Компромат.Ru ®

Читают с 1999 года

Весь сор в одной избе

Библиотека компромата

Оригинал этого материала
© Forbes.ru, 14.04.2017, Иллюстрации: via Forbes.ru

Атака клонов: как работают схемы с фейковыми сайтами "Роснефти" и других крупных компаний

Илья Сачков

На сайте производителя минеральных удобрений «Менделеевсказот» появилась тревожная надпись: «Осторожно мошенники!». Посетителей предупреждают о случаях обмана: неизвестные представляются сотрудниками подразделений компаний «Аммоний» или «Менделеевсказот» и предлагают удобрения по низким ценам — якобы так с ними расплатились деловые партнеры за долги. Мошенники могут звонить с несуществующих телефонных номеров компании, представляться псевдодилерами или использовать сайты-клоны — полную копию официального сайта реальной компании, говорится в сообщении.

Вся штука в том, что ресурс, на котором размещено это грозное предупреждение, сам является фейком. mendeleevscazot.ru — сайт-клон, а официальный сайт выглядит так: mendeleevskazot.ru. Разница в одну букву, но невнимательность может обернуться для посетителей-клиентов финансовыми потерями.

Compromat.Ru
Сайт-клон "Менделеевсказот" с предупреждением о деятельности мошенников
Сейчас Group-IB наблюдает очередную масштабную атаку на ведущие российские бренды — производителей минеральных удобрений. Мошенники активизировались перед началом посевной, отмечают отраслевые эксперты. Резкий рост посевов в России, в том числе пшеницы и сахарной свеклы, вызвал двукратное повышение спроса на удобрения с 2002 года. По оценке генерального директора «Еврохима» Дмитрия Стрежнева, только за последние два сезона фермеры из-за мошенников потеряли несколько миллиардов рублей.

[finanz.ru, 28.03.2017, "Интернет-жулики обманывают разбогатевших российских фермеров": Бизнес по производству удобрений в РФ стал столь привлекательным в условиях сельскохозяйственного бума, что мошенники начали выдавать себя за ведущих поставщиков, чтобы нажиться на фермерах, стремящихся нарастить урожай и повысить его качество.
За последние несколько лет появились сайты, похожие по дизайну на сайты ключевых дистрибьюторов, включая EuroChem Group AG и ПАО "ФосАгро". По сниженным ценам аферисты предлагают удобрения, которые так и не поставляют. Они активизировались после того, как резкий рост посевов в России, в том числе пшеницы и сахарной свеклы, вызвал двукратное повышение спроса на удобрения с 2002 года.
За последние два сезона фермеры потеряли из-за мошенников несколько миллиардов рублей, сказал генеральный директор EuroChem Дмитрий Стрежнев. [...]
Бум на рынке сельхозхимикатов "подхлестнул и мошенников", говорит генеральный директор ФосАгро Андрей Гурьев, компания которого является крупнейшим в Европе производителем удобрений. [...]
Мошеннические сайты стали более частым явлением в 2015 году, сказал Стрежнев из EuroChem. Примерно на это время приходится начало бума на рынке сельхозпродукции в условиях запрета на импорт многих продовольственных товаров, введенного в ответ на европейские санкции в отношении РФ из-за событий на Украине. Правительство также начало увеличивать субсидии агропромышленному комплексу, а падение рубля до исторического минимума сделало российский экспорт более привлекательным для зарубежных покупателей.
Сайт подразделения EuroChem, которое занимается поставками и продажей удобрений в Краснодарском крае, в прошлом году "клонировали" как минимум трижды — с незначительно отличающимися от оригинального веб-адресами. Подразделение зафиксировало восемь случаев мошенничества со стороны фирм, действовавших от его имени, в 2016 году. В марте это повторилось, при этом о схожих эпизодах сообщали также ПАО "Акрон" и ФосАгро. — Врезка К.ру]

Полцарства за домен

Недавно мы обнаружили фейковый ресурс eurochem-novomoskovsk.com — мошенники скопировали сайт нашего клиента компании «Еврохим» и выдавали себя за ее сотрудников. Сайт-клон появился в феврале 2017 года и был зарегистрирован на частное лицо. Параллельно мы выяснили, что в декабре 2016 года в руках злоумышленников оказалось официальное доменное имя eurochem-novomoskovsk.ru, у которого закончился срок регистрации.

После блокировки этих ресурсов мы получили письмо от ведущего специалиста отдела продаж компании, которая просила опять «включить сайт». Вместе с «Еврохимом» мы проверили отправителя: такая сотрудница в компании действительно есть, но никаких писем в Group-IB она не отправляла.

