ресурса, обратившись в профильные компетентные организации, так как самостоятельная блокировка сайта – это долгий и сложный процесс. Чем раньше происходит блокировка такого ресурса, тем лучше: именно в первые две недели мошенники зарабатывают основные деньги, после чего сайт перестает иметь для них ценность.

Автор: Отдел новостей «В»