RUCOMPROMAT

Энциклопедия библиотеки компромата

  • Категории
    • Чиновники
    • Власть
    • Интернет
    • Бизнес
    • Общество
    • Криминал
    • Обзоры
  • Лица
  • Организации
  • Места
  • Архив
  • Категории
    • Чиновники
    • Власть
    • Интернет
    • Бизнес
    • Общество
    • Криминал
    • Обзоры
  • Лица
  • Организации
  • Места
  • Архив

Атака клонов

Интернет
Как работают схемы с фейковыми сайтами «Роснефти» и других крупных компаний.
18.04.2017
Оригинал этого материала
Forbes
Злоумышленники создают копии сайтов российских корпораций, чтобы заключать контракты от их имени. Средний ущерб от такой атаки — от 1,5 млн рублей

На сайте производителя минеральных удобрений «Менделеевсказот» появилась тревожная надпись: «Осторожно мошенники!». Посетителей предупреждают о случаях обмана: неизвестные представляются сотрудниками подразделений компаний «Аммоний» или «Менделеевсказот» и предлагают удобрения по низким ценам — якобы так с ними расплатились деловые партнеры за долги. Мошенники могут звонить с несуществующих телефонных номеров компании, представляться псевдодилерами или использовать сайты-клоны — полную копию официального сайта реальной компании, говорится в сообщении.

Вся штука в том, что ресурс, на котором размещено это грозное предупреждение, сам является фейком. mendeleevscazot.ru — сайт-клон, а официальный сайт выглядит так: mendeleevskazot.ru. Разница в одну букву, но невнимательность может обернуться для посетителей-клиентов финансовыми потерями.

Сейчас Group-IB наблюдает очередную масштабную атаку на ведущие российские бренды — производителей минеральных удобрений. Мошенники активизировались перед началом посевной, отмечают отраслевые эксперты. Резкий рост посевов в России, в том числе пшеницы и сахарной свеклы, вызвал двукратное повышение спроса на удобрения с 2002 года. По оценке генерального директора «Еврохима» Дмитрия Стрежнева, только за последние два сезона фермеры из-за мошенников потеряли несколько миллиардов рублей.

Полцарства за домен

Недавно мы обнаружили фейковый ресурс eurochem-novomoskovsk.com — мошенники скопировали сайт нашего клиента компании «Еврохим» и выдавали себя за ее сотрудников. Сайт-клон появился в феврале 2017 года и был зарегистрирован на частное лицо. Параллельно мы выяснили, что в декабре 2016 года в руках злоумышленников оказалось официальное доменное имя eurochem-novomoskovsk.ru, у которого закончился срок регистрации.

После блокировки этих ресурсов мы получили письмо от ведущего специалиста отдела продаж компании, которая просила опять «включить сайт». Вместе с «Еврохимом» мы проверили отправителя: такая сотрудница в компании действительно есть, но никаких писем в Group-IB она не отправляла.

Мошенники не только клонировали сайт компании, но и использовали специальную программу, которая подменяла адрес отправителя в электронной почте. В ходе расследования мы установили владельца доменов и выяснили, что на него были зарегистрированы еще несколько ресурсов, связанных с производителями удобрений, предприятий химической промышленности и ТЭК. И все они оказались фейками: amonni.ru, hcsds-azot.ru, rosagrotrayd.ru, titanomsk.ru, tender-rosneft.ru, kyazot.ru, tolyatiazot.ru, mendeleevscazot.ru

Практически все они были зарегистрированы в один день, 17 января 2017 года, на частное лицо. Некоторые сайты полностью копировали оригинальный ресурс компании — логотип, разделы, контент. Отличалось только доменное имя. Например, мошеннический ресурс: kyazot.ru

Он представляет собой точную копию официального сайта «Куйбышевазота» kuazot.ru, отличаются только доменное имя (y вместо u) и контакты. На сайте у мошенников электронная почта сотрудников отдела сбыта отличается от реальных адресов. На обоих сайтах — реальном и фейковом — есть предупреждение об участившихся случаях обмана покупателей.

Или вот другой пример: у компании «Аммоний», производителя минеральных удобрений, официальный сайт — ammoni.ru, он появился еще 2009 году. Сайт мошенников, созданный в 2017 году, практически похож, разницу в одну букву заметить сложно: amonni.ru.

В марте 2017 года мошенники создали сайт tender-rosneft.ru, на котором выложена информация о тендерах, часть из которых, видимо, была взята с официального ресурса компании — ender.rosneft.ru. Вот только желающие поучаствовать в таком конкурсе, оказавшись на фейковом сайте, увидят контакты злоумышленников.

