Карантинные химеры: кибермошенники создают систему фейковых пропусков
С помощью новой схемы мошенники планируют воровать деньги и паспортные данные, получать доступ к аккаунтам в соцсетях и электронным почтовым ящикам россиян, которым потребовалось оформить пропуска в период карантина. В данный момент преступники работают над созданием клонов сайтов госучреждений, ответственных за выдачу документов (в их числе — mos.ru, mosreg.ru и gosuslugi.ru), и подделывают порталы СМИ, на которых планируется размещать фейковые новости, сообщили «Известиям» эксперты по кибербезопасности. Кроме того, запланирована хакерами и массовая рассылка сообщений через электронную почту, соцсети и мессенджеры. Для защиты от злоумышленников специалисты советуют воспользоваться сервисами по проверке информации. О том, как это сделать — в материале «Известий».
Атака клонов
Вынужденная изоляция из-за пандемии COVID-19 заставляет людей всё больше времени проводить в интернете. Сеть нужна для работы в удаленном режиме, учебы, заказа товаров и организации домашнего досуга. Рост трафика подтвердил даже замглавы Минкомсвязи Алексей Волин, заявивший, что «оставшись дома, народ ломанулся в интернет, причем ломанулся туда со страшной силой».
По информации российской компании «Интернет-розыск», трендом решили воспользоваться и сетевые мошенники. Сейчас они организуют глобальную преступную систему, состоящую из поддельных сайтов, взломанных аккаунтов в социальных сетях и вредоносных Telegram-ботов. Преступники собираются привлечь людей услугой по предоставлению пропусков для передвижения по городу в условиях эпидемии COVID-19, а затем украсть их деньги и персональные данные.
— Информацию о готовящейся акции мы получили с помощью наших ботов, которые внедрены в даркнет (теневой сегмент интернета. — «Известия») и ряд закрытых чатов, — рассказал генеральный директор компании Игорь Бедеров. — От них мы узнали, что в настоящее время готовится схема обмана людей, планирующих оформить себе пропуска.
По словам эксперта, данная схема, известная как «кроличья нора», подразумевает массовую рассылку адресов фейковых сайтов, которые будут максимально похожи на ресурсы государственных органов, имеющих полномочия по выдаче документов (в их числе mos.ru, mosreg.ru и gosuslugi.ru). Ожидается, что происходить это будет с помощью взломанных аккаунтов в социальных сетях и Telegram-ботов. Легитимность сообщений злоумышленники попытаются подтвердить ссылками на статьи, якобы размещенных в ведущих российских СМИ — их сайты также получат клонов.
Пропускной нажим
После перехода пользователей на вредоносные ресурсы у них запросят паспортные данные для оформления пропусков, а также реквизиты банковских карт — якобы для оплаты услуги после получения.
— Дальнейшие их действия можно предсказать по более ранним преступным акциям данного типа, которые, в частности, проводились под видом получения неких компенсационных государственных выплат или оплачиваемых банковских опросов, — предупредил Игорь Бедеров. — Тогда преступники, как правило, добивались добровольного перевода денег, после чего им удавалось снять оставшиеся средства с карточек с помощью уже полученных реквизитов.
При этом личные данные пользователей, скорее всего, станут товаром для продажи на черном рынке, формируя новые нелегальные базы. Финальным этапом схемы обычно выбирается взлом личных аккаунтов обманутого пользователя в социальных сетях и его почтовых ящиков (это производится с помощью захваченных файлов cookies), после чего их подключают к рассылке вредоносных сообщений.
Масштабный характер незаконной акции подтвердили специалисты сервиса по анализу рисков Security Intelligence Cryptocurrencies Platform (SICP).
— По своему масштабу новая угроза сопоставима с финансовыми пирамидами, организаторы которых тратят колоссальные суммы на продвижение через известных людей и популярные сайты, — отметил независимый эксперт SICP Александр Подобных. — И симметричным ответом на это со стороны государства, боюсь, может быть только значительное усиление контроля за SIM-картами, хостингами и дата-центрами.
По словам экспертов, помимо уже упомянутого увеличения российского интернет-трафика, существует еще целый ряд дополнительных факторов, которые будут играть на руку преступникам, повышая их шансы на успех.
— В первую очередь к ним относится невротизация людей на фоне эпидемии, из-за чего ими становится легче манипулировать, — считает директор департамента информационной безопасности Национальной инжиниринговой корпорации Лука Сафонов. — С другой стороны, положение дел усложняет ситуация с государственными порталами, которые сейчас не выдерживают наплыва посетителей. Дело в том, что когда у людей не получается оформить пропуск через официальный ресурс, они с наибольшей вероятностью могут заинтересоваться альтернативным предложением.
Простые вычисления
Несмотря на изощренность преступных методов, от обмана всё же можно защититься, используя несколько простых инструментов, позволяющих вычислить мошенников. Инструкцию по проверке входящих сообщений «Известиям» предоставила компания «Интернет-розыск»:
- Все государственные организации и частные компании, работающие на территории России, имеют зарегистрированные в нашей стране доменные имена. Поэтому подозрительные ссылки стоит проверять через сервис WHOIS, который раскрывает их истинных владельцев. Если же по результатам экспертизы они оказываются скрыты, то полученной информации лучше не доверять.
- Полезной в такой ситуации будет и проверка отправителя письма, которую можно провести через верификаторы почтовых ящиков, размещенные на сайтах https://2ip.ru/mail-checker/; http://ru.smart-ip.net/check-email/ и https://ivit.pro/services/email-valid/. Она позволит убедиться в том, что сообщение поступило именно с сервера организации, сотрудники которой были указаны в качестве его авторов.
- Также косвенным признаком мошенничества может стать так называемая сокращенная ссылка, которая имеет окончание click.ru, goo-gl.ru и пр. Её оригинальный адрес также стоит проверить (не переходя на него!) с помощью специальных сервисов — они доступны по адресам: https://scanurl.net/; https://vms.drweb.ru/online/, https://virusdesk.kaspersky.ru/ и https://iplogger.ru/url-checker/.
Источник «Известий» в силовой структуре подтвердил необходимость в дополнительной проверке легитимности запроса при получении требования о перечислении средств.
Сотрудник полиции проверяет электронный пропуск
— Это нужно делать даже в случае, если кажется, что сообщение отправлено одной из государственных структур, — отметил он.
Также эксперт предложил дополнительный способ проверки писем, полученных через электронную почту: на подозрительное сообщение нужно попытаться ответить. Если адрес сотрудника организации при этом не поменяется, то с высокой долей вероятности он не является поддельным.
Впрочем, это не отменяет необходимости в дополнительных проверках, описанных в инструкции.
В Роскомнадзоре на запрос «Известий» ответили, что готовы оперативно направлять администраторам сайтов, размещающих недостоверную информацию, уведомления о необходимости её удаления — в случае, если этого потребует Генеральная прокуратура.
— При невыполнении этой инструкции, до операторов связи будет доведена информация о необходимости ограничить доступ российских пользователей к данном контенту, — отметили в организации.
При этом в Роскомнадзоре подчеркнули, что у них нет полномочий по ведению расследований по предотвращению киберпреступлений и мошенничества в интернете.
Также «Известия» отправили запросы в МВД, ФСБ и департамент информационных технологий Москвы. Однако оперативных ответов получить не удалось.
