«Щедрые» фейки Газпрома: как мошенники «продают газ»

В сети новый виток мошенничества на национальном достоянии — «Газпроме», точнее, «инвестициях» в компанию. Сценарий известный, но есть среди граждан те, кто попадается на предложение «продавать газ». Вчера комментировали эту тему для «Коммерсанта». Решили поделиться находками, которые встретились в ходе изучения вопроса.

Среди них – двойник РБК.

«Щедрые» фейки Газпрома: как мошенники «продают газ»

Давайте разберёмся

Чтобы оценить масштабы явления, помогает взглянуть на число новых зарегистрированных сайтов по теме. По нашим наблюдениям, за квартал только в зоне .ru зарегистрировано не меньше 300 доменов со словами gaz, в том числе в сочетании со словом invest. Большинство так и не выходят «на рынок» и регистрируются на всякий случай. Но в Яндексе есть не меньше 2 страниц поисковой выдачи (не меньше 20) действующих сайтов с абсолютно идентичными предложениями инвестировать в продажу газа (https://gazprominvest24.ru/?preland, https://gazplatfrom.com/). Мошенники предлагают оставить на сайте контакт, чтобы скинуть предложение.

Интерес мошенников к теме заработка на газе может быть вызван тем, что «Газпром» сейчас очень привлекателен для инвестеров. Цены на газ и акции компании растут и бьют рекорды на фоне дефицита сырья в Европе и постпандемийного восстановления спроса. Кроме этого, для начала активных действий мошенники любят использовать инфоповоды, а СМИ активно освещают предстоящий запуск «Северного потока 2».

Мошенничество под инфоповоды уже мало кого удивит, однако в этот раз киберпреступники подготовились основательно: только по рекламе в «гугле» выдается на меньше 5 рекламных объявлений, есть ролик на YouTube, который размещен в том числе и на добротно сколоченных одностраничниках для регистраций.

В том числе по рекламе была доступна (и после публикации в «Коммерсанте» тоже) подделка под РБК со статьей об истории успешного инвестирования. Чтение её, а также «комментариев» под текстом может доставить удовольствие – от слога и используемых аргументов. Если конечно не забывать, что все это словесное разноцветие может возыметь реальное действие на впечатлительных людей. Кнопка CTA в статье ведет на другой одностраничник, который доступен с переменным успехом. Там всё то же предложение супердоходных инвестиций.

<p><b>Слева – фейк, справа – оригинал или нет, как думаете? </b></p>

Слева – фейк, справа – оригинал или нет, как думаете?

Мы специалисты по ИБ, но не по веб-продвижению, поэтому не будем додумывать за профессионалов (может быть кто-то профессионально расскажет в комментариях, как это устроено): мошенники защищают свои детища, например, иногда вместо этого сайта «РБК» прогружается рекламный одностраничник или просто форма регистрации.

Обещают прибыль в 30%

Цифра в 30% может натолкнуть на воспоминания о почивших финансовых пирамидах, которые тоже обещали именно такую доходность. Но тут, конечно, все более топорно, потому что злоумышленники заботами о том, чтобы придать какой-то легитимный вид своей организации себя не обременяют. На сайтах (например, на сайте «компании» «ГАЗ актив») нет никаких контактов для самостоятельной обратной связи, из-за чего нельзя проверить почту или телефон на наличие отзывов в интернете. Мошенники ссылаются на мифический законопроект. Имя «руководителя» и название «компании» могут впечатлить, но такой в реальности не существует. А самое главное – если немного покопаться в деталях, и найти информацию о «руководителе национального проекта «ГАЗ актив» Викторе Зубкове, можно понять, что подобную организацию в его биографии, конечно, не найти.

«Щедрые» фейки Газпрома: как мошенники «продают газ»

А вот ещё один фейковый ресурс с «инвестициями в «Газпром» выглядит уже не так красиво, проработан хуже (см. скриншот ниже). На сайте также присутствует видео, но в нем проще распознать подделку, например, по несуществующей лицензии. Доменная зона тоже нетипичная для крупных госкомпаний (.spase).

«Щедрые» фейки Газпрома: как мошенники «продают газ»

Вот ещё несколько интересных находок, где может располагаться последний ресурс с формой регистрации может располагаться также по этим ссылкам: https://www.gassprom.ru/?gclid=Cj0KCQjw-NaJBhDsARIsAAja6dM0a782VVnSduzOsNlTty57-JO2JbfnY_wgHovLUB0gJhJsA0Vl0_gaAgGiEALw_wcB, https://gasactive.ru/?gclid=Cj0KCQjw-NaJBhDsARIsAAja6dPzWPp1tyxf22eF3sBf21m76qdmCDNgIohO-jNQpa9wNJMnlsnZ3y8aAnCkEALw_wcB, https://tracker.spt.in.ua/click.php?key=xgfdah02mvi99cnsrhl6&gclid=%7Bgclid%7D&placement=%7Bplacement%7D&adposition=%7Badposition%7D&campid=%7Bcampaignid%7D&device=%7Bdevice%7D&devicemodel=%7Bdevicemodel%7D&creative=%7Bcreative%7D&adid=%7Badid%7D&target=%7Btargetid%7D&keyword=%7Bkeyword%7D&matchtype=%7Bmatchtype%7D (ссылки не сокращаем, чтобы вы видели, как это всё выглядит в адресной строке).