В чем смысл преступной схемы? Потенциальный клиент, посетив мошеннический сайт, связывается с фиктивным отделом продаж, и мошенники выставляют покупателю контракт с предоплатой. Понятно, что никакой товар клиенты не получают. Исследуя другой цифровой след, обнаруженный по данным зарегистрированного ресурса, мы нашли еще пять мошеннических сайтов: promhim24.ru, grokhimia.com, agrohs.ru, grohermes.ru, charcoal.net.ua

В компании «АгроГермес» (официальный ресурс — agrogermes.ru) подтвердили, что им известно о клоне — agrohermes.ru, компания обратилась в управление «К» МВД, и 7 апреля ресурс был заблокирован.

В ряде случаев мошеннический сайт не является точной копией официального ресурса компании. Вот официальный сайт компании «Самараагрохимия» — samaraagrohim.ru, которая специализируется на поставках минеральных удобрений. А вот мошеннический сайт — promhim24.ru. Между этими ресурсами существенные отличия и в самом названии компании, и в доменном имени, и в дизайне, но физический адрес компании совпадает: Самара, Галактионовская, 153-1.

Для привлечения посетителей мошенники используют инструменты интернет-маркетинга: контекстная реклама, реклама в соцсетях, SEO-оптимизация, спам-рассылка. На фейковых сайтах анонсируются распродажи, специальные предложения и скидки на продукцию.

Письма несчастья

Регистрация доменного имени-клона грозит компании еще одной опасностью — рассылкой мошеннических писем с фиктивного адреса, похожего на официальный e-mail компании.

Вот один из таких примеров. С электронного адреса злоумышленников были отправлены коммерческие предложения якобы от имени компании «Росагротрейд». В «Росагротрейд» подтвердили, что этот электронный адрес не принадлежит компании. Официальный сайт компании — ros-agro.ru, а мошеннические — rosagrotreid.ru или rosagrotrayd.ru. Когда мошенники регистрируют фейковое доменное имя, похожее на имя компании, — они получают в свое распоряжение и почтовый ящик с таким же доменным именем. С него и рассылается мошенническая почта.

Подобный вид мошенничества распространен во всем мире. В марте в Литве был арестован 48-летний Эвалдас Римасаускас (Evaldas Rimasauskas), которому удалось похитить у двух американских IT-компаний $100 млн. Римасаускас создал фиктивную фирму-клон азиатского производителя компьютерного оборудования. От имени представителя этой компании он, подделав электронные письма, бланки, связался с американскими клиентами этой компании и убедил заключить с ним контракты и перевести на счета его фирмы $100 млн. Деньги Римасаускас выводил через банки в шести разных странах, включая Латвию, Кипр, Словакию, Литву, Венгрию и Гонконг. Расследование ведет ФБР. По обвинению в мошенничестве, отмывании денег и хищении персональных данных Римасаускасу грозит 20 лет тюрьмы.

Подобная преступная схема называется «нигерийские письма». Этот вид мошенничества появился в Африке, причем еще до распространения интернета такие письма отправлялись по обычной почте. Мошенники, обещая солидную финансовую помощь, просили перевести деньги якобы на оформление сделок, уплату сборов, взятки чиновникам, и т. п.

Киберпреступники взяли этот прием на вооружение, и теперь «нигерийские письма» с зараженными ссылками или файлами отправляются не только на личную почту или в Facebook, но и в офисы международных компаний.

Сначала преступники при помощи фишинга получают доступ к электронной почте контрагента или партнера компании: создается, например, фальшивый сайт, имитирующий почтовый сервис, где ничего не подозревающий пользователь вводит свой логин и пароль, которые передаются злоумышленнику; теперь он может взять под контроль настоящий почтовый ящик жертвы и вести переписку от ее имени.

Второй этап — компании-плательщику с почтового ящика партнера присылают вполне реальные счета и «левые» реквизиты — и через цепочку банков деньги попадают в руки мошенников. Одна из российских металлургических компаний по просьбе своих азиатских партнеров перевела по указанным в письме реквизитам деньги на счета одного из европейских банков, и они затерялись где-то в африканских странах.

Иногда преступники действуют изобретательно. Не так давно от имени компании «Зарубежнефть» были размещены объявления о приеме на работу. Рассылка проводилась по электронной почте, причем не с официальных серверов компании, а с бесплатных почтовых сервисов. Кандидаты утверждались на должность не после очных собеседований, а в процессе переписки, а за оформление документов требовали оплату. Компания довольно быстро отреагировала на ситуацию.

