Перейти к материалам

Фейковые банки, авиабилеты и договоры: как подделывают бренды в интернете и зарабатывают на этом Объясняют эксперты Group-IB

pedrorsfernandes / Shutterstock

Недавно в твиттер-аккаунте представительства популярного фастфуда между рекламой бургеров и яблочных пирогов появились подозрительные твиты в духе: «Убейте меня, я хочу умереть». Позже выяснилось, что аккаунт фастфуда вели пранкеры. Но в фейковый профиль поверили все, даже головная компания. Такие истории не редкость. Подделывая сайты, мобильные приложения и аккаунты брендов в соцсетях, мошенники пользуются доверием людей к известным компаниям и крадут деньги или пользовательские данные. Только в прошлом году они заработали в России более миллиарда рублей. Но страдают не только покупатели: владельцы брендов рискуют потерять клиентов, получить волну негативных отзывов или даже судебных исков. 

Мы расспросили экспертов компании Group-IB, которая занимается предотвращением и расследованием киберпреступлений, о популярных мошеннических схемах в сети и о том, как им противостоять.

Фальшивые промоакции банков

Фейковые сайты финансовых учреждений — распространенная мошенническая схема. Одни злоумышленники, например, создали страницу «совместной акции» крупнейших российских банков: клиентам обещали подарить 100 тысяч рублей. Все, что нужно было сделать, — нажать на кнопку «получить приз» и ввести данные своей банковской карты — номер и срок действия.

Мошенники используют логотипы, элементы айдентики и фирменный стиль банков, активно зазывают пользователей письмами или СМС, сообщая о крупном выигрыше или о новой акции. Перейдя по ссылке, жертва попадает на страницу, где предлагается ввести данные банковской карты. Разумеется, эти данные попадают к злоумышленнику.

Фейковые розыгрыши авиакомпаний

За 2017 год мошенники дважды атаковали крупнейшие мировые авиакомпании по одной и той же схеме. В сети запускалась фейковая акция с обещанием двух авиабилетов в подарок. Эта «маркетинговая кампания» получила вирусное распространение — одна из таких акций привлекла более 30 тысяч пользователей.

Обычно такие мошеннические баннеры ведут на поддельный сайт, где после ответа на несколько простых вопросов появляется сообщение о выигрыше. Далее для получения билетов пользователя просят репостнуть страницу авиакомпании в соцсети, чтобы об акции узнали его друзья, а также ввести свою почту и другие персональные данные. Так мошенники собирают подписчиков для страницы или базу имейл-адресов, которые потом могут быть использованы для продажи или же просто перенаправления трафика на сторонние сайты для заработка на рекламе. Хуже, если доверчивому пользователю действительно вручат поддельный билет — и обман он обнаружит только в аэропорту.

Подложные сайты промышленных компаний

В январе 2017 года в интернете появились копии сайтов крупных промышленных предприятий. От официальных их отличали только реквизиты и контактные данные. Мошенники от лица промгигантов предлагали клиентам выгодные условия поставки товара и, получив предоплату, исчезали вместе с деньгами. Так за последние два сезона фермеры, которые попадали на поддельные сайты производителей удобрений, потеряли несколько миллиардов рублей.

Официальный сайт предприятия химической промышленности
Сайт-клон, разница в одном символе в названии сайта

Подделав сайт, мошенники начинают продвигать его при помощи контекстной рекламы и имейл-рассылок. Как правило, такие письма привлекают клиентов выгодными предложениями. Кликнув на ссылку, пользователь попадает на сайт, который вызывает доверие: фирменные цвета, логотип, актуальные новости, а в некоторых случаях даже баннер с призывом быть бдительнее, так как участились случаи мошенничества. Клиенты оформляют заявку, общаются с менеджерами отдела продаж и переводят 100%-ную предоплату. Но в оговоренную дату товар не приходит — и на телефон уже никто не отвечает. 

Фишинговые сайты ICO-проектов

Осенью 2017 года в рамках ICO крупная блокчейн-платформа за 20 часов собрала 30 миллионов долларов. Во время его проведения постоянно появлялись сайты-копии с измененным номером кошелька для сбора средств. Благодаря оперативной блокировке поддельных сайтов специалистами Group-IB мошенникам ушла лишь небольшая часть средств.

Скриншот официального сайта
Скриншот сайта-клона ICO BLACKMOON CRYPTO

Фишинг — самый распространенный метод атак на криптовалютную индустрию сегодня. Мошенники копируют сайты криптовалютных бирж, блокчейн-стартапов, кошельков и ICO-проектов. Затем пользователя просят либо перевести средства на электронный кошелек злоумышленников, либо ввести данные своего секретного ключа, после чего его деньги автоматически выводятся на счета мошенников.

