По образу и подобию: как нас обманывают сайты-двойники

Фейковые вакансии шагают по интернет-простору. В ловушку попадают те, кто хочет заработать удаленно. Мошенники рассылают веером предложения поработать диспетчером такси. Прошел по ссылке – попал на сайт, который, на первый взгляд, кажется вполне официальным. Далее просят внести данные, пройти в личный кабинет, где уже скопились заказы и, ах да, можно получить деньги – только добавьте своих 240 рублей. И адье! Вы теряете немного, но в масштабах всего предприятия, вероятно, цифра выглядит солидно. Сайты-двойники копируют страницы банков, отелей, концертных залов и официальных ведомств. Как мошенники оттачивают маскировку и что нужно знать, чтобы не попасть на удочку фишингового сайта, – разбирались «Известия».

Отдыхаем дома
Недавно международная компания по предотвращению кибератак Group-IB обнаружила целую сеть сайтов-клонов отелей и гостиниц в Сочи (или фишинговых сайтов, в переводе с английского phishing от fishing – «рыбная ловля, выуживание»). Причем мошенники скопировали не только реальные сайты «Розы Хутор», «Горки Плаза», Sochi Marriott Krasnaya Polyana и других, но даже разработали ресурс, например для «Сочи Парк Отеля», у которого отдельного сайта в природе не существует (забронировать номер можно только через туроператора, в чьем управлении находится отель). Так, 39-летняя жительница Мордовии потеряла почти 50 тыс. рублей.
В ходе проверки специалисты в области противодействия кибермошенничеству оставили заявку на сайте, после чего с ними связался оператор с предложением либо полностью оплатить понравившийся номер в отеле, либо внести 50% от суммы. Заплатить на месте никак не получится, пояснил «представитель» отеля: «Там нет ни терминала, ни кассового аппарата».
«Как и ожидалось, оплата брони оказалась обычным переводом денег на счет некоего физлица. В таких схемах также нередко используется ИП, а сам перевод осуществляется через интернет-банкинг, – отмечают борцы с кибермошенниками. – В итоге клиент не получит, например, кассового чека, который подтвердил бы оплату конкретных услуг».
Всего удалось выявить около 60 подозрительных ресурсов, которые копируют и фирменные цвета, и бренд, и логотип самых разных отелей.
«Особенно часто туристы сталкиваются с сайтами-клонами отелей, бронируя гостиницы в Краснодарском крае или в Абхазии. Использование известных брендов мошенников совсем не пугает: «чем дороже, тем лучше», – отмечает пресс-секретарь Российского союза туриндустрии (РСТ) Ирина Тюрина. – Люди, которые становятся жертвами подобных ресурсов, бронируют отели не через туроператора, а самостоятельно, зачастую кликая на первую попавшуюся в поисковике рекламную ссылку.
Впрочем, мошенники быстро смекнули, что поживиться можно, не только создавая сайты-двойники отелей на Кубани и в Абхазии, но и сайты гостиниц востребованного среди туристов Крыма.
По словам владельца пансионата в Канаке Юрия Койчева, все лето каждую неделю на ресепшене появлялось по три-четыре семьи в полной уверенности, что сейчас им предоставят забронированный номер. Оказалось, что мошенники выкупили домен, название которого очень похоже на название сайта крымского пансионата, только у сайта-клона есть дефис, а у оригинала – нет.
«Мы потом посчитали: люди в сумме потеряли более 10 млн. Особенно жалко было семью, которая заплатила 140 тыс. Мы всем стараемся помочь как можем, в самых безвыходных ситуациях пытаемся пристроить людей в соседние отели, – приводит слова владельца пансионата «Собеседник». – Если гости приехали из аэропорта на такси в 9 часов вечера, им просто некуда деться. Многие потом обращаются в полицию у себя в регионе. Мне сейчас звонят из отделений МВД по всей стране – я называю номер уголовного дела, чтобы приобщить все факты к одному».

