У Яндекс-банка в сети появился фальшивый двойник. Сама кредитная организация еще не начала полноценно работать, но и банк-двойник пока в спящем состоянии. Через такие сайты мошенники могут собирать персональные данные с целью дальнейшей перепродажи, использовать их для фишинга и атак на реальный банк и его клиентов. И хотя процесс блокировки клонов занимает не более двух дней, их частое появление становится большой проблемой для банков, отмечают эксперты.
В сети появился неофициальный сайт еще не запустившегося Яндекс-банка, обнаружил “Ъ”. В целом сайт копирует товарный знак реального банка, однако выглядит не очень информативным. Впрочем, это не отличает его от оригинальной версии, где также пока размещена лишь информация о том, что «здесь будет Яндекс-банк», а также об актуальных вакансиях и с информацией, обязательной к раскрытию для банков. Никаких финансовых продуктов на оригинальном сайте не представлено. И в «Яндекс» планы по их запуску не раскрывают.
Как пояснили “Ъ” в пресс-службе компании, обнаруженный ресурс «не имеет отношения к "Яндексу" и может вводить пользователей в заблуждение». Поэтому «Яндекс» обратился «к регулятору для принятия соответствующих мер».
Фальшивый домен (в котором просто переставлены слова из оригинального домена) зарегистрировало частное лицо 29 сентября, свидетельствуют данные сервиса WHOIS. То есть на следующий день после официального сообщения о смене названия с «Акрополь» на Яндекс-банк. В ЦБ не ответили на запрос “Ъ”, будет ли регулятор реагировать на обращение компании.
Если посторонние лица успеют запустить сайт раньше банка, разместить на нем больше информации, то он с точки зрения поисковой машины по умолчанию может считаться более релевантным, то есть становится основным, отмечает управляющий RTM Group Евгений Царев.
Возможно, создатели неофициальной версии сайта банка готовились реализовать именно такую схему, добавляет он. Также эксперт допускает, что сайт находился в «спящем режиме», а его создатели ожидали запуска продуктов на оригинальном ресурсе Яндекс-банка с тем, чтобы затем скопировать их.
Как правило, создатели фальшивых сайтов преследуют цели украсть персональные данные, чтобы в дальнейшем перепродать их на черном рынке, говорит господин Царев: «Одна такая заявка (ФИО, номер, даже без паспортных данных) может стоить 3 тыс. руб. Самые дорогие расценки — на заявки от потенциального заемщика на ипотеку». Даже если один из потенциальных клиентов, оставивших персональные данные, затем оформит продукт, мошенник окупит все затраты на процесс нелегального сбора заявок, отмечает господин Царев. Подобные данные, добавляет он, покупают даже легальные компании, в том числе «ими могут не брезговать и небольшие по размеру банки».
Обычно злоумышленники делают копию сайта, чтобы использовать его для фишинга, то есть вводить в заблуждение клиентов или сотрудников организации и побуждать ввести имя пользователя или пароль, говорит руководитель практики «Делойт» в СНГ по оказанию услуг в области управления киберрисками Денис Липов: «В дальнейшем имя пользователя и пароль могут использоваться злоумышленниками для атак на банк или на клиента». По его оценке, современные средства защиты неплохо выявляют такие копии сайтов, так как они недавно созданы и не воспринимаются средствами защиты как доверенный ресурс.
«Возможно, в связи с этим копия сайта создана заранее, чтобы вызывать больше доверия к моменту, когда эта копия потребуется для атаки»,— отмечает эксперт.
«Мошенники всегда имеют финансовую мотивацию, даже если вначале речь не идет о прямом сборе личных данных клиентов, это может быть частью многоступенчатой схемы социальной инженерии»,— подчеркивает руководитель группы контроля IT-рисков и противодействия мошенничеству Райффайзенбанка Александр Мотичев. По его оценке, как правило, процесс блокировки подобных клонов занимает не более двух дней. Но фишинговые сайты становятся все более серьезной проблемой для банковского сообщества, признают в ВТБ. Там за подобными сайтами там следят «еще с момента регистрации домена, если он похож или созвучен с названием банка».