Мошенники не только клонировали сайт компании, но и использовали специальную программу, которая подменяла адрес отправителя в электронной почте. В ходе расследования мы установили владельца доменов и выяснили, что на него были зарегистрированы еще несколько ресурсов, связанных с производителями удобрений, предприятий химической промышленности и ТЭК. И все они оказались фейками: amonni.ru, hcsds-azot.ru, rosagrotrayd.ru, titanomsk.ru, tender-rosneft.ru, kyazot.ru, tolyatiazot.ru, mendeleevscazot.ru

Практически все они были зарегистрированы в один день, 17 января 2017 года, на частное лицо. Некоторые сайты полностью копировали оригинальный ресурс компании — логотип, разделы, контент. Отличалось только доменное имя. Например, мошеннический ресурс: kyazot.ru

Compromat.Ru
Сайт-клон "Куйбышевазота"
Он представляет собой точную копию официального сайта «Куйбышевазота» kuazot.ru, отличаются только доменное имя (y вместо u) и контакты. На сайте у мошенников электронная почта сотрудников отдела сбыта отличается от реальных адресов. На обоих сайтах — реальном и фейковом — есть предупреждение об участившихся случаях обмана покупателей.

Или вот другой пример: у компании «Аммоний», производителя минеральных удобрений, официальный сайт — ammoni.ru, он появился еще 2009 году. Сайт мошенников, созданный в 2017 году, практически похож, разницу в одну букву заметить сложно: amonni.ru.

Compromat.Ru
Реальный сайт компании "Аммоний"
Compromat.Ru
Сайт-клон компании "Аммоний"
В марте 2017 года мошенники создали сайт tender-rosneft.ru, на котором выложена информация о тендерах, часть из которых, видимо, была взята с официального ресурса компании — ender.rosneft.ru. Вот только желающие поучаствовать в таком конкурсе, оказавшись на фейковом сайте, увидят контакты злоумышленников.

В чем смысл преступной схемы? Потенциальный клиент, посетив мошеннический сайт, связывается с фиктивным отделом продаж, и мошенники выставляют покупателю контракт с предоплатой. Понятно, что никакой товар клиенты не получают. Исследуя другой цифровой след, обнаруженный по данным зарегистрированного ресурса, мы нашли еще пять мошеннических сайтов: promhim24.ru, grokhimia.com, agrohs.ru, grohermes.ru, charcoal.net.ua

В компании «АгроГермес» (официальный ресурс — agrogermes.ru) подтвердили, что им известно о клоне — agrohermes.ru, компания обратилась в управление «К» МВД, и 7 апреля ресурс был заблокирован.

В ряде случаев мошеннический сайт не является точной копией официального ресурса компании. Вот официальный сайт компании «Самараагрохимия» — samaraagrohim.ru, которая специализируется на поставках минеральных удобрений. А вот мошеннический сайт — promhim24.ru. Между этими ресурсами существенные отличия и в самом названии компании, и в доменном имени, и в дизайне, но физический адрес компании совпадает: Самара, Галактионовская, 153-1.

Compromat.Ru
Официальный сайт
Compromat.Ru
Мошеннический сайт
Для привлечения посетителей мошенники используют инструменты интернет-маркетинга: контекстная реклама, реклама в соцсетях, SEO-оптимизация, спам-рассылка. На фейковых сайтах анонсируются распродажи, специальные предложения и скидки на продукцию.

Письма несчастья

Регистрация доменного имени-клона грозит компании еще одной опасностью — рассылкой мошеннических писем с фиктивного адреса, похожего на официальный e-mail компании.

Вот один из таких примеров. С электронного адреса злоумышленников были отправлены коммерческие предложения якобы от имени компании «Росагротрейд». В «Росагротрейд» подтвердили, что этот электронный адрес не принадлежит компании. Официальный сайт компании — ros-agro.ru, а мошеннические — rosagrotreid.ru или rosagrotrayd.ru. Когда мошенники регистрируют фейковое доменное имя, похожее на имя компании, — они получают в свое распоряжение и почтовый ящик с таким же доменным именем. С него и рассылается мошенническая почта.

