Мошенники начали использовать поддельные сайты с предупреждениями об угрозе атак беспилотников, чтобы вызвать у пользователей панику. Главная цель схемы — заставить человека позвонить злоумышленникам и вовлечь его в дальнейший сценарий обмана.
F6 зафиксировала появление новой мошеннической схемы, построенной на механике обратного звонка. В этот раз злоумышленники используют поддельные сайты, оформленные как сервисы экстренного оповещения об угрозе атак дронов. Цель таких ресурсов — вызвать у пользователей тревогу и заставить их самостоятельно связаться с мошенниками.
22 июня специалисты F6 обнаружили первый такой сайт — спустя несколько часов после его регистрации. Ресурс выдавал себя за систему информирования населения об угрозе применения беспилотников под названием «Радар РФ». В течение следующих нескольких дней злоумышленники зарегистрировали еще несколько похожих доменов, в названиях которых в различных вариациях использовалось слово radar. Так, 22 июня был создан домен radarf[.]ru, 23 июня — radarrf[.]ru, 24 июня — radarvrf[.]ru, а 25 июня появились radarzv[.]ru и radarzov[.]ru.
В действительности никаких официальных сервисов с таким названием и заявленным функционалом не существует. При этом оформление мошеннических сайтов, включая цветовую гамму и само название, визуально напоминает проект общественного движения, связанный с мобильным приложением, предназначенным для передачи информации о замеченных БПЛА.
Дизайн фальшивых ресурсов построен таким образом, чтобы с первых секунд вызвать у посетителя чувство опасности и заставить его действовать под влиянием эмоций. Главная страница оформлена в красных цветах, насыщена предупреждающими символами и многочисленными упоминаниями слов «угроза» и «опасность». Пользователь сразу видит крупную надпись «Воздушная тревога», размещенную на красном фоне, затем призыв немедленно проследовать в ближайшее укрытие и оставаться там до сигнала отбоя, а также инструкции о действиях при угрозе атаки беспилотников.
Для неподготовленного человека такой интерфейс может показаться правдоподобным, и именно на такую реакцию рассчитывают злоумышленники. Их задача заключается в том, чтобы пользователь не успел критически оценить увиденное и как можно быстрее нажал на размещенные на странице кнопки «Адреса укрытий» или «Уведомления», рассчитывая получить необходимую информацию.
Внимательное изучение сайта позволяет обнаружить признаки, указывающие на его сомнительное происхождение. На ресурсе отсутствуют какие-либо сведения о разработчиках или госоргане, который якобы отвечает за работу сервиса. Кроме того, часть текста выполнена на английском языке и содержит ошибки. Например, рядом с фразой «WHAT DOING RIGHT NOW» размещена инструкция на русском языке, предлагающая взять с собой документы, «telephone», воду и необходимые лекарства.
На сайтах, зарегистрированных позднее, оформление было несколько изменено. Вместо названия «Радар РФ» появилась надпись «Ваша тревога», а из двух кнопок осталась только одна — «Подключить оповещения». Пользователю предлагается воспользоваться ею под предлогом получения оперативной информации о ситуации в регионе, доступа к интерактивной карте укрытий и настройки мгновенных уведомлений.
По оценке аналитиков F6, ссылки на подобные поддельные ресурсы могут распространяться через сеть Telegram-каналов, а также посредством сообщений в тематических, районных и домовых чатах или через комментарии, размещенные под публикациями в легитимных каналах и сообществах.
Жертва должна нажать на размещенную кнопку и попасть на следующую страницу, где ей предлагают ввести некий шестизначный код подтверждения. Причем не нужен даже телефон. Спустя несколько секунд после перехода сайт самостоятельно отображает комбинацию из шести цифр в окне с надписью «Системное оповещение. Ваш проверочный код». Эти же цифры одновременно появляются в расположенном ниже поле «Код из SMS», хотя никаких сообщений пользователю фактически не отправляется. Таким образом посетителя последовательно подталкивают к тому, чтобы он самостоятельно ввел предложенную комбинацию в соответствующее поле. ЦБ РФ разрабатывает правила для стейблкоинов в России Наслаждаемся летом с Технопарком GPT-5.6 для избранных и DSpark для продакшена
Именно этот этап является ключевым в первой стадии мошеннической схемы. После ввода предложенного кода и нажатия кнопки «Подтвердить доступ» пользователь видит логотип госсервиса и анимацию, имитирующую синхронизацию с ведомственными базами данных. На экране последовательно появляются сообщения о входе в систему госсервиса, запросе данных СНИЛС, получении сведений об ИНН и выгрузке персональных данных.
Естественно, никакого взаимодействия с ГИС не происходит. Цель сценария — убедить пользователя, что его личный кабинет государственного сервиса якобы был взломан. После демонстрации имитации загрузки данных на экране появляется поддельное уведомление о том, что в аккаунте якобы зафиксирован несанкционированный вход. Во всех подобных сообщениях изменяется только время регистрации сессии, тогда как информация об устройстве и геолокации остается неизменной — в качестве места входа указывается Новосибирск.
Далее пользователю предлагают воспользоваться кнопкой «Связаться с дежурным оператором». После нажатия открывается окно с предложением выбрать выделенную линию поддержки, где указаны два мобильных номера телефона. При этом на разных мошеннических сайтах используются различные номера.
Таким образом злоумышленники добиваются того, что пользователь, не получая ни одного личного звонка, самостоятельно приходит к выводу о необходимости срочно связаться со службой поддержки и сам инициирует телефонный разговор.
После звонка по указанному номеру отвечает оператор мошеннического кол-центра. В дальнейшем преступники могут использовать различные сценарии. Среди них — ложные обвинения в финансировании террористических организаций или ВСУ, требования срочно «задекларировать» или «спасти» денежные средства и ценности, а также обращения от имени фиктивных сотрудников спецслужб, которые могут склонять человека к совершению диверсий или других противоправных действий.
Источник: www.it-world.ru