Как мошенники зарабатывают на интернет-адресах и обманывают людей через сайты-двойники

В сентябре россиян предупредили о новом виде интернет-мошенничества. Сетевые жулики от имени портала «Госуслуги» рассылали людям уведомления о том, что из-за технического сбоя они откреплены от поликлиники по месту жительства. Рекомендовалось срочно пройти повторную регистрацию по ссылке из письма, которая вела на сайт-двойник. Стоило ввести там свой логин и пароль от госуслуг, как все эти данные попадали в руки к злоумышленникам.

Мошенники не впервые клонируют сайты государственных органов. Одна из самых громких историй произошла в России осенью 2020 года, когда Роскомнадзор заблокировал 34 сайта-двойника Росреестра, через которые предоставляли липовые данные о недвижимости. Известны случаи, когда граждане попадали на поддельные сайты Пенсионного фонда и отдавали жуликам деньги за справки и документы, которые на самом деле оформляются бесплатно.

«Атака клонов» на службы доставки и банки

Мошенничества с помощью сайтов-двойников достигли пика на фоне пандемии коронавируса, когда торговля и услуги массово ушли в онлайн. За первые полгода пандемии, как сообщала газета «Коммерсантъ», число вновь зарегистрированных фишинговых доменов, маскирующихся под известные курьерские службы, выросло в семь раз.

Немало пострадавших от подобных действий и в Архангельской области. Жительница Виноградовского района, например, потеряла 14 тысяч рублей при покупке товара через сайт объявлений. Она оплатила товар по ссылке, присланной продавцом, но доставки не дождалась. Объявление же вскоре оказалось удалено. Связавшись с сотрудниками сервиса, через который проводилась оплата, женщина узнала, что подобный заказ у них не зарегистрирован. Полиция выяснила, что северянка оплатила покупку через сайт-двойник известной службы доставки.

Мошенники клонируют сайты не только служб доставки и интернет-магазинов. В марте 2021 года сразу две жительницы Северодвинска лишились приличных сумм (350 и 300 тысяч рублей) из-за того, что попали на фишинговый ресурс, внешне напоминающий сайт банка. На странице, имитирующей форму для регистрации, женщины внесли все данные своих карт. Мошенники тут же зашли в их личные кабинеты и перевели деньги на свои счета. Имя поддельного портала практически полностью копировало настоящий – лишь вместо «.ru» было «.com», на что клиентки не обратили внимания.

В июле 2021 года двое северян лишились денег, когда ввели данные банковских карт по ссылке с сайта поиска автомобильных попутчиков, который оказался клоном популярного интернет-ресурса. Теряли деньги наши земляки при попытке устроиться на работу через Интернет, покупали несуществующие авиабилеты и оплачивали бронирование отелей, занимались инвестициями через фальшивые интернет-биржи. Компания –владелец сети бензозаправок некоторое время назад предупреждала своих клиентов о регулярном появлении фальшивых сайтов и о том, что от ее лица ведутся рассылки с предложением карт, якобы предоставляющих значительную скидку на топливо.

Иногда ключ к деньгам жертв виртуальные мошенники подбирают, обещая подарки. Например, через рассылку по электронной почте или личное сообщение в соцсетях от имени какой-нибудь популярной компании предлагают поучаствовать в розыгрыше. Для этого надо зарегистрироваться для участия – надо ли говорить, что присланная ссылка ведет на сайт-двойник – и привязать банковскую карту, чтобы идентифицировать клиента и в дальнейшем перечислить выигрыш. Многие люди, когда видят перед собой якобы сайт солидной торговой площадки (тем более, если пользуются ее услугами), делают это без сомнений.

– Сайт-двойник визуально ничем не отличается от оригинала. Для их клонирования мошенники используют специальные программы. Копируется главная страница и форма для входа, куда необходимо ввести логин, пароль или данные банковской карты, – рассказывает начальник отдела по расследованию организованной преступной деятельности в сфере мошенничеств и информационно-телекоммуникационных технологий Следственного управления УМВД России по Архангельской области Ольга Беляева. – У двойника будет отличаться доменное имя, но незначительно. Кроме того, у фейковых сайтов не предусмотрен переход на вкладки. В оригинальном интернет-магазине, например, нажимаем на корзину – переходим в корзину, нажимаем на каталог – открывается каталог. Если это сайт-двойник, то куда бы человек ни нажал, его будет всегда отсылать на главную страницу, потому что полноценного сайта там нет.

«Прописка в Интернете» по фальшивым документам

В зависимости от обстоятельств происшествий уголовные дела возбуждают по таким статьям Уголовного кодекса РФ, как «Мошенничество» либо «Кража, совершенная с банковского счета».

В Следственном управлении УМВД России по Архангельской области отмечают, что, получив заявление от потерпевших, первым делом запрашивают у банков сведения о движении средств. Несмотря на то что в большинстве случаев получают эту информацию в кратчайший срок, заблокировать деньги на счете и вернуть их не удается. Украденные суммы мошенники моментально переводят через цепочку подставных лиц в соседние государства и обналичивают.

Интернет хотя и виртуальное пространство, но живет по определенным правилам, регулируется законодательством. Сайты необходимо регистрировать, а тот же хостинг – услугу по предоставлению ресурсов для размещения информации на сервере, постоянно имеющем доступ к Интернету, – оплачивать. Как же мошенникам удается хранить анонимность и теряться в Сети вместе с украденными деньгами?

Действительно, каждый сайт имеет свое доменное имя – проще говоря, набор символов, который является их адресом в Сети. «Прописку в Интернете» выдают специальные компании – регистраторы доменов.