Подобный вид мошенничества распространен во всем мире. В марте в Литве был арестован 48-летний Эвалдас Римасаускас (Evaldas Rimasauskas), которому удалось похитить у двух американских IT-компаний $100 млн. Римасаускас создал фиктивную фирму-клон азиатского производителя компьютерного оборудования. От имени представителя этой компании он, подделав электронные письма, бланки, связался с американскими клиентами этой компании и убедил заключить с ним контракты и перевести на счета его фирмы $100 млн. Деньги Римасаускас выводил через банки в шести разных странах, включая Латвию, Кипр, Словакию, Литву, Венгрию и Гонконг. Расследование ведет ФБР. По обвинению в мошенничестве, отмывании денег и хищении персональных данных Римасаускасу грозит 20 лет тюрьмы.

Подобная преступная схема называется «нигерийские письма». Этот вид мошенничества появился в Африке, причем еще до распространения интернета такие письма отправлялись по обычной почте. Мошенники, обещая солидную финансовую помощь, просили перевести деньги якобы на оформление сделок, уплату сборов, взятки чиновникам, и т. п.

Compromat.Ru
Жалоба одного из получателей "нигерийских писем"
Киберпреступники взяли этот прием на вооружение, и теперь «нигерийские письма» с зараженными ссылками или файлами отправляются не только на личную почту или в Facebook, но и в офисы международных компаний.

Сначала преступники при помощи фишинга получают доступ к электронной почте контрагента или партнера компании: создается, например, фальшивый сайт, имитирующий почтовый сервис, где ничего не подозревающий пользователь вводит свой логин и пароль, которые передаются злоумышленнику; теперь он может взять под контроль настоящий почтовый ящик жертвы и вести переписку от ее имени.

Второй этап — компании-плательщику с почтового ящика партнера присылают вполне реальные счета и «левые» реквизиты — и через цепочку банков деньги попадают в руки мошенников. Одна из российских металлургических компаний по просьбе своих азиатских партнеров перевела по указанным в письме реквизитам деньги на счета одного из европейских банков, и они затерялись где-то в африканских странах.

Иногда преступники действуют изобретательно. Не так давно от имени компании «Зарубежнефть» были размещены объявления о приеме на работу. Рассылка проводилась по электронной почте, причем не с официальных серверов компании, а с бесплатных почтовых сервисов. Кандидаты утверждались на должность не после очных собеседований, а в процессе переписки, а за оформление документов требовали оплату. Компания довольно быстро отреагировала на ситуацию.

Compromat.Ru
Официальный сайт компании "Зарубежнефть"
В июле 2016 года ФБР выпустило для компаний предупреждение об опасности «нигерийских писем». В нем говорилось, что подобные схемы труднее идентифицировать, потому что преступники используют настоящие требования оплаты, направленные поставщиками. В прошлом году Интерпол сообщил об аресте «Майка» — 40-летнего нигерийца, главы международной группы из 40 человек, которая обманывала предпринимателей из Австралии, Канады, Индии, США и других стран. Одна из жертв перевела мошенникам $15,4 млн.

