Posted 13 марта 2017,, 12:47

Published 13 марта 2017,, 12:47

Modified 20 августа 2022,, 19:27

Updated 20 августа 2022,, 19:27

Клоны атакуют

13 марта 2017, 12:47
Всемирная сеть открывает практически безграничный доступ к информации, полезной для бизнеса, работы, учебы, общения, хобби, развлечений – для чего угодно. Одновременно интернет стал благодатной почвой для различных видов мошенничества, среди которых особо ярко выделяются сайты-подделки, или клоны. Как защититься от атаки клонов - в нашем материале.
Сюжет
ЛУКОЙЛ

Интернет – одно важных и полезных изобретений нашего времени. Всемирная сеть открывает практически безграничный доступ к информации, полезной для бизнеса, работы, учебы, общения, хобби, развлечений – для чего угодно. Но, как известно, у каждой медали есть и обратная сторона. Интернет стал благодатной почвой для различных видов мошенничества, среди которых особо ярко выделяются сайты-подделки, или клоны.

Цель