Атака клонов

Источник
Как работают схемы с фейковыми сайтами «Роснефти» и других крупных компаний.
Злоумышленники создают копии сайтов российских корпораций, чтобы заключать контракты от их имени. Средний ущерб от такой атаки — от 1,5 млн рублей

На сайте производителя минеральных удобрений «Менделеевсказот» появилась тревожная надпись: «Осторожно мошенники!». Посетителей предупреждают о случаях обмана: неизвестные представляются сотрудниками подразделений компаний «Аммоний» или «Менделеевсказот» и предлагают удобрения по низким ценам — якобы так с ними расплатились деловые партнеры за долги. Мошенники могут звонить с несуществующих телефонных номеров компании, представляться псевдодилерами или использовать сайты-клоны — полную копию официального сайта реальной компании, говорится в сообщении.

Вся штука в том, что ресурс, на котором размещено это грозное предупреждение, сам является фейком. mendeleevscazot.ru — сайт-клон, а официальный сайт выглядит так: mendeleevskazot.ru. Разница в одну букву, но невнимательность может обернуться для посетителей-клиентов финансовыми потерями.

Сейчас Group-IB наблюдает очередную масштабную атаку на ведущие российские бренды — производителей минеральных удобрений. Мошенники активизировались перед началом посевной, отмечают отраслевые эксперты. Резкий рост посевов в России, в том числе пшеницы и сахарной свеклы, вызвал двукратное повышение спроса на удобрения с 2002 года. По оценке генерального директора «ЕвроХима» Дмитрия Стрежнева, только за последние два сезона фермеры из-за мошенников потеряли несколько миллиардов рублей.

Полцарства за домен

Недавно мы обнаружили фейковый ресурс eurochem-novomoskovsk.com — мошенники скопировали сайт нашего клиента компании «ЕвроХим» и выдавали себя за ее сотрудников. Сайт-клон появился в феврале 2017 года и был зарегистрирован на частное лицо. Параллельно мы выяснили, что в декабре 2016 года в руках злоумышленников оказалось официальное доменное имя eurochem-novomoskovsk.ru, у которого закончился срок регистрации.

После блокировки этих ресурсов мы получили письмо от ведущего специалиста отдела продаж компании, которая просила опять «включить сайт». Вместе с «ЕвроХимом» мы проверили отправителя: такая сотрудница в компании действительно есть, но никаких писем в Group-IB она не отправляла.

Мошенники не только клонировали сайт компании, но и использовали специальную программу, которая подменяла адрес отправителя в электронной почте. В ходе расследования мы установили владельца доменов и выяснили, что на него были зарегистрированы еще несколько ресурсов, связанных с производителями удобрений, предприятий химической промышленности и ТЭК. И все они оказались фейками: amonni.ru, hcsds-azot.ru, rosagrotrayd.ru, titanomsk.ru, tender-rosneft.ru, kyazot.ru, tolyatiazot.ru, mendeleevscazot.ru

Практически все они были зарегистрированы в один день, 17 января 2017 года, на частное лицо. Некоторые сайты полностью копировали оригинальный ресурс компании — логотип, разделы, контент. Отличалось только доменное имя. Например, мошеннический ресурс: kyazot.ru

Он представляет собой точную копию официального сайта «Куйбышевазота» kuazot.ru, отличаются только доменное имя (y вместо u) и контакты. На сайте у мошенников электронная почта сотрудников отдела сбыта отличается от реальных адресов. На обоих сайтах — реальном и фейковом — есть предупреждение об участившихся случаях обмана покупателей.

Или вот другой пример: у компании «Аммоний», производителя минеральных удобрений, официальный сайт — ammoni.ru, он появился еще 2009 году. Сайт мошенников, созданный в 2017 году, практически похож, разницу в одну букву заметить сложно: amonni.ru.

В марте 2017 года мошенники создали сайт tender-rosneft.ru, на котором выложена информация о тендерах, часть из которых, видимо, была взята с официального ресурса компании — ender.rosneft.ru. Вот только желающие поучаствовать в таком конкурсе, оказавшись на фейковом сайте, увидят контакты злоумышленников.