Клоны популярных приложений

Преступная группа Cron меньше чем за год заразила написанным ею вирусом около миллиона Android-смартфонов. Для этого ее участники создавали вредоносные копии популярных мобильных приложений, например известного российского сервиса объявлений. Попав в смартфон, вирус выводил деньги с банковских счетов пользователя. Общий ущерб от действий преступников оценивается как минимум в 50 миллионов рублей.

Android-трояны часто распространяются под видом мобильных приложений банков, платежных систем, социальных сетей, мессенджеров, облачных хостингов и других популярных сервисов с высоким количеством загрузок. Официальные магазины мобильных приложений стараются бороться с подделками, но мошенники постоянно учатся обходить все барьеры. Как пример: в первой версии скачанное пользователем приложение может быть абсолютно безвредным, но после обновления оно превращается в инструмент кражи данных и денег — перехватывает СМС и звонки, копирует книгу контактов, следит за местоположением абонента, активирует камеру и выводит средства через онлайн-банк.

Поддельные аккаунты в соцсетях

Осенью Group-IB зафиксировала почти двукратный рост активности злоумышленников, выдающих себя за сотрудников банков. В друзья добавляется «менеджер» — мужчина или женщина, фото в деловом костюме на фоне логотипа известного банка — и сообщает о блокировке вашей карты или счета или предлагает помочь решить вашу проблему, о которой вы только что написали в официальной группе банка. Для этого вас просят указать номер и верификационный код карты, идентификатор пользователя или код подтверждения по СМС.

Скриншот переписки с «банковской сотрудницей» во «ВКонтакте»

Аккаунты мошенников зачастую практически идентичны официальным: логотипы, сведения о странице, место работы, подписки и т. д. Помимо специалистов банка, мошенники подделывают аккаунты представителей топ-менеджмента крупных компаний, политиков, представителей шоу-бизнеса и других медийных личностей. Цели могут быть разные: распространение ложной информации, сбор данных пользователей, раскрутка фишинговых ресурсов, продажа контрафакта или выманивание конфиденциальных данных, которые потом можно использовать для атаки на компанию.

Как бороться: рекомендации от Group-IB

  • Превентивно регистрируйте схожие доменные имена, чтобы не дать мошенникам возможности использовать вашу торговую марку в адресе сайта. Например, если ваш сайт находится по адресу internet-shop.ru, то злоумышленники могут взять адрес internet.shop.ru или internetshop.ru и действовать от вашего имени.
  • Постоянно отслеживайте упоминание вашего бренда в базах доменных имен и фишинговых ресурсов. Доступ к таким базам имеют организации, которые занимаются защитой компаний от мошенничества в интернете.
  • Ищите мошенников, маскирующихся под ваш бренд, в поисковиках. Чтобы поисковая выдача была более объективной, запросы нужно отправлять из разных геолокаций и с разных устройств.
  • Отслеживайте способы продвижения мошеннических ресурсов: контекстную рекламу, посты в соцсетях и мессенджерах.
  • Выявляйте все связанные с мошенническим ресурсом сайты. Как правило, злоумышленники создают сразу несколько сайтов-клонов. Обнаружить их помогут технологии анализа связей и аффилированности сайтов.
  • Отслеживайте мобильные приложения не только в официальных сторах, но и в неофициальных, а также на форумах, в поисковиках, в соцсетях и на сайтах, где они могут распространяться.
  • Постоянно мониторьте использование вашего бренда и ключевых лиц в соцсетях. Ищите упоминания компании и Ф. И. О. топ-менеджмента среди групп и аккаунтов.
  • Блокируйте мошеннические ресурсы: обращайтесь к компаниям с профильными компетенциями.

Приведенный список схем действий мошенников далеко не полный. Злоумышленники могут выдавать вас за своих партнеров, продавать товары под вашим брендом или организовать информационную атаку. Чтобы эффективно противостоять всем угрозам, важно оперативно их выявлять и устранять. Для этого существуют специальные сервисы, которые объединяют в себе современные технологии мониторинга миллионов ресурсов в интернете и позволяют обнаруживать и блокировать нарушения до того, как они принесут финансовый и репутационный ущерб. 

Начать можно с самого простого. Если вы хотите знать, каким рискам подвергается ваш бренд, — заполните форму. Специалисты Group-IB проведут объективный анализ угроз и дадут рекомендации по их устранению. Это бесплатно.