«Щедрые» фейки Газпрома: как мошенники «продают газ»

В сети новый виток мошенничества на национальном достоянии — «Газпроме», точнее, «инвестициях» в компанию. Сценарий известный, но есть среди граждан те, кто попадается на предложение «продавать газ». Вчера комментировали эту тему для «Коммерсанта». Решили поделиться находками, которые встретились в ходе изучения вопроса.

Среди них – двойник РБК.

Чтобы оценить масштабы явления, помогает взглянуть на число новых зарегистрированных сайтов по теме. По нашим наблюдениям, за квартал только в зоне .ru зарегистрировано не меньше 300 доменов со словами gaz, в том числе в сочетании со словом invest. Большинство так и не выходят «на рынок» и регистрируются на всякий случай. Но в Яндексе есть не меньше 2 страниц поисковой выдачи (не меньше 20) действующих сайтов с абсолютно идентичными предложениями инвестировать в продажу газа (https://gazprominvest24.ru/?preland, https://gazplatfrom.com/). Мошенники предлагают оставить на сайте контакт, чтобы скинуть предложение.

Интерес мошенников к теме заработка на газе может быть вызван тем, что «Газпром» сейчас очень привлекателен для инвестеров. Цены на газ и акции компании растут и бьют рекорды на фоне дефицита сырья в Европе и постпандемийного восстановления спроса. Кроме этого, для начала активных действий мошенники любят использовать инфоповоды, а СМИ активно освещают предстоящий запуск «Северного потока 2».

Мошенничество под инфоповоды уже мало кого удивит, однако в этот раз киберпреступники подготовились основательно: только по рекламе в «гугле» выдается на меньше 5 рекламных объявлений, есть ролик на YouTube, который размещен в том числе и на добротно сколоченных одностраничниках для регистраций.

В том числе по рекламе была доступна (и после публикации в «Коммерсанте» тоже) подделка под РБК со статьей об истории успешного инвестирования. Чтение её, а также «комментариев» под текстом может доставить удовольствие – от слога и используемых аргументов. Если конечно не забывать, что все это словесное разноцветие может возыметь реальное действие на впечатлительных людей. Кнопка CTA в статье ведет на другой одностраничник, который доступен с переменным успехом. Там всё то же предложение супердоходных инвестиций.

Мы специалисты по ИБ, но не по веб-продвижению, поэтому не будем додумывать за профессионалов (может быть кто-то профессионально расскажет в комментариях, как это устроено): мошенники защищают свои детища, например, иногда вместо этого сайта «РБК» прогружается рекламный одностраничник или просто форма регистрации.

Цифра в 30% может натолкнуть на воспоминания о почивших финансовых пирамидах, которые тоже обещали именно такую доходность. Но тут, конечно, все более топорно, потому что злоумышленники заботами о том, чтобы придать какой-то легитимный вид своей организации себя не обременяют. На сайтах (например, на сайте «компании» «ГАЗ актив») нет никаких контактов для самостоятельной обратной связи, из-за чего нельзя проверить почту или телефон на наличие отзывов в интернете. Мошенники ссылаются на мифический законопроект. Имя «руководителя» и название «компании» могут впечатлить, но такой в реальности не существует. А самое главное – если немного покопаться в деталях, и найти информацию о «руководителе национального проекта «ГАЗ актив» Викторе Зубкове, можно понять, что подобную организацию в его биографии, конечно, не найти.

А вот ещё один фейковый ресурс с «инвестициями в «Газпром» выглядит уже не так красиво, проработан хуже (см. скриншот ниже). На сайте также присутствует видео, но в нем проще распознать подделку, например, по несуществующей лицензии. Доменная зона тоже нетипичная для крупных госкомпаний (.spase).

Вот ещё несколько интересных находок, где может располагаться последний ресурс с формой регистрации может располагаться также по этим ссылкам: https://www.gassprom.ru/?gclid=Cj0KCQjw-NaJBhDsARIsAAja6dM0a782VVnSduzOsNlTty57-JO2JbfnY_wgHovLUB0gJhJsA0Vl0_gaAgGiEALw_wcB, https://gasactive.ru/?gclid=Cj0KCQjw-NaJBhDsARIsAAja6dPzWPp1tyxf22eF3sBf21m76qdmCDNgIohO-jNQpa9wNJMnlsnZ3y8aAnCkEALw_wcB, https://tracker.spt.in.ua/click.php?key=xgfdah02mvi99cnsrhl6&gclid=%7Bgclid%7D&placement=%7Bplacement%7D&adposition=%7Badposition%7D&campid=%7Bcampaignid%7D&device=%7Bdevice%7D&devicemodel=%7Bdevicemodel%7D&creative=%7Bcreative%7D&adid=%7Badid%7D&target=%7Btargetid%7D&keyword=%7Bkeyword%7D&matchtype=%7Bmatchtype%7D (ссылки не сокращаем, чтобы вы видели, как это всё выглядит в адресной строке).

И бонусом – ещё один фейковый сайт с новым дизайном (скриншот ниже). У которого не до конца дописан адрес (без номера дома и офиса). В контактах значится фейковая почта (info@advertclick.info). «Газпром» же ведёт переписку с электронных адресов, имеющих домен @adm.gazprom.ru).

Если постараться, можно найти ещё больше подобных ресурсов. Вот, например, список, который ведет сама компания Газпром. Увидите, он огромный: https://www.gazprom-neft.ru/company/contacts/feedback/warning/

Поэтому, будьте бдительны, а лучше – жалуйтесь и блокируйте такие сайты, чтобы менее продвинутые пользователи не попались в лапы мошенникам. Например, Google это можно сделать здесь, а в Яндексе по этой ссылке.

Смотрите на название домена. Мошенники под видом «Газпрома» могут использовать как подходящие доменные имена (gasactive.ru), так и совсем не связанные с инвестициями (advertclick.info). Во втором случае проблем не возникнет, но в первом есть свои нюансы. Мошенники часто используют тайпсквоттинг – похожее написание бренда, в котором вместо буквы может использоваться цифра, опечатки, другая доменная зона. Например, www.gassprom.ru вместо настоящего домена www.gazprom.ru. Проверить доменное имя можно в whois-сервисах (reg.ru), если домен зарегистрирован недавно и на частное лицо (private person) вероятно, что он мошеннический, т.к. уважающие себя бренды так не делают.

Не игнорируйте предупреждения браузеров и антивирусных программ. Они пополняют свои реестры по жалобам или самостоятельно.

Плохой дизайн. У мошенников мало времени для того, чтобы сделать полнофункциональный сайт-фальшивку. Поэтому внутренние страницы могут не открываться, кнопки быть нерабочими. Или же вести на один и тот же сайт.

Нет информации о контактах фирмы или они выглядят странно. Если на сайте нет контактов для обратной связи, а только поле для ввода данных – это не есть хорошо. Любая легальная фирма не будет скрывать информацию о себе. Если же контакты есть, не поленитесь проверить их через поисковик, часто на компанию уже жалуются. «ГАЗ актив» («ГАЗАктив»), например, в сети уже разоблачали.