В чем смысл преступной схемы? Потенциальный клиент, посетив мошеннический сайт, связывается с фиктивным отделом продаж, и мошенники выставляют покупателю контракт с предоплатой. Понятно, что никакой товар клиенты не получают. Исследуя другой цифровой след, обнаруженный по данным зарегистрированного ресурса, мы нашли еще пять мошеннических сайтов: promhim24.ru, grokhimia.com, agrohs.ru, grohermes.ru, charcoal.net.ua

В компании «АгроГермес» (официальный ресурс — agrogermes.ru) подтвердили, что им известно о клоне — agrohermes.ru, компания обратилась в управление «К» МВД, и 7 апреля ресурс был заблокирован.

В ряде случаев мошеннический сайт не является точной копией официального ресурса компании. Вот официальный сайт компании «Самараагрохимия» — samaraagrohim.ru, которая специализируется на поставках минеральных удобрений. А вот мошеннический сайт — promhim24.ru. Между этими ресурсами существенные отличия и в самом названии компании, и в доменном имени, и в дизайне, но физический адрес компании совпадает: Самара, Галактионовская, 153-1.

Для привлечения посетителей мошенники используют инструменты интернет-маркетинга: контекстная реклама, реклама в соцсетях, SEO-оптимизация, спам-рассылка. На фейковых сайтах анонсируются распродажи, специальные предложения и скидки на продукцию.

Письма несчастья

Регистрация доменного имени-клона грозит компании еще одной опасностью — рассылкой мошеннических писем с фиктивного адреса, похожего на официальный e-mail компании.

Вот один из таких примеров. С электронного адреса злоумышленников были отправлены коммерческие предложения якобы от имени компании «Росагротрейд». В «Росагротрейд» подтвердили, что этот электронный адрес не принадлежит компании. Официальный сайт компании — ros-agro.ru, а мошеннические — rosagrotreid.ru или rosagrotrayd.ru. Когда мошенники регистрируют фейковое доменное имя, похожее на имя компании, — они получают в свое распоряжение и почтовый ящик с таким же доменным именем. С него и рассылается мошенническая почта.

Подобный вид мошенничества распространен во всем мире. В марте в Литве был арестован 48-летний Эвалдас Римасаускас (Evaldas Rimasauskas), которому удалось похитить у двух американских IT-компаний $100 млн. Римасаускас создал фиктивную фирму-клон азиатского производителя компьютерного оборудования. От имени представителя этой компании он, подделав электронные письма, бланки, связался с американскими клиентами этой компании и убедил заключить с ним контракты и перевести на счета его фирмы $100 млн. Деньги Римасаускас выводил через банки в шести разных странах, включая Латвию, Кипр, Словакию, Литву, Венгрию и Гонконг. Расследование ведет ФБР. По обвинению в мошенничестве, отмывании денег и хищении персональных данных Римасаускасу грозит 20 лет тюрьмы.

Подобная преступная схема называется «нигерийские письма». Этот вид мошенничества появился в Африке, причем еще до распространения интернета такие письма отправлялись по обычной почте. Мошенники, обещая солидную финансовую помощь, просили перевести деньги якобы на оформление сделок, уплату сборов, взятки чиновникам, и т. п.

Киберпреступники взяли этот прием на вооружение, и теперь «нигерийские письма» с зараженными ссылками или файлами отправляются не только на личную почту или в Facebook, но и в офисы международных компаний.

Сначала преступники при помощи фишинга получают доступ к электронной почте контрагента или партнера компании: создается, например, фальшивый сайт, имитирующий почтовый сервис, где ничего не подозревающий пользователь вводит свой логин и пароль, которые передаются злоумышленнику; теперь он может взять под контроль настоящий почтовый ящик жертвы и вести переписку от ее имени.

Второй этап — компании-плательщику с почтового ящика партнера присылают вполне реальные счета и «левые» реквизиты — и через цепочку банков деньги попадают в руки мошенников. Одна из российских металлургических компаний по просьбе своих азиатских партнеров перевела по указанным в письме реквизитам деньги на счета одного из европейских банков, и они затерялись где-то в африканских странах.

Иногда преступники действуют изобретательно. Не так давно от имени компании «Зарубежнефть» были размещены объявления о приеме на работу. Рассылка проводилась по электронной почте, причем не с официальных серверов компании, а с бесплатных почтовых сервисов. Кандидаты утверждались на должность не после очных собеседований, а в процессе переписки, а за оформление документов требовали оплату. Компания довольно быстро отреагировала на ситуацию.