Другие материалы раздела:
Паутина для доверчивых
📁 Фильтрация Компромaт.Ру +
📁 Дубик всеблокирующий =>
📁 Кремль атакует Рунет +
ГосНетКонтроль
Антикоррупционный "Посейдон"
📁 Охота на экстремизм в Сети +
📁 Ответственность за коммент. +
Ответственность за ссылку
Виртуальные бандиты
Вредоносы-вымогатели
Кибер-империя зла
Топ разыскиваемых ФБР хакеров
Про хакеров для "чайников"
Как отбиться от хакера
Классификатор "русских хакеров"
Особенности национального хака
Порно, спам и пиратская музыка
Экономика инет-мошенничества
Схема финансовой кибер-ОПГ
Рынок хакерского труда
"Черные списки" в Интернете
Основы информационной войны
📁 Сурковская сеть +
Спам-канализация "ЕдРа"
📁 DDoS-атаки в ПолитРунете +
Призма Володина
Полит- и бизнес-пиар в ЖЖ
"Черный пиар" в соцсетях
Потребители политинфы в ЖЖ
Тысячников поймали на заказухе
Рейтинг инфоцыган
Rexona опиарилась в блогах
📁 Тролли в Рунете +
Политические форумы Рунета
📁 Сайты власти +
📁 Доменная зона РФ +
Как регулируются домены в СНГ
Эл. почта без тайны связи
Твит-цензура на Универсиаде
Скупка доменов-однофамильцев
Давидович растерял домены
Суд запретил YouTube
Бараны vs "Умное голосование"
YouTube запрещен без суда
Атака на сайт президента РФ
📁 Угрозы Матвиенко =>
📁 Дело сайта "УфаГубЪ" +
📁 "Ковровский форум" +
Дело "Костромских Джедаев"
Обидно.Ру
Экстремизм на "Самиздате"
Экстремисты на форуме Ура.ру
Запрос IP за комменты на Ура.ру
Дело "Вятского наблюдателя"
Dead-Moros - клеветник
📁 Дело Терентьева (Коми) +
📁 Алкснис против ЖЖиста +
Приговор блогеру Кирилину
Компьютер блогера уничтожить
Условный срок за песню
Каганова лишили сайта
В Сети поймали русофоба
Из зоны .ru на зону
Тройка-сталь vs Мегасофта
Интернет как улика
Бизнес по Фрейду
Дрочеры напрокат
Рекламный фальш-трафик
Технология "порнонакрутки"
Порнотехнологии от BMW
Закрытая "статистика"
Весь Рунет делал "ЭТО"
Шантаж политиков
Министрам сделали и-нет
Власть качает фильмы и порно
В интернете разрешили порно
Порностудии "грабят" пиратов
Лужков о "пауках из интернета"
Москва отказывается от сайтов
Фашистский сайт антифашистов
Нацисты атакуют Интернет
Аморальная история
📁 Адагамов (drugoi) педофил +
Андреев и Badoo
Абдулнасыров и Lingualeo
Вербицкий и "дело о бороде"
📁 Белоусов vs Рябыко +
Блогер-уклонистка Блиновская
📁 Волож и Yandex.Ru +
📁 Ombudsment Воронцов +
📁 Гельман Марат =>
📁 Греков Ярослав (Моська) +
📁 Дуров и "ВКонтакте" +
Енцов и "Литмир"
Еремеев, FIX и "Банк 131"
Жуйков и группа TrickBot
📁 Карачинский Анатолий =>
Клименко и торренты Torrnado
📁 Олег Куваев и Масяня +
📁 Лебедев Артемий +
Лифшиц и Cyber-safety.ru
Лихтенштейн и взлом Bitfinex
Напольский и Z-Library
📁 Мамут и Афиша-Рамблер-SUP +
"Матерь бложья" Митрошина
Муромский и хакер-группа REvil
Можаев Дмитрий и "2Sun"
Интернет-омбудсмен Мариничев
📁 Носик Антон +
📁 Павловский Глеб =>
Попков и "Однокласники"
📁 Рыков Константин (Форис) +
📁 Огородникова взяли за взятку +
📁 Сачков (Group-IB) на госизмене +
Себрант Андрей
📁 Солдатов и Reliable Comm. +
Трухин и Zaycev.net
Валерия Чекалина (Лерчек)
📁 Чиракадзе и Право.ру +
Шабутдинов и "Like Центр"
📁 Шилов и AT Consulting +
Экслер Алекс
📁 Криминальные услуги Auto.Ru +
Схема с фейковыми сайтами
Сайт о Балаковской АЭС
Продажный рейтинг "Банкир. Ру"
Cyberplat торгует детским порно
📁 Газета.Ру +
Подтасовки от Газеты и Ленты
📁 Блокировка Ингушетия.Ру +
"Комстару" закон не писан
📁 Лента.Ру +
📁 "Макхост" +
📁 "Саспенды" в Livejournal.com +
Утечка базы Mamba.ru.
📁 Mail.Ru (Port.Ru).Три жизни +
📁 "Новый фокус" конфисковали +
СДЭК и мошенники
Черный пиар "Озоновой дыры"
📁 "РБК" +
Русские зомби-машины RBN
📁 RLE.Ru.Взлом конкурента +
РТКОММ vs .masterhost
📁 Ru-Center - киберсквотер +
