Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

«Активный гражданин»

Специалисты по информационной безопасности обнаружили новую мошенническую сеть из двух десятков сайтов, имитирующих государственные онлайн-сервисы и промо-сайты популярных веб-браузеров. Злоумышленники копировали бренд, логотипы и фирменные цвета браузеров

и с помощью специального скрипта, который проверял тип браузера пользователя и, исходя из полученной информации, автоматически подгружал нужный контент, генерировали персональное «свидетельство об обновлении браузера» с реальным IP-адресом пользователя и данными его операционной системы.

К примеру, если у пользователя был установлен Google Chrome, то весь контент был «заточен» именно под него. По одному из сценариев посетителю сайта сообщалось, что после «автоматического обновления» Google Chrome до версии 66, ему причитается выигрыш $2195. Для получения «приза» было необходимо конвертировать доллары в рубли и оплатить «комиссию» 162 руб. Деньги предлагалось заплатить через платформу e-pay, ранее неоднократно замеченную в сомнительных схемах.

Анализируя информацию об этом ресурсе, эксперты выяснили, что он был зарегистрирован в апреле 2018 г., и с ним связаны еще 9 идентичных сайтов (browserupd[.]space, successupdate[.]space, successbrowser[.]space и так далее). Параллельно схеме с браузером мошенники запустили ее вариацию, имитирующую работу государственных онлайн-сервисов.

Одним из самых популярных ресурсов мошеннической сети стала фальшивая интернет-платформа «Активный гражданин»: злоумышленники создали 6 идентичных сайтов программы «Развитие регионов», на которых посетителям обещали выплатить от 65 тысяч рублей за ответы на интерактивный опрос о необходимости реформирования ЖКХ, сферы образования и здравоохранения.

Мошенническая схема была нацелена на конкретного пользователя: программа по IP-адресу определяла местонахождение посетителя сайта, в зависимости от чего менялся контент и оформление ресурса. К примеру, для жителей столицы в шапке опроса упоминается Москва и Московская область, а для жителей Винницкой области сайт стилизован под цвета украинского флага.

После ответа на вопросы пользователям для получения вознаграждения предлагалось активировать аккаунт: «Активация аккаунта и его разблокировка в системе «Активный гражданин» во время проведения опроса является платной и составляет 170 рублей». Чтобы еще больше запутать пользователей, мошенники ссылались на некий «Регламент проведения дистанционного опроса граждан» № 203 от 17 января 2018 г. Оплату предлагали провести через несуществующий банк Евразийского экономического союза, но фактически перевод денег осуществлялся через ту же платформу e-pay, которая была задействована в схеме с браузерами. Оплатив активацию своего аккаунта «активный гражданин» не получал свой выигрыш — мошенники раскручивали его на новые и новые расходы.

Несмотря на незначительный период работы фальшивых сайтов - не более  двух месяцев – впечатляет масштаб, с которым действовали злоумышленники: у них были «заготовки» со стилистикой и контентом для различных регионов России, Украины, Белоруссии и Казахстана. Распространение ссылок на мошеннические сайты происходило через спам-рассылку и рекламу: в среднем каждый из сайтов ежемесячно посещали от 4,5 до 35 тысяч человек.

Анализ деятельности мошенников показал, что опасной тенденцией последних лет является постоянно растущий уровень подготовки мошеннических схем, начиная от внешних характеристик – дизайна сайтов, оформления интерактивных элементов, таких как фальшивые форумы, окна опросов, и заканчивая технологической инфраструктурой: как только блокируется один ресурс, на его месте появляется новый, как только одна схема исчерпала себя и не приносит желаемого дохода – меняется «упаковка» и запускается новая «акция». Особенностью схемы с браузерами и государственными сайтами является профессиональная проработка всех звеньев цепи: от правдоподобного контента, сети взаимосвязанных мошеннических ресурсов до системы выманивания денег. Очевидно, это и позволило мошенникам за столь незначительное время обеспечить обширный охват, составляющий свыше 300 тысяч посетителей. Лекарство простое - чтобы не стать жертвой подобных мошеннических акций, никогда не верьте обещаниям крупных выигрышей при условии перевода небольшой суммы, не поддавайтесь на провокации и не переводите деньги (они вам еще пригодятся). Не доверяйте подозрительным сайтам, предлагающим легкие способы обогащения, данные своих банковских карт, логины и пароли.