В июле 2016 года ФБР выпустило для компаний предупреждение об опасности «нигерийских писем». В нем говорилось, что подобные схемы труднее идентифицировать, потому что преступники используют настоящие требования оплаты, направленные поставщиками. В прошлом году Интерпол сообщил об аресте «Майка» — 40-летнего нигерийца, главы международной группы из 40 человек, которая обманывала предпринимателей из Австралии, Канады, Индии, США и других стран. Одна из жертв перевела мошенникам $15,4 млн.
Персоны Компании
Братья Магомедовы потеряют контроль над НМТП
Совладельцы порта НМТП братья Магомедовы из-за конфликта с властями и предстоящей приватизации государственной доли окажутся ни с чем.
Геннадий Тимченко стал проводником китайских станков на российском рынке
Один из «королей госзаказа», олигарх Геннадий Тимченко, будет совместно с китайцами выпускать станки в России.
85-метровое достоинство олигарха Игоря Макарова
Сколько стоит расположение жены Сергея Чемезова: владелец «Арети» покупает яхту за 120 млн евро.
Правительство отказало Дагестану в поддержке строительства СПГ-завода
Федеральные власти отказали Дагестану в предоставлении гарантий на проект строительства СПГ-завода. Причина — высокий уровень регионального долга и отсутствие экономического обоснования проекта.
Одна абсолютно счастливая деревня
Как близкие Вячеслава Володина благоустраивают села, зарабатывают на майонезе и становятся святыми. Расследование Ивана Голунова.
Миллиардер недели: Михаил Фридман и история исков богатейших россиян к СМИ
Тяжбы богатейших предпринимателей против журналистов — это своего рода зеркало того, что происходит в стране. Это своего рода «зеркало».
На качество бензина «Роснефти» жалуются автовладельцы Хабаровска
Из-за поломок автомобилей они готовы подать к «Роснефти» коллективный иск.
Деньги есть: сколько заработали чиновники и парламентарии в 2016 году
Чиновники правительства заработали в три раза больше, чем сотрудники администрации президента. Самая богатая чета в Белом доме — семья министра Льва Кузнецова. В Кремле лидируют пресс-секретарь президента Дмитрий Песков и его супруга Татьяна Навка.
Украинский олигарх Сергей Курченко монополизирует поставки СУГ на Украину
Рынок сжиженных углеводородных газов (СУГ) Украины снова окажется в руках команды Виктора Януковича.
Нефть в опасности: американские сенаторы испугались Игоря Сечина
Члены верхней палаты Конгресса призывают главу Казначейства Стивена Мнухина тщательно изучить нефтяную сделку по кредитам, которая позволит «Роснефти» получить крупную долю в нефтяной компании США.
Воинственный против Страшного
Сечин докажет интимную дружбу с Кадыровым в суде, но скидок на «Грознефтегаз» не даст.
О конфликте между Сечином и Кадыровым рассказала Financial Times
Герои публикации собираются подавать в суд на газету.
Цена зависимости: почему Эдуард Худайнатов продает активы «Роснефти»
«Роснефть» уже не первый раз выручает своего бывшего руководителя, который после ухода из госкомпании создал «Независимую нефтегазовую компанию» и скупал небольшие месторождения.
Сечин спас Худайнатова
Глава «Роснефти» приобрел у своего бывшего подчиненного, чья компания находится на грани банкротства, актив за 40 млрд рублей. Первначальная стоимость актива составляла 2,4 млрд рублей.
Эдуард Худайнатов сливается в "Роснефть"
ННК продала первый крупный актив компании Игоря Сечина.
"Роснефть" заплатит курдам 1 млрд долларов
Трейдинговая «дочка» госкомпании согласилась заплатить за курдскую нефть. Перерабатывать ее придется в Германии и Индии.
Фальстарт: гонка за Эргинским месторождением откладывается
Роснедра отменили аукцион, который был объявлен до появления распоряжения правительства. Теперь ведомство должно его подготовить.
ФСБ освежит память «Алроса»
Сотрудники спецслужбы провели обыски в московском офисе "Алроса" на предмет продажи компанией МАК-банка в 2015 году.