Компромат.Ru ®

Весь сор в одной избе

Домой | Форум | Почта

Библиотека компромата

Оригинал этого материала
© Forbes.ru, 14.04.2017, Иллюстрации: via Forbes.ru

Атака клонов: как работают схемы с фейковыми сайтами "Роснефти" и других крупных компаний

Илья Сачков

На сайте производителя минеральных удобрений «Менделеевсказот» появилась тревожная надпись: «Осторожно мошенники!». Посетителей предупреждают о случаях обмана: неизвестные представляются сотрудниками подразделений компаний «Аммоний» или «Менделеевсказот» и предлагают удобрения по низким ценам — якобы так с ними расплатились деловые партнеры за долги. Мошенники могут звонить с несуществующих телефонных номеров компании, представляться псевдодилерами или использовать сайты-клоны — полную копию официального сайта реальной компании, говорится в сообщении.

Вся штука в том, что ресурс, на котором размещено это грозное предупреждение, сам является фейком. mendeleevscazot.ru — сайт-клон, а официальный сайт выглядит так: mendeleevskazot.ru. Разница в одну букву, но невнимательность может обернуться для посетителей-клиентов финансовыми потерями.

Compromat.Ru
Сайт-клон "Менделеевсказот" с предупреждением о деятельности мошенников
Сейчас Group-IB наблюдает очередную масштабную атаку на ведущие российские бренды — производителей минеральных удобрений. Мошенники активизировались перед началом посевной, отмечают отраслевые эксперты. Резкий рост посевов в России, в том числе пшеницы и сахарной свеклы, вызвал двукратное повышение спроса на удобрения с 2002 года. По оценке генерального директора «Еврохима» Дмитрия Стрежнева, только за последние два сезона фермеры из-за мошенников потеряли несколько миллиардов рублей.

[finanz.ru, 28.03.2017, "Интернет-жулики обманывают разбогатевших российских фермеров": Бизнес по производству удобрений в РФ стал столь привлекательным в условиях сельскохозяйственного бума, что мошенники начали выдавать себя за ведущих поставщиков, чтобы нажиться на фермерах, стремящихся нарастить урожай и повысить его качество.
За последние несколько лет появились сайты, похожие по дизайну на сайты ключевых дистрибьюторов, включая EuroChem Group AG и ПАО "ФосАгро". По сниженным ценам аферисты предлагают удобрения, которые так и не поставляют. Они активизировались после того, как резкий рост посевов в России, в том числе пшеницы и сахарной свеклы, вызвал двукратное повышение спроса на удобрения с 2002 года.
За последние два сезона фермеры потеряли из-за мошенников несколько миллиардов рублей, сказал генеральный директор EuroChem Дмитрий Стрежнев. [...]
Бум на рынке сельхозхимикатов "подхлестнул и мошенников", говорит генеральный директор ФосАгро Андрей Гурьев, компания которого является крупнейшим в Европе производителем удобрений. [...]
Мошеннические сайты стали более частым явлением в 2015 году, сказал Стрежнев из EuroChem. Примерно на это время приходится начало бума на рынке сельхозпродукции в условиях запрета на импорт многих продовольственных товаров, введенного в ответ на европейские санкции в отношении РФ из-за событий на Украине. Правительство также начало увеличивать субсидии агропромышленному комплексу, а падение рубля до исторического минимума сделало российский экспорт более привлекательным для зарубежных покупателей.
Сайт подразделения EuroChem, которое занимается поставками и продажей удобрений в Краснодарском крае, в прошлом году "клонировали" как минимум трижды — с незначительно отличающимися от оригинального веб-адресами. Подразделение зафиксировало восемь случаев мошенничества со стороны фирм, действовавших от его имени, в 2016 году. В марте это повторилось, при этом о схожих эпизодах сообщали также ПАО "Акрон" и ФосАгро. — Врезка К.ру]

Полцарства за домен

Недавно мы обнаружили фейковый ресурс eurochem-novomoskovsk.com — мошенники скопировали сайт нашего клиента компании «Еврохим» и выдавали себя за ее сотрудников. Сайт-клон появился в феврале 2017 года и был зарегистрирован на частное лицо. Параллельно мы выяснили, что в декабре 2016 года в руках злоумышленников оказалось официальное доменное имя eurochem-novomoskovsk.ru, у которого закончился срок регистрации.

После блокировки этих ресурсов мы получили письмо от ведущего специалиста отдела продаж компании, которая просила опять «включить сайт». Вместе с «Еврохимом» мы проверили отправителя: такая сотрудница в компании действительно есть, но никаких писем в Group-IB она не отправляла.

