Мошенники пошли по списку
Злоумышленники освоили работу с перечнем неблокируемых сайтов
Мошенники начали регистрировать фишинговые сайты, которые имитируют «белый список» сайтов и сервисов, работающих при отключениях мобильного интернета. Пользователь, следуя инструкции, сам проверяет доступность сайта в таком «реестре» и, получив «подтверждение», передает мошенникам данные от «Госуслуг» или банковских карт. При этом мошенники создают целые сетки одностраничных сайтов, которые продвигают в топах поисковиков, чтобы усыпить внимание пользователей.
Фото: Александр Коряков, Коммерсантъ
Фото: Александр Коряков, Коммерсантъ
Мошенники начали эксплуатировать идею «белых списков» доступных сервисов и сайтов при отключениях мобильного интернета, рассказали “Ъ” в сервисе Smart Business Alert (SBA) компании ЕСА ПРО (входит в ГК «Кросс технолоджис»). С начала марта в компании обнаружили не менее 15 ресурсов, которые имитируют официальный реестр разрешенных сервисов. При этом отдельного подобного официального реестра не существует, только публикации на сайте Минцифры.
Человек получает ссылку от «сотрудника банка» или «провайдера», но, будучи осторожным, не переходит по ней сразу, объясняет председатель совета КС НСБ Игорь Бедеров. Пользователь открывает новую вкладку, заходит в поисковик, вбивает запрос «белый список», кликает на первый результат (который и является фейковым), видит там красивую плашку с логотипами госорганов и вводит туда ссылку, которую ему продиктовали. «Для пользователя это выглядит как двойная проверка безопасности. На деле же он только что подтвердил мошенникам, что "клиент к разводу готов"»,— добавляет господин Бедеров.
«Белый список» — перечень ресурсов и IP-адресов, которые не блокируются в случае отключения мобильного интернета. Список утверждают власти. Для вхождения в него сервис или сайт должны соответствовать ряду требований, например, по расположению серверов, невозможности скрывать IP-адрес и настраивать proxy-соединение и сверки IP-адресов. В список входят, например, «Госуслуги», сайты госорганов и электронного голосования, соцсети и мессенджер компании VK, сервисы «Яндекса», сайты маркетплейсов, операторов связи и др.
В SBA отмечают, что такие схемы уже используются в разных сценариях: от звонков из «органов власти» до ненастоящих розыгрышей и проверок от домофонных компаний. Также жертве, например, злоумышленники сами могут выслать ссылку для подтверждения полномочий звонящего с использованием «Госуслуг», а для убедительности направляют ссылку на «официальный реестр», в который уже включен фишинговый ресурс. В результате пользователь теряет контроль над своим аккаунтом.
Сценарии с липовыми «белыми списками» сегодня строятся вокруг двух механизмов, отмечает консультант по ИБ компании Innostage Елизавета Пермякова. Первый — подделка официальных порталов, для которых используются в том числе ИИ-инструменты. Второй — продвижение таких подделок через контекстную рекламу в поисковиках.
То есть злоумышленники создают не просто поддельный сайт, а целую сетку одностраничных маркетинговых сайтов (лендингов), которые агрессивно продвигают в топ «Яндекса» и Google по запросам вроде «проверить сайт на безопасность», «белый список сайтов РФ» или «реестр доверенных ресурсов», добавляет Игорь Бедеров.
«Большинство пользователей не понимают и не должны понимать, как и что устроено у провайдеров сети интернет или у Роскомнадзора, это естественно»,— отмечает руководитель группы защиты инфраструктурах ИТ-решений компании «Газинформсервис» Сергей Полунин. Поэтому, по его словам, когда человек встречает в сети сайт, имитирующий «белый список», оформленный достоверно, «то довольно легко поддаться соблазну и перейти по каким-то ссылкам, указанным на сайте».