Заразный сайт "Собеседника"
SpyLog.Двойные стандарты
📁 Пираты из ФЛБ +
📁 Трест "Рунет" +
Партии идут www
Партийная паутина
Мультики про это
Проститутки на putin2000.ru
Провайдерские войны
"Дело Плещука". RBS
"Дело Серебряного". DirecTV
📁 "Дело Левина". Ситибанк +
Убийство Сухомлина (Чечня.Ру)
Опустить конкурента на форумах
Рейтинг исков о защите дел. репут.
Смерть главного спамера
Взломы хакерских форумов
📁 Аникеев и "Шалтай-Болтай" +
Группа "Али Баба и 4"
📁 Богачев и GameOver Zeus +
Бойко и QQAAZZ
Бурков и Cardplanet
Ваулин и KickassTorrents
📁 Винник и BTC +
Потрошитель корп.счетов Глотов
📁 Игорь Гусев и Glavmed +
Дубников и EggChange
Золотарев, Лопатин и Carder.su
📁 Врублевский и Chronopay +
Капканов и сеть "Avalanche"
📁 Кислицын и хакер Никулин +
Китуашвили и Смотра.ру
📁 Козловский, Еремин и Lurk +
📁 Спамер-педофил Л.Куваев +
📁 "Троян" Никиты Кузьмина +
Кульков и Try2Check
📁 Левашов (Severa) и Kelihos +
📁 Легкодымов и биржа Bitzlato +
Марченко, Сабитов и DDos-Guard
📁 Медведев и группа Infraud +
Спамер Николаенко и Mega-D
"Троян" SpyEye Панина
Петуховский и Suex
Банковские боты Покорских
📁 Похититель карт Селезнев +
Семенов, Шторм и Tornado Cash
📁 Смилянец и похитители карт +
Кардер Строганов (Flint24)
Билетное ОПС Сумбаева
Синенко (Сутер) и Ashoo
Андрей Тюрин и Гери Шалон
📁 Фомченков и эл.платежи +
Хорохорин и CarderPlanet
Хакер Хэлл - Максимов
Шведов и Legalizer
Максим Якубец и Evil Corp.
📁 Якубец и Ковальский +
"Хакеры ГРУ" и NotPetya
📁 Союз хакеров и трейдеров +
Прибалтийские криптосхемы
📁 Сайт адюльтера AshleyMadison +
eBay и травля блогеров
Clearview на службе полиции
Файлообменник EX.ua
📁 Торрент-трекер Interfilm.ru +
📁 "Отмывочная" Liberty Reserve +
📁 Банда вымогателей LockBit +
Криминальный Megaupload.com
Сайт RusLeaks.com
Бэнкман-Фрид и FTX
Грег Блатт и Tinder
Инсайдеры из Coinbase
Анонимусы взломали Stratfor
Хирург-вымогатель Гонсалес
Штрафы за "обратную связь"
Алекс Джонс и InfoWars.com
Любарские и Radaris
Дмитрий Шелест и Onerep.com
Озер и криптобиржа Thodex
Сутенер Энди Рубин
📁 Тим Кук и Apple +
📁 Продажная Wikipedia +
Фемида судит по "Википедии"
📁 Компромат-сайт Wikileaks.org +
📁 Sony хакнули за Ким Чен Ына +
📁 Майер и Yahoo +
Утечка из Yves Rocher
Liberation:задержан за коммент
ЕСПЧ наказал СМИ за комменты
📁 "Право быть забытым" +
Хостеры пиратам не подельники
📁 Интернет и "большой брат" +
Кто за кем следит
📁 Санчес, Прадос и Eliminalia +
Shodan: охота за устройствами
📁 Трэвис Каланик и Uber +
Тиджей Флетчер и iSpoof
📁 Цукерберг и Facebook +
Секс-шалости "звезд". Фото
Чанпэн Чжао и Binance
"Hackerazzi" дали 10 лет
Рынок взломанных аккаунтов
Рынок копий паспортов
Рынок "цифровых личностей"
Утечка данных избирателей США
Записная книжка Пэрис Хилтон
📁 Яндекс нашел блядей в СПС =>
📁 Дело Kavkaz.org живет =>
Сеть из 70 тыс. педофилов
📁 "Пират Робертс" и Silk Road +
"Покерная пирамида" Full Tilt
PokerStars подмазывал РКН
Эпплбаум и Tor Project
Торговля ботами в США
Реклама хакеров на госсайтах
Слив менструаций и оргазмов
Twitter подсматривает за членами
Интернет-табу для школьников
Порно-облава на 136 сайтов
Коноплю выкуривают из паблика
Наркорынок в русском даркнете
"Гидре" отрубили серверы
Рынок труда даркнета
Фальшивомонетчики в даркнете
Криптообманники
Yota стала цензором
Разгрузка инвесторов в Telegram
Блокировка записи о блокировке
Блокировка офшорных доменов
Блокировка приложений
📁 Блокировка анонимайзеров +
Блокировка за колбасу
Блокировка пустоты
Блокировка сайтов о топорах

Знаком '+' отмечены подразделы,
а '=>' - ссылки между разделами.


Compromat.Ru ® — зарегистрированный товарный знак. Св. №319929. 18+. info@compromat.ru