«Инородный» сберегательный банк
В октябре был замечен сайт-двойник МВЦ «Екатеринбург-Экспо». Ресурс по виду ничем не отличался от оригинала: та же самая афиша, только цены на порядок выше. Самые внимательные заметили главный подвох: в названии сайта вместо оригинального «.ru» красовалось «.com».
Тем временем в Курске отметили появление фишинговых сайтов-двойников для оформления полиса ОСАГО. А в феврале мошенники покусились на официальный сайт Пенсионного фонда России. Причем жулики размещали на своем сайте подлинные номера фонда и даже гиперссылки на официальный сайт. Пресс-служба Пенсионного фонда напоминает, что адрес официального сайта – pfrf.ru. И что еще должно насторожить на сайте-клоне, так это большое количество рекламных баннеров и внезапный онлайн-чат с «пенсионным юристом».
Ведущий аналитик «Инфосекьюрити» Александр Вураско отмечает: чтобы сделать сайт-близнец, достаточно потратить несколько часов на создание шаблона. Дальше можно штамповать сайты всего за 15 минут. Ни творчества, ни полета фантазии – грубый холодный расчет на доверчивость. Необходимый капитал – меньше 1 тыс. рублей. Срок жизни «обманки» – от нескольких часов до нескольких дней.
– Это проблема неновая, существует ровно столько, сколько интернет. Но последние 5-6 лет, по мере того как бизнес активно уходит в «цифру», мошенники тоже туда перемещаются, – говорит «Известиям» эксперт. – Подобные активные мошеннические сайты редко существуют больше нескольких дней. Как только пользователи начинают жаловаться, сайт быстро прекращает существование, но на его месте появляется новый.
– Сайты-клоны являются одним из наиболее распространенных видов онлайн-мошенничества, так как создание такого сайта не требует специальных навыков и существенных финансовых вложений: 100-300 тыс. рублей дохода от такого сайта вполне обычная цифра при затратах на создание в 100-500 рублей, – поясняет «Известиям» руководитель департамента инновационной защиты бренда и интеллектуальной собственности Group-IB Андрей Бусаргин. – Причем схема может работать как по обману обычных людей, так и юридических лиц, а мы знаем, что B2B-платежи могут быть очень существенными.

Точки, тире и замки
Как распознать фишинговый сайт и не попасться на удочку? Нередко сайты-клоны кричат о себе большим количеством рекламных баннеров, есть, например, блок отзывов, но вы свой отзыв добавить туда не сможете. Одним из верных показателей был замок в адресной строке, но сейчас и это не панацея.
Подобрать универсальный способ для выявления подделки сложно, но можно знать несколько моментов и, как говорится, глядеть в оба.
– Самый верный способ (пусть не обижаются агрегаторы) – посмотреть билеты на одном сайте, а идти покупать на сайте авиакомпании. Забронировать отель через проверенные сервисы, адреса которых на слуху, – рекомендует Александр Вураско. – Есть такие сайты-агрегаторы, которые имеют давнюю хорошую репутацию. Можно использовать их или официальные сайты отеля. Причем не переходить на эти сайты по ссылкам, которые вы получили в письме, а искать через поисковую систему и сверять адрес. Злоумышленники часто используют тайпсквоттинг – регистрируют доменные имена, максимально похожие на имена оригинального сайта. В названии могут быть тире, буквы схожего написания. Если есть хоть малейшие сомнения, набирайте адрес вручную.
– Рекомендуем проверять дату регистрации сайта, на котором вы собираетесь совершить покупку или оставить персональные данные, используя такие сервисы, как Whois, и воздержаться от предоплаты и переводов по реквизитам, – советует Андрей Бусаргин. – Чем ресурс моложе, тем больше риск. Если домену всего пара дней, стоит отказаться от использования этого сайта.
Компаниям тоже не стоит сидеть сложа руки. В конце концов, чем больше сайтов-клонов конкретного бренда, тем больше тень на репутации честного бизнеса.
– Компаниям нужно следить за неправомерным использованием их бренда (символики, наименований, логотипов, товарных знаков и цветовых схем сайтов) и окружающим их инфополем, ведь чаще всего именно клиенты приносят плохую весть о появившемся сайте-клоне, – отмечает Андрей Бусаргин. – Проактивный мониторинг позволит вовремя узнать о проблеме и предупредить всех остальных пользователей, а также инициировать блокировку данного ресурса, обратившись в профильные компетентные организации, так как самостоятельная блокировка сайта – это долгий и сложный процесс. Чем раньше происходит блокировка такого ресурса, тем лучше: именно в первые пару недель мошенники зарабатывают основные деньги, после чего сайт перестает иметь для них ценность.
Елена Мотренко

По материалам iz.ru