RUCOMPROMAT

Энциклопедия библиотеки компромата

  • Категории
    • Чиновники
    • Власть
    • Интернет
    • Бизнес
    • Общество
    • Криминал
    • Обзоры
  • Лица
  • Организации
  • Места
  • Архив
  • Категории
    • Чиновники
    • Власть
    • Интернет
    • Бизнес
    • Общество
    • Криминал
    • Обзоры
  • Лица
  • Организации
  • Места
  • Архив

Атака клонов

Интернет
Как работают схемы с фейковыми сайтами «Роснефти» и других крупных компаний.
18.04.2017
Оригинал этого материала
Forbes
Злоумышленники создают копии сайтов российских корпораций, чтобы заключать контракты от их имени. Средний ущерб от такой атаки — от 1,5 млн рублей

На сайте производителя минеральных удобрений «Менделеевсказот» появилась тревожная надпись: «Осторожно мошенники!». Посетителей предупреждают о случаях обмана: неизвестные представляются сотрудниками подразделений компаний «Аммоний» или «Менделеевсказот» и предлагают удобрения по низким ценам — якобы так с ними расплатились деловые партнеры за долги. Мошенники могут звонить с несуществующих телефонных номеров компании, представляться псевдодилерами или использовать сайты-клоны — полную копию официального сайта реальной компании, говорится в сообщении.

Вся штука в том, что ресурс, на котором размещено это грозное предупреждение, сам является фейком. mendeleevscazot.ru — сайт-клон, а официальный сайт выглядит так: mendeleevskazot.ru. Разница в одну букву, но невнимательность может обернуться для посетителей-клиентов финансовыми потерями.

Сейчас Group-IB наблюдает очередную масштабную атаку на ведущие российские бренды — производителей минеральных удобрений. Мошенники активизировались перед началом посевной, отмечают отраслевые эксперты. Резкий рост посевов в России, в том числе пшеницы и сахарной свеклы, вызвал двукратное повышение спроса на удобрения с 2002 года. По оценке генерального директора «Еврохима» Дмитрия Стрежнева, только за последние два сезона фермеры из-за мошенников потеряли несколько миллиардов рублей.

Полцарства за домен

Недавно мы обнаружили фейковый ресурс eurochem-novomoskovsk.com — мошенники скопировали сайт нашего клиента компании «Еврохим» и выдавали себя за ее сотрудников. Сайт-клон появился в феврале 2017 года и был зарегистрирован на частное лицо. Параллельно мы выяснили, что в декабре 2016 года в руках злоумышленников оказалось официальное доменное имя eurochem-novomoskovsk.ru, у которого закончился срок регистрации.

После блокировки этих ресурсов мы получили письмо от ведущего специалиста отдела продаж компании, которая просила опять «включить сайт». Вместе с «Еврохимом» мы проверили отправителя: такая сотрудница в компании действительно есть, но никаких писем в Group-IB она не отправляла.

Мошенники не только клонировали сайт компании, но и использовали специальную программу, которая подменяла адрес отправителя в электронной почте. В ходе расследования мы установили владельца доменов и выяснили, что на него были зарегистрированы еще несколько ресурсов, связанных с производителями удобрений, предприятий химической промышленности и ТЭК. И все они оказались фейками: amonni.ru, hcsds-azot.ru, rosagrotrayd.ru, titanomsk.ru, tender-rosneft.ru, kyazot.ru, tolyatiazot.ru, mendeleevscazot.ru

Практически все они были зарегистрированы в один день, 17 января 2017 года, на частное лицо. Некоторые сайты полностью копировали оригинальный ресурс компании — логотип, разделы, контент. Отличалось только доменное имя. Например, мошеннический ресурс: kyazot.ru

Он представляет собой точную копию официального сайта «Куйбышевазота» kuazot.ru, отличаются только доменное имя (y вместо u) и контакты. На сайте у мошенников электронная почта сотрудников отдела сбыта отличается от реальных адресов. На обоих сайтах — реальном и фейковом — есть предупреждение об участившихся случаях обмана покупателей.

Или вот другой пример: у компании «Аммоний», производителя минеральных удобрений, официальный сайт — ammoni.ru, он появился еще 2009 году. Сайт мошенников, созданный в 2017 году, практически похож, разницу в одну букву заметить сложно: amonni.ru.

В марте 2017 года мошенники создали сайт tender-rosneft.ru, на котором выложена информация о тендерах, часть из которых, видимо, была взята с официального ресурса компании — ender.rosneft.ru. Вот только желающие поучаствовать в таком конкурсе, оказавшись на фейковом сайте, увидят контакты злоумышленников.