И бонусом – ещё один фейковый сайт с новым дизайном (скриншот ниже). У которого не до конца дописан адрес (без номера дома и офиса). В контактах значится фейковая почта (info@advertclick.info). «Газпром» же ведёт переписку с электронных адресов, имеющих домен @adm.gazprom.ru).

«Щедрые» фейки Газпрома: как мошенники «продают газ»

Если постараться, можно найти ещё больше подобных ресурсов. Вот, например, список, который ведет сама компания Газпром. Увидите, он огромный: https://www.gazprom-neft.ru/company/contacts/feedback/warning/

Поэтому, будьте бдительны, а лучше – жалуйтесь и блокируйте такие сайты, чтобы менее продвинутые пользователи не попались в лапы мошенникам. Например, Google это можно сделать здесь, а в Яндексе по этой ссылке.

Небольшая памятка, как распознать фишинговый сайт:

Смотрите на название домена. Мошенники под видом «Газпрома» могут использовать как подходящие доменные имена (gasactive.ru), так и совсем не связанные с инвестициями (advertclick.info). Во втором случае проблем не возникнет, но в первом есть свои нюансы. Мошенники часто используют тайпсквоттинг – похожее написание бренда, в котором вместо буквы может использоваться цифра, опечатки, другая доменная зона. Например, www.gassprom.ru вместо настоящего домена www.gazprom.ru. Проверить доменное имя можно в whois-сервисах (reg.ru), если домен зарегистрирован недавно и на частное лицо (private person) вероятно, что он мошеннический, т.к. уважающие себя бренды так не делают.

Не игнорируйте предупреждения браузеров и антивирусных программ. Они пополняют свои реестры по жалобам или самостоятельно.

Плохой дизайн. У мошенников мало времени для того, чтобы сделать полнофункциональный сайт-фальшивку. Поэтому внутренние страницы могут не открываться, кнопки быть нерабочими. Или же вести на один и тот же сайт.

Нет информации о контактах фирмы или они выглядят странно. Если на сайте нет контактов для обратной связи, а только поле для ввода данных – это не есть хорошо. Любая легальная фирма не будет скрывать информацию о себе. Если же контакты есть, не поленитесь проверить их через поисковик, часто на компанию уже жалуются. «ГАЗ актив» («ГАЗАктив»), например, в сети уже разоблачали.

44
4 комментария

К сожалению, те, кто хочет отдать деньги мошенникам, все равно их отдаст тем или иным путем. То, что мошенников видно издалека, их не останавливает. Детали не важны, на домене .RU находится сайт или на .TK - даже не посмотрят. Разоблачений они не читают или читают, но не те. Абсолютно как та женщина из новостей, которая стояла у банкомата, громко разговаривая по телефону с разводилами и готовясь вносить деньги, хотя тут же перед ней наверняка висел плакат о том, что не надо этого делать. Ладно еще, что охранник ТЦ ее в последний момент остановил.

Согласимся! Но так хочется оградить от необдуманных действий хотя бы одного пользователя. Ваш пример про охранника даёт надежду на то, что всегда найдутся неравнодушные и более опытные люди, которые либо вовремя остановят человека, либо, как в нашем случае, кинут жалобу на фейковые сайты. А ещё лучше –проинформируют своих родных и близких на тему мошенничества, с теми же инвестициями.

На самом деле тема старая, только обертка новая. Раньше они маскировались под форекс брокеров, бинарные опционы и т.п в общем под вид гэмблинга. Если коротко у них это организовано следующим образом:
- Есть некий интерфейс похожий на трейдерский. Клиент заносит бабло и пытается сыграть на разнице. естественно все сливает.
- Есть коллцентр который делает агрессивные продажи по телефону
- Клиентов они берут через партнерские сети. К этим партнерским сетям подключены медиа баеры, которые гонят лиды через различные каналы: фб, гугл и т.п. + баеры и делают подобные фейк статьи (Фарткил, Флоги и т.п.) таким образом подогревают трафик.

Ежедневно получаю такой спам на почту, о том, что О БОГИ БЫЛА РАЗРАБОТАНА ПЛАТФОРМА СВОМЕСТНО С ГАЗПРОМ. КАЖДЫЙ РОССИЯНИН МОЖЕТ ПОЛУЧИТЬ ДО 50% ДОХОДНОСТИ

ну и кринжа нагнали конечно