Мошенники не только клонировали сайт компании, но и использовали специальную программу, которая подменяла адрес отправителя в электронной почте. В ходе расследования мы установили владельца доменов и выяснили, что на него были зарегистрированы еще несколько ресурсов, связанных с производителями удобрений, предприятий химической промышленности и ТЭК. И все они оказались фейками: amonni.ru, hcsds-azot.ru, rosagrotrayd.ru, titanomsk.ru, tender-rosneft.ru, kyazot.ru, tolyatiazot.ru, mendeleevscazot.ru

Практически все они были зарегистрированы в один день, 17 января 2017 года, на частное лицо. Некоторые сайты полностью копировали оригинальный ресурс компании — логотип, разделы, контент. Отличалось только доменное имя. Например, мошеннический ресурс: kyazot.ru

Compromat.Ru
Сайт-клон "Куйбышевазота"
Он представляет собой точную копию официального сайта «Куйбышевазота» kuazot.ru, отличаются только доменное имя (y вместо u) и контакты. На сайте у мошенников электронная почта сотрудников отдела сбыта отличается от реальных адресов. На обоих сайтах — реальном и фейковом — есть предупреждение об участившихся случаях обмана покупателей.

Или вот другой пример: у компании «Аммоний», производителя минеральных удобрений, официальный сайт — ammoni.ru, он появился еще 2009 году. Сайт мошенников, созданный в 2017 году, практически похож, разницу в одну букву заметить сложно: amonni.ru.

Compromat.Ru
Реальный сайт компании "Аммоний"
Compromat.Ru
Сайт-клон компании "Аммоний"
В марте 2017 года мошенники создали сайт tender-rosneft.ru, на котором выложена информация о тендерах, часть из которых, видимо, была взята с официального ресурса компании — ender.rosneft.ru. Вот только желающие поучаствовать в таком конкурсе, оказавшись на фейковом сайте, увидят контакты злоумышленников.

В чем смысл преступной схемы? Потенциальный клиент, посетив мошеннический сайт, связывается с фиктивным отделом продаж, и мошенники выставляют покупателю контракт с предоплатой. Понятно, что никакой товар клиенты не получают. Исследуя другой цифровой след, обнаруженный по данным зарегистрированного ресурса, мы нашли еще пять мошеннических сайтов: promhim24.ru, grokhimia.com, agrohs.ru, grohermes.ru, charcoal.net.ua

В компании «АгроГермес» (официальный ресурс — agrogermes.ru) подтвердили, что им известно о клоне — agrohermes.ru, компания обратилась в управление «К» МВД, и 7 апреля ресурс был заблокирован.

В ряде случаев мошеннический сайт не является точной копией официального ресурса компании. Вот официальный сайт компании «Самараагрохимия» — samaraagrohim.ru, которая специализируется на поставках минеральных удобрений. А вот мошеннический сайт — promhim24.ru. Между этими ресурсами существенные отличия и в самом названии компании, и в доменном имени, и в дизайне, но физический адрес компании совпадает: Самара, Галактионовская, 153-1.

Compromat.Ru
Официальный сайт
Compromat.Ru
Мошеннический сайт
Для привлечения посетителей мошенники используют инструменты интернет-маркетинга: контекстная реклама, реклама в соцсетях, SEO-оптимизация, спам-рассылка. На фейковых сайтах анонсируются распродажи, специальные предложения и скидки на продукцию.

Письма несчастья

Регистрация доменного имени-клона грозит компании еще одной опасностью — рассылкой мошеннических писем с фиктивного адреса, похожего на официальный e-mail компании.

Вот один из таких примеров. С электронного адреса злоумышленников были отправлены коммерческие предложения якобы от имени компании «Росагротрейд». В «Росагротрейд» подтвердили, что этот электронный адрес не принадлежит компании. Официальный сайт компании — ros-agro.ru, а мошеннические — rosagrotreid.ru или rosagrotrayd.ru. Когда мошенники регистрируют фейковое доменное имя, похожее на имя компании, — они получают в свое распоряжение и почтовый ящик с таким же доменным именем. С него и рассылается мошенническая почта.

Подобный вид мошенничества распространен во всем мире. В марте в Литве был арестован 48-летний Эвалдас Римасаускас (Evaldas Rimasauskas), которому удалось похитить у двух американских IT-компаний $100 млн. Римасаускас создал фиктивную фирму-клон азиатского производителя компьютерного оборудования. От имени представителя этой компании он, подделав электронные письма, бланки, связался с американскими клиентами этой компании и убедил заключить с ним контракты и перевести на счета его фирмы $100 млн. Деньги Римасаускас выводил через банки в шести разных странах, включая Латвию, Кипр, Словакию, Литву, Венгрию и Гонконг. Расследование ведет ФБР. По обвинению в мошенничестве, отмывании денег и хищении персональных данных Римасаускасу грозит 20 лет тюрьмы.