В чем смысл преступной схемы? Потенциальный клиент, посетив мошеннический сайт, связывается с фиктивным отделом продаж, и мошенники выставляют покупателю контракт с предоплатой. Понятно, что никакой товар клиенты не получают. Исследуя другой цифровой след, обнаруженный по данным зарегистрированного ресурса, мы нашли еще пять мошеннических сайтов: promhim24.ru, grokhimia.com, agrohs.ru, grohermes.ru, charcoal.net.ua

В компании «АгроГермес» (официальный ресурс — agrogermes.ru) подтвердили, что им известно о клоне — agrohermes.ru, компания обратилась в управление «К» МВД, и 7 апреля ресурс был заблокирован.

В ряде случаев мошеннический сайт не является точной копией официального ресурса компании. Вот официальный сайт компании «Самараагрохимия» — samaraagrohim.ru, которая специализируется на поставках минеральных удобрений. А вот мошеннический сайт — promhim24.ru. Между этими ресурсами существенные отличия и в самом названии компании, и в доменном имени, и в дизайне, но физический адрес компании совпадает: Самара, Галактионовская, 153-1.

Для привлечения посетителей мошенники используют инструменты интернет-маркетинга: контекстная реклама, реклама в соцсетях, SEO-оптимизация, спам-рассылка. На фейковых сайтах анонсируются распродажи, специальные предложения и скидки на продукцию.

Письма несчастья

Регистрация доменного имени-клона грозит компании еще одной опасностью — рассылкой мошеннических писем с фиктивного адреса, похожего на официальный e-mail компании.

Вот один из таких примеров. С электронного адреса злоумышленников были отправлены коммерческие предложения якобы от имени компании «Росагротрейд». В «Росагротрейд» подтвердили, что этот электронный адрес не принадлежит компании. Официальный сайт компании — ros-agro.ru, а мошеннические — rosagrotreid.ru или rosagrotrayd.ru. Когда мошенники регистрируют фейковое доменное имя, похожее на имя компании, — они получают в свое распоряжение и почтовый ящик с таким же доменным именем. С него и рассылается мошенническая почта.

Подобный вид мошенничества распространен во всем мире. В марте в Литве был арестован 48-летний Эвалдас Римасаускас (Evaldas Rimasauskas), которому удалось похитить у двух американских IT-компаний $100 млн. Римасаускас создал фиктивную фирму-клон азиатского производителя компьютерного оборудования. От имени представителя этой компании он, подделав электронные письма, бланки, связался с американскими клиентами этой компании и убедил заключить с ним контракты и перевести на счета его фирмы $100 млн. Деньги Римасаускас выводил через банки в шести разных странах, включая Латвию, Кипр, Словакию, Литву, Венгрию и Гонконг. Расследование ведет ФБР. По обвинению в мошенничестве, отмывании денег и хищении персональных данных Римасаускасу грозит 20 лет тюрьмы.

Подобная преступная схема называется «нигерийские письма». Этот вид мошенничества появился в Африке, причем еще до распространения интернета такие письма отправлялись по обычной почте. Мошенники, обещая солидную финансовую помощь, просили перевести деньги якобы на оформление сделок, уплату сборов, взятки чиновникам, и т. п.

Киберпреступники взяли этот прием на вооружение, и теперь «нигерийские письма» с зараженными ссылками или файлами отправляются не только на личную почту или в Facebook, но и в офисы международных компаний.

Сначала преступники при помощи фишинга получают доступ к электронной почте контрагента или партнера компании: создается, например, фальшивый сайт, имитирующий почтовый сервис, где ничего не подозревающий пользователь вводит свой логин и пароль, которые передаются злоумышленнику; теперь он может взять под контроль настоящий почтовый ящик жертвы и вести переписку от ее имени.

Второй этап — компании-плательщику с почтового ящика партнера присылают вполне реальные счета и «левые» реквизиты — и через цепочку банков деньги попадают в руки мошенников. Одна из российских металлургических компаний по просьбе своих азиатских партнеров перевела по указанным в письме реквизитам деньги на счета одного из европейских банков, и они затерялись где-то в африканских странах.

Иногда преступники действуют изобретательно. Не так давно от имени компании «Зарубежнефть» были размещены объявления о приеме на работу. Рассылка проводилась по электронной почте, причем не с официальных серверов компании, а с бесплатных почтовых сервисов. Кандидаты утверждались на должность не после очных собеседований, а в процессе переписки, а за оформление документов требовали оплату. Компания довольно быстро отреагировала на ситуацию.

В июле 2016 года ФБР выпустило для компаний предупреждение об опасности «нигерийских писем». В нем говорилось, что подобные схемы труднее идентифицировать, потому что преступники используют настоящие требования оплаты, направленные поставщиками. В прошлом году Интерпол сообщил об аресте «Майка» — 40-летнего нигерийца, главы международной группы из 40 человек, которая обманывала предпринимателей из Австралии, Канады, Индии, США и других стран. Одна из жертв перевела мошенникам $15,4 млн.
Предыдущая статья
Следующая статья
---
ЕвроХим Менделеевсказот Самараагрохимия Росагротрейд Россия
18.09.2025
Валерий Николов не смог оторваться от следствия
Коррумпированный экс-глава Фонда капитального ремонта Московской области был арестован при попытке улететь в Турцию.
18.09.2025
Кристину Потупчик бортанули с рынка черного PR
Одиозная кремлевская "держательница блоков" потеряла контракт на обслуживание питательного вице-мэра Москвы Максима Ликсутова.
17.09.2025
Альберта Худояна исправят работой
Скандальному девелоперу вместо досиживания полутора лет за решеткой дали исправительные работы.
17.09.2025
Евгений Шулепов стал недосягаемым для суда и следствия
Обвиненный в коррупции экс-мэр Вологды скончался до начала судебного процесса.
17.09.2025
Даниил Суханов встретит приговор за границей
Коррумпированный экс-заместитель департамента имущественных отношений Минобороны сбежал из России, не дожидаясь, когда его дело СК РФ доведет до суда.
17.09.2025
Василий Бровко лишился Михаила Дудина
Одиозный сотрудник АП и ФСБ, отвечавший за зачистку телеграм-каналов в пользу скандального  топ-менеджера Ростеха, уехал на СВО.
17.09.2025
Сергей Чемезов подмял авиакомпанию "Волга-Днепр"
Одиозный глава "Ростеха" намерен выкупить терпящую бедствие грузовую авиакомпанию на своего аватара, Евгения Солодилина.
16.09.2025
Наследство Алексея Митюшова упало в руки братьев Ротенбергов
Активы бежавшего из России топ-менеджера «Газпрома» получил в управление человек одиозных олигархов.
16.09.2025
Семейство Пумпянских пытается всех перехитрить
Одиозный олигарх Дмитрий Пумпянский и его сын Александр сохранили контроль над всеми своими российскими и европейскими активами и увели финансовые потоки в офшоры.
16.09.2025
Дмитрий Бортников нырнул в темные финансовые воды
Племянник директора ФСБ успешно развивает миллиардный бизнес на господрядах с последующими откатами и распилами.
16.09.2025
Алексей Смирнов воровал с территориальным размахом
Коррумпированный экс-губернатор Курской области признался, что крал бюджетные деньги не только в своем регионе, но и в ДНР.
15.09.2025
Владимира Панова сажают в тюрьму с третьей попытки
Бывший замначальника тыла МВД уже был фигурантом уголовных дел о получении взятки и злоупотребление должностными полномочиями, но за решетку так и не отправился.
15.09.2025
Артема Бикова и Алексея Боброва избавят от бизнес-империи
Генпрокуратура начала национализацию активов двух скандальных уральских бизнесменов, два десятка лет наживавшихся на монополизации коммунальных услуг в ряде российских регионов.
15.09.2025
Банда Зотовых расхищает гособоронзаказ
За первые 8 месяцев этого года в российские суды поступило 43 уголовных дела, связанных с гособоронзаказом. Похоже, это абсолютный рекорд с начала спецоперации. Однако некоторые махинации до сих пор не получили должной правовой оценки, и в их числе — аферы заместителя гендиректора «Группы Альянс» Владимира Зотова.
14.09.2025
Владимир Спиваков пошарил в карманах у Алишера Усманова
Музыканты Национального филармонического оркестра России влачат нищенское существование, а его руководство на гранты Алишера Усманова скупает дорогую зарубежную недвижимость.
12.09.2025
Игорь Озар взлохматит УЗГА
Авиационный завод возглавил одиозный и вороватый топ-менеджер.
12.09.2025
Павел Те сматывает удочки
Одиозный миллиардер-девелопер выводит деньги из своих фирм, а сами фирмы дробит и оставляет пустыми.
11.09.2025
Константину Пономареву докинули срок
Скандальный бизнесмен отсидит не 10, а 14 лет.
11.09.2025
Игорь Чайка кругом должен
Компании нынешнего замглавы Россотрудничества задолжали бюджетам сотни миллионов рублей налогов.
10.09.2025
Михаил Мишустин сделал ставку на Александра Удодова
Власти РФ внесли в список "белых сайтов" букмекерскую контору "Фонбет", реальным владельцем которой является зять премьер-министра РФ Александр Удодов.
О проекте (контакты) | Лица | Места | Организации


RuCompromat.Com ® 16+