– Дело в том, что зарегистрировать домен очень просто: достаточно предоставить скан паспорта и оплатить необходимую сумму. Злоумышленники часто пользуются этим и предоставляют фейковые копии документов, сделанные в фоторедакторах, на несуществующих лиц. Подлинность предоставленных копий компании-регистраторы не проверяют, – пояснили в отделе «К» УМВД России по Архангельской области. – У российских компаний-регистраторов и хостинг-провайдеров можно получить хотя бы ip-адреса, с которых происходили авторизации при администрировании сайта, тогда как, зарегистрировав домен в компании за рубежом и выбрав также иностранный хостинг, злоумышленник получает практически полную анонимность. Зарубежные компании находятся вне юрисдикции РФ, и получить информацию о владельцах сайта у них практически невозможно.

Но и наличие ip-адреса не всегда помогает выйти на след злоумышленников. Дело в том, что ip-адреса бывают как статические (привязанные к определенному адресу и используемым там стационарным компьютерам), так и динамические (постоянно меняющиеся). Существуют и программы для подмены ip-адреса. Начальник отдела по расследованию организованной преступной деятельности в сфере мошенничеств и информационно-телекоммуникационных технологий Следственного управления УМВД России по Архангельской области Ольга Беляева приводит пример из недавней практики.

– В процессе расследования одного из дел было установлено, что ip-адрес, с которого мошенники выходили в Интернет, зарегистрирован в Швеции, – рассказывает Ольга Алмазовна. – Мы направили туда запрос. Из полученного ответа узнали, что этот ip-адрес, будучи динамическим, действительно проходил через территорию Швеции, но его конечный путь был в Великобритании. Запрос в Великобританию, к сожалению, результата не дал, в сотрудничестве нам было отказано.

Как узнать владельца сайта

Сайт-двойник, как мы уже говорили выше, можно распознать по адресной строке (какой-то символ обязательно будет отличаться от оригинала) и отсутствию других вкладок для перехода, кроме той, что открылась по ссылке. Кроме того, рекомендуется обращать внимание на наличие действующего SSL-сертификата – информацию о нем можно увидеть, кликнув на замочек в адресной строке браузера. Если сертификат активен – сайт безопасен. Если компьютер сообщает о проблемах с сертификатом, то с этим ресурсом рекомендуется быть осторожнее и персональными данными не делиться.

Кроме того, любой пользователь Интернета может узнать, давно ли зарегистрирован сайт, кому он принадлежит и т. д.

– В сети есть специальный сервис, называется Whois, где вы можете узнать информацию о сайте, его владельце (администраторе), а также определить возраст домена, – рассказали в отделе «К» УМВД России по Архангельской области. – Дату регистрации можно увидеть в графе Created или Creation Date. Если домен зарегистрирован в международной зоне (.COM, .ORG, .INFO, .NET и другие), то здесь же, в графе Registrant Country можно увидеть страну, в которой находится администратор домена.

Вот наиболее популярные ресурсы, на которых можно узнать информацию о регистраторе домена и местоположении сервера, на которых расположен сайт: https://www.whois.net/, https://www.1whois.ru/, https://www.whois.com/whois/, https://whois.icann.org/ru.

Когда лучший антивирус – бдительность

Двойником может оказаться не только сайт, но и приложение для смартфона, планшета.C каждым годом количество вредоносных или вводящих в заблуждение приложений в Google Play и AppStore увеличивается. При этом сами компании Google и Apple принимают меры по выявлению и удалению опасных для пользователей программ. Однако это происходит далеко не сразу, да и алгоритмы поиска вредоносных программ не всегда срабатывают на сто процентов.

Как и в случае с сайтами, зачастую злоумышленники маскируют свои программы под довольно известные бренды. Например, под мессендежеры или приложения социальных сетей. В этом случае внимательно смотрите на дату публикации и разработчика. Вряд ли приложение Facebook вышло на просторы магазина пару недель назад и создала его для крупной корпорации компания с труднопроизносимым китайским названием.

На что еще обращать внимание, как пользователи могут защитить себя? В отделе «К» УМВД России по Архангельской области дали несколько советов.

Прежде всего проверьте соответствие запросов программы и ее функциональность. Многие приложения могут потребовать от вас получить доступ к, например, галерее снимков, контактам, местоположению и так далее. И если вы используете картографическое приложение, то без местоположения ему не обойтись. Но вот если, скажем, приложение «Фонарик» запрашивает доступ к телефонной книге и возможности отправлять сообщения, это должно вас насторожить. К тому же многие пользователи почти на автомате соглашаются со всеми запросами от программ. Будьте бдительны и всегда читайте, чего приложение от вас хочет.

Внимательно следите за тем, что вы устанавливаете на свое устройство, и, самое главное, откуда. Не переходите по случайным ссылкам, даже если они выдаются в числе первых популярными поисковиками. Часто злоумышленники проплачивают рекламу, чтобы разместить ссылку на свое фейковое приложение вверху выдачи поисковых запросов.

Если же устройством пользуются дети, то вы и вовсе можете запретить устанавливать приложения (даже бесплатные) без использования специального кода. Это же касается и встроенных покупок. К тому же имейте в виду, что очень часто злоумышленники подстраиваются под наиболее популярные запросы. Так что если вы ищите, например, пасьянс, то устанавливайте подобное приложение лишь от проверенного разработчика, который уже несколько лет находится на торговой площадке. Это легко проверить, нажав на его имя и посмотрев список релизов.

Технические средства защиты, безусловно, продолжат совершенствовать и дальше, но не забывайте, что в случае с фейковыми программами основной антивирус в данном случае – это вы сами.

Наталья Сенчукова

Главное за неделю

Перейти ко всем новостям за 8 октября 2021 г.