Синдром подмены: мошенники массово создают фишинговые сайты по теме выборов
Мошенники массово создают фишинговые сайты по теме выборов, сообщили «Известиям» в Infosecurity a Softline company. В течение последнего месяца было запущено более 300 ресурсов с тематическими доменами. Там для того, чтобы проголосовать, предлагается пройти авторизацию через Telegram — впоследствии у человека крадут аккаунт в мессенджере. На самом деле поучаствовать в выборах онлайн жители 24 регионов могут на госпортале vybory.gov.ru, а москвичи — на mos.ru. Мошеннические сайты постоянно отслеживаются и блокируются в течение нескольких часов, заявили «Известиям» в Минцифры. Эксперты предупредили, что злоумышленники могут использовать эти ресурсы и после голосования — например, выманивая данные под предлогом выдачи призов.
Голос и деньги
Фишинговые домены, которые эксплуатируют тематику сентябрьских выборов, как правило, содержат слова «голосование», «выборы», «твой голос» и прочие варианты с припиской «2023» или без нее, рассказал «Известиям» ведущий специалист отдела анализа и оценки цифровых угроз Infosecurity a Softline company Владислав Иванов. Он уточнил, что за последний месяц было обнаружено более 300 таких мошеннических сайтов. Однако сейчас большинство из них или не имеют наполнения или уже заблокированы.
— Например, один из таких фишинговых ресурсов содержит форму для авторизации через Telegram якобы для возможности проголосовать. В ней есть поле для ввода номера телефона и кода подтверждения, после чего злоумышленники получают доступ к аккаунту пользователя, — пояснил Владислав Иванов.
По его словам, практически каждый громкий инфоповод сопровождается наплывом фишинговых сайтов или иных мошеннических схем. Такие ресурсы в целом часто мимикрируют под государственные: например, под порталы для оплаты штрафов ГИБДД или налогов. Также нередко злоумышленники пытаются скопировать интерфейс «Госуслуг».
«Известия» ознакомились с несколькими сайтами, которые используют тематику голосования. К моменту публикации они уже не открывались. В Роскомнадзоре сообщили, что ресурсы по тематике выборов в 2023 году не блокировались.
Специалисты Минцифры ведут мониторинг и своевременно принимают меры по блокировке мошеннических сайтов, заявили «Известиям» в ведомстве. Там подчеркнули: благодаря системе «Антифишинг», которую министерство запустило в прошлом году, заморозка подозрительных ресурсов занимает максимум несколько часов.
«Напоминаем, что сообщать свои персональные данные третьим лицам, переходить по подозрительным ссылкам и оставлять платежную информацию на непроверенных сайтах опасно», — добавили в Минцифры.
С 8 по 10 сентября в России проходят выборы разных уровней. В 21 регионе, в том числе в Москве, голосуют за будущих глав субъектов. Всего в предстоящие дни состоится 4270 избирательных кампаний в 85 субъектах РФ. Замещению подлежит более 33 тыс. мандатов и выборных должностей. В голосовании смогут принять участие почти 67 млн избирателей.
Дистанционное электронное голосование (ДЭГ) на этих выборах доступно в 25 регионах РФ, 18 из них используют эту систему впервые. Проголосовать онлайн можно на портале vybory.gov.ru, для граждан с пропиской в Москве — на сайте mos.ru. Все участники ДЭГ должны зарегистрироваться на «Госуслугах» и иметь подтвержденную учетную запись. Именно на «Госуслугах» нужно подать заявление об участии в ДЭГ, москвичам его подавать не надо. На данный момент прием уже завершен.
В итоге поступило свыше 1 млн 216 тыс. заявлений от избирателей, рассказал зампред ЦИК РФ Николай Булаев. Это цифра без учета Москвы, где ДЭГ проводится на собственной платформе.
И во время, и после
Регистрация тематических фишинговых сайтов имеет «сезонность», когда есть всплеск интереса аудитории к какой-либо теме, рассказал руководитель аналитического центра компании Zecurion Владимир Ульянов. Он уточнил, что доменов, связанных с темой голосования, было много и в периоды предыдущих электоральных процессов. К сентябрю 2023 года регистрации таких порталов участились.
Наиболее интенсивно подобные сайты могут использоваться во время выборов — с 8 по 10 сентября, полагает эксперт. Однако, по его словам, и после них мошенники могут продолжать пользоваться этими ресурсами. Например, эксплуатировать темы, связанные с розыгрышем призов.
— Самый универсальный и распространенный вариант использования «угнанных» аккаунтов в Telegram, под которые заточена схема с доменами по теме голосования, — это рассылка сообщений от имени жертвы. Это может быть просьба перевести деньги или выполнить какое-то действие, например зарегистрироваться на еще одном фейковом сайте, поучаствовать в розыгрыше. Когда люди получают сообщения от своих знакомых, доверяют им, не подозревая, что имеют дело со скомпрометированным аккаунтом, — пояснил Владимир Ульянов.
Если атака целевая, то обычно доступ к аккаунту перехватывают с целью дальнейшего шантажа, вымогательства, добавил управляющий RTM Group Евгений Царев. Например, мошенники могут просить определенную сумму за восстановление доступа или за неразглашение каких-то конкретных данных.
— Если атака производится на широкую аудиторию, то после получения доступа к аккаунтам в Telegram злоумышленники действуют ситуативно. Одних шантажируют, аккаунты других используют для спама с просьбами перевести деньги. Зависит от человека, чьи данные получили, — отметил Евгений Царев.
По его словам, до этого мошеннические ресурсы, связанные с голосованием, были направлены на получение учетных данных от портала «Госуслуги». Однако тогда не требовалось обязательной двухфакторной аутентификации, поэтому какой-то «урожай» в виде доступа к государственному порталу злоумышленникам удалось собрать. Теперь же такая схема не сработает, поскольку есть обязательное подтверждение входа по смс.