В июле 2016 года ФБР выпустило для компаний предупреждение об опасности «нигерийских писем». В нем говорилось, что подобные схемы труднее идентифицировать, потому что преступники используют настоящие требования оплаты, направленные поставщиками. В прошлом году Интерпол сообщил об аресте «Майка» — 40-летнего нигерийца, главы международной группы из 40 человек, которая обманывала предпринимателей из Австралии, Канады, Индии, США и других стран. Одна из жертв перевела мошенникам $15,4 млн.
Предыдущая статья
Следующая статья
---
ЕвроХим Менделеевсказот Самараагрохимия Росагротрейд Россия
15.02.2026
Хищения в "Калашникове" остались за решеткой
Арестованная в прошлом году за хищения топ-менеджер оборонного концерна Ксения Гращенкова оставлена "на подумать" в СИЗО.
13.02.2026
Владимира Путина вывели из карантина
Российскому диктатору отменили короновирусные ограничения спустя почти три года после официального завершения пандемии COVID-19.
13.02.2026
Александр Галицкий отмывает свою скандальную репутацию
Одиозный российский миллиардер прилагает огромные усилия, чтобы не попасть под западные санкции как один из организаторов войны против Украины и затушить скандал с доведением его бывшей жены до самоубийства.
12.02.2026
Бизнес-империя Алексея Панфилова уходит за долги
Ряд торговых центров криминального бизнесмена и банкстера отходит кредиторам.
12.02.2026
Топ-менеджмент Fesco погорел на растрате
В лапы карательных органов попали вице-президент транспортной группы Борис Иванов и ее бывший председатель совета директоров Андрей Северилов, а бывшему акционеру Михаилу Рабиновичу удалось скрыться.
12.02.2026
Коррупционеру не удалось скрыться во льдах Росатома
Бывший глава департамента Минпромторга Борис Кабаков был взят за жабры следствием на новом месте работы в дирекции Севморпути атомной корпорации.
11.02.2026
Рифату Шайхутдинову прокуратура включила сирену
Скользкому владельцу ГК "Сирена-Трэвел" и одновременно депутату Госдумы запретили покидать РФ и наложили арест на его недвижимость.
11.02.2026
Тимура Иванова поманили неказенным домом
Суд вернул проворовавшемуся бывшему замминистра обороны дом на Рублёвке за миллиард рублей.
11.02.2026
Александр Галицкий довел бывшую жену до самоубийства
Криминальный российско-израильский миллиардер заплатил оборотням в погонах за то, чтобы они упекли ее в СИЗО, где они и погибла.
10.02.2026
Сергей Кириенко подпилил Телеграм
Одиозный замглавы администрации президента РФ сколотил влиятельное лобби по уничтожению неподконтрольных ему социальных сетей и мессенджеров.
10.02.2026
Подручный Игоря Сечина подрабатывал вымогательством
Заместитель директора департамента информации и рекламы «Роснефти» Александр Терентьев разводил вице-губернатора Московской области Евгения Хромушина на деньги.
10.02.2026
Евгений Юрченко погрузился в хозяйство Андрея Костина
Бывший гендиректор Связьинвеста и ЮГМК увеличил свой пакет акций во втором по величине банке РФ в интересах неизвестных лиц.
10.02.2026
Изнасилование преследует Юрия Напсо
Следственный комитет возобновил уголовное преследование криминального экс-депутата Госдумы.
09.02.2026
Депутатов Госдумы лишат материальных излишков
Генпрокуратура Александра Гуцана разглядела в депутатах Госдумы организованное преступное сообщество.
08.02.2026
Александр Галицкий спрятал свою тайну на том свете
Скандальный бракоразводный процесс криминального российского олигарха и его бывшей жены, угрожавшей опубликовать компромат на него, закончился трагической гибелью последней в СИЗО в Московской области.
08.02.2026
Вера Новосельская променяла СВО на УДО
Коррумпированная экс-министр культуры Крыма намерена избавиться от тюремного срока.
07.02.2026
Leonardo передадут в руки Ротенбергов
Генрокуратура заявила о необходимости национализировать билетную систему Leonardo. Ее новыми владельцами станет криминальный клан олигархов Ротенбергов.
06.02.2026
Павла Кощеева отправили чахнуть в СИЗО
Коррумпированного вице-губернатора Камчатского края взяли за прегрешения в Курганской области.
06.02.2026
Генералов по осени считают
Главного военного разведчика Минобороны РФ генерала Владимира Алексеева расстреляли у его дома.
06.02.2026
Михаил Метелкин засветился прямо на работе
Топ-менеджер дочерней компании "Росатома" взятками помогал решить кризис неплатежей.
О проекте (контакты) | Лица | Места | Организации


RuCompromat.Com ® 16+