Новости

Коронный удар

В последний год-полтора в сети активизировались мошенники, предлагающие различного рода социальные выплаты. Вариантов реализации схемы довольно много, в коллекции нашего Telegram-канала имеются десятки подобных сайтов. Так что неудивительно, что теперь мошенники решили извлечь выгоду из коронавируса.
undefined
Доменные имена gosuslugi-covid19.online и gosuslugi-covid19.ru были зарегистрированы 20 апреля. На момент обнаружения домены использовались для переадресации пользователя на сайт http://inflorbigni.tk/ru/korona/index.php?subid=690-1592-202004231209348121aa4, однако, спустя несколько часов редирект поменялся на http://foodsdeteatno.tk/ru/korona/index.php?subid=690-1592-20200423154915dcb3b64. Хостится ресурс уже привычно за CloudFlare и использует незащищенное http-соединение.
Домены в зоне .tk (Токелау) являются бесплатными, однако, по факту принадлежат регистратору – компании BD Dot TK. Они не имеют вменяемых Whois-данных – отсутствует даже информация о дате и сроке регистрации домена что порождает немало проблем при попытке что-то по ним раскопать. Впрочем, обращение к истории whois-данных позволило понять, что первая запись о нем появилась 19 февраля 2020 года.
Анализ ссылки дает предположить, что данный хостинг может быть использован для размещения целого ряда разноплановых мошеннических ресурсов.
Вернемся к сайту.
undefined
Техническое исполнение ресурса на высоте. На нем есть даже чат, который усиленно создает видимость работы.
undefined
Впрочем, схема с чатом не нова, она была обкатана еще на сайтах несуществующего «Российского лото».
undefined
Особенно трогательным видится адрес: Профсоюзная улица, 74, офис 12. Дело в том, что по этому адресу располагается ФГБУ «Транспортный комбинат Россия Управления делами президента Российской Федерации», говоря простым языком – гараж Администрации Президента.

А вот адрес электронной почты abuse.supp0rt.mail@gmail.com давно и активно используется мошенниками. По запросу в поисковиках выскакивает огромное количество сайтов и отзывов пользователей.
Для получения компенсации требуется ввести ФИО и дату рождения.
undefined
Сайт покажет анимацию, имитирующую бурную деятельность, а потом выдаст очередную форму для заполнения.
undefined
Это уже интересно. Данная форма является нетипичной для подобных ресурсов. Обычно от жертвы требуют минимум информации, стараясь как можно быстрее привести человека к финальной стадии развода. Здесь же необходимо указать адрес, email и сведения о доходе за последний месяц. В совокупности эти данные могут представлять немалую ценность для злоумышленников.
undefined
Далее жертве выводится постановление о выплате денежных средств из бюджета. И это не просто какая-то картинка. Сайт генерирует полноценный PDF-файл, который можно невозбранно скачать. Такого мы тоже пока не встречали. А вот следующий этап – диалог с оператором/юристом уже всплывал на других сайтах.
undefined
Например, в мошеннической схеме «Возврат лото».
undefined
Ну а дальше все стандартно. Пользователь попадает на платежный шлюз на сайте erexrove.tk, где ему предлагается ввести данные карты и оплатить 365 рублей. Для осуществления платежей используется платформа Stripe.
undefined

Любопытно, что если поиграть с последней цифрой в ссылке на оплату, можно получить доступ к другим платежным формам. Например, такой.
undefined
Или вот такой.
undefined
Впрочем, это не редкость. Как правило подобный платежный шлюз обслуживает сразу несколько мошеннических сайтов.
На примере рассматриваемого сайта мы видим, что мошенники быстро адаптируют привычные схемы к новым условиям и быстро совершенствуют их. Сайт отличается высоким качеством исполнения и предназначен не только для хищения денежных средств, но и для сбора массива персональных данных, которые могут в дальнейшем быть использованы для атак с использованием социальной инженерии.
Наша аналитика
Made on
Tilda