Подобная преступная схема называется «нигерийские письма». Этот вид мошенничества появился в Африке, причем еще до распространения интернета такие письма отправлялись по обычной почте. Мошенники, обещая солидную финансовую помощь, просили перевести деньги якобы на оформление сделок, уплату сборов, взятки чиновникам, и т. п.

Compromat.Ru
Жалоба одного из получателей "нигерийских писем"
Киберпреступники взяли этот прием на вооружение, и теперь «нигерийские письма» с зараженными ссылками или файлами отправляются не только на личную почту или в Facebook, но и в офисы международных компаний.

Сначала преступники при помощи фишинга получают доступ к электронной почте контрагента или партнера компании: создается, например, фальшивый сайт, имитирующий почтовый сервис, где ничего не подозревающий пользователь вводит свой логин и пароль, которые передаются злоумышленнику; теперь он может взять под контроль настоящий почтовый ящик жертвы и вести переписку от ее имени.

Второй этап — компании-плательщику с почтового ящика партнера присылают вполне реальные счета и «левые» реквизиты — и через цепочку банков деньги попадают в руки мошенников. Одна из российских металлургических компаний по просьбе своих азиатских партнеров перевела по указанным в письме реквизитам деньги на счета одного из европейских банков, и они затерялись где-то в африканских странах.

Иногда преступники действуют изобретательно. Не так давно от имени компании «Зарубежнефть» были размещены объявления о приеме на работу. Рассылка проводилась по электронной почте, причем не с официальных серверов компании, а с бесплатных почтовых сервисов. Кандидаты утверждались на должность не после очных собеседований, а в процессе переписки, а за оформление документов требовали оплату. Компания довольно быстро отреагировала на ситуацию.

Compromat.Ru
Официальный сайт компании "Зарубежнефть"
В июле 2016 года ФБР выпустило для компаний предупреждение об опасности «нигерийских писем». В нем говорилось, что подобные схемы труднее идентифицировать, потому что преступники используют настоящие требования оплаты, направленные поставщиками. В прошлом году Интерпол сообщил об аресте «Майка» — 40-летнего нигерийца, главы международной группы из 40 человек, которая обманывала предпринимателей из Австралии, Канады, Индии, США и других стран. Одна из жертв перевела мошенникам $15,4 млн.

 






Наверх

Другие материалы раздела:

Паутина для доверчивых
Фильтрация Компромaт.Ру +
Дубик всеблокирующий=>
Кремль атакует Рунет +
Yota стала цензором
ГосНетКонтроль
Охота на экстремизм в Сети +
Ответственность за коммент. +
Ответственность за ссылку
Виртуальные бандиты
Вредоносы-вымогатели
Кибер-империя зла
Топ разыскиваемых ФБР хакеров
Как отбиться от хакера
Особенности национального хака
Порно, спам и пиратская музыка
Экономика инет-мошенничества
Схема финансовой кибер-ОПГ
"Черные списки" в Интернете
Основы информационной войны
Сурковская сеть +
Спам-канализация "ЕдРа"
DDoS-атаки в ПолитРунете +
Призма Володина
Полит- и бизнес-пиар в ЖЖ
"Черный пиар" в соцсетях
Потребители политинфы в ЖЖ
Тысячников поймали на заказухе
Rexona опиарилась в блогах
Тролли в Рунете +
Политические форумы Рунета
Сайты власти +
Доменная зона РФ +
Как регулируются домены в СНГ
Эл. почта без тайны связи
Твит-цензура на Универсиаде
Скупка доменов-однофамильцев
Давидович растерял домены
Суд запретил YouTube
YouTube запрещен без суда
Атака на сайт президента РФ
Угрозы Матвиенко +=>
Дело сайта "УфаГубЪ" +
"Ковровский форум" +
Дело "Костромских Джедаев"
Обидно.Ру
Экстремизм на "Самиздате"
Экстремисты на форуме Ура.ру
Запрос IP за комменты на Ура.ру
Дело "Вятского наблюдателя"
Dead-Moros - клеветник
Дело Терентьева (Коми)  +
Алкснис против ЖЖиста +
Приговор блогеру Кирилину
Компьютер блогера уничтожить
Условный срок за песню
Каганова лишили сайта
В Сети поймали русофоба
Из зоны .ru на зону
Тройка-сталь vs Мегасофта
Интернет как улика
Бизнес по Фрейду
Дрочеры напрокат
Рекламный фальш-трафик
Технология "порнонакрутки"
Порнотехнологии от BMW
Закрытая "статистика"
Весь Рунет делал "ЭТО"
Шантаж политиков
Министрам сделали и-нет
Власть качает фильмы и порно
В интернете разрешили порно
Порностудии "грабят" пиратов
Лужков о "пауках из интернета"
Москва отказывается от сайтов
Фашистский сайт антифашистов
Нацисты атакуют Интернет
Аморальная история
Адагамов (drugoi) педофил +
Вербицкий и "дело о бороде"
Белоусов vs Рябыко +
Волож и Yandex.Ru +
Гельман Марат =>
Греков Ярослав (Моська) +
Дуров и "ВКонтакте" +
Енцов и "Литмир"
Карачинский Анатолий =>
Клименко и торренты Torrnado
Олег Куваев и Масяня +
Лебедев Артемий +
Мамут и Афиша-Рамблер-SUP +
Можаев Дмитрий и "2Sun"
Интернет-омбудсмен Мариничев
Носик Антон +
Павловский Глеб =>
Попков и "Однокласники"
Рыков Константин (Форис) +
Огородникова взяли за взятку +
Себрант Андрей
Экслер Алекс
Криминальные услуги Auto.Ru +
Схема с фейковыми сайтами
Сайт о Балаковской АЭС
Продажный рейтинг "Банкир. Ру"
Cyberplat торгует детским порно
Газета.Ру +
Подтасовки от Газеты и Ленты
Блокировка Ингушетия.Ру +
"Комстару" закон не писан
Лента.Ру +
Макхост: упали 25 тыс. сайтов
"Саспенды" в Livejournal.com +
Утечка базы Mamba.ru.
Mail.Ru (Port.Ru).Три жизни +
"Новый фокус" конфисковали +
Черный пиар "Озоновой дыры"
"РБК" +
Русские зомби-машины RBN
RLE.Ru.Взлом конкурента +
РТКОММ vs .masterhost
Ru-Center - киберсквотер +
Заразный сайт "Собеседника"
SpyLog.Двойные стандарты
Пираты из ФЛБ +
Трест "Рунет" +
Партии идут www
Партийная паутина
Мультики про это
Проститутки на putin2000.ru
Провайдерские войны
"Дело Плещука". RBS
"Дело Серебряного". DirecTV
"Дело Левина". Ситибанк +
Убийство Сухомлина (Чечня.Ру)
Опустить конкурента на форумах
Рейтинг исков о защите дел. репут.
Смерть главного спамера
Аникеев и "Шалтай-Болтай" +
Группа "Али Баба и 4"
Богачев и GameOver Zeus +
Ваулин и KickassTorrents
Потрошитель корп.счетов Глотов
Игорь Гусев и Glavmed +
Золотарев, Лопатин и Carder.su
Врублевский и Chronopay +
Козловский, Еремин и Lurk
Спамер-педофил Л.Куваев +
Спамер Николаенко и Mega-D
Спамер Левашов (Severa) и Kelihos
"Троян" Никиты Кузьмина +
"Троян" SpyEye Панина
Банковские боты Покорских
Похититель карт Селезнев +
Смилянец и похитители карт +
Фомченков, эл.бабки и госизмена
Хорохорин и CarderPlanet
Хакер Хэлл - Максимов
Цукерберг и Facebook +
Союз хакеров и трейдеров +
Сайт адюльтера AshleyMadison +
Файлообменник EX.ua
Торрент-трекер Interfilm.ru +
"Отмывочная" Liberty Reserve +
Криминальный Megaupload.com
Сайт RusLeaks.com
Анонимусы взломали Stratfor
Продажная Wikipedia +
Фемида судит по "Википедии"
Компромат-сайт Wikileaks.org +
Sony хакнули за Ким Чен Ына +
Майер и Yahoo +
Liberation:задержан за коммент
ЕСПЧ наказал СМИ за комменты
"Право быть забытым" +
Хостеры пиратам не подельники
Интернет и "большой брат" +
Кто за кем следит
Shodan: охота за устройствами
Uber шпионит
Секс-шалости "звезд". Фото
"Hackerazzi" дали 10 лет
Рынок взломанных аккаунтов
Votersleaks в США
Записная книжка Пэрис Хилтон
Яндекс нашел блядей в СПС =>
Дело Kavkaz.org живет =>
Сеть из 70 тыс. педофилов
"Пират Робертс" и Silk Road +
"Покерная пирамида" Full Tilt
Эпплбаум и Tor Project
Интернет-табу для школьников
Порно-облава на 136 сайтов
Коноплю выкуривают из паблика
Блокировка записи о блокировке
Блокировка офшорных доменов
Блокировка приложений
Блокировка анонимайзеров +
Блокировка за колбасу
Блокировка пустоты
Штрафы за "обратную связь"

Знаком '+' отмечены подразделы,
а '=>' - перекрестные ссылки между разделами

   




TopList



Compromat.Ru ® — зарегистрированный товарный знак. Св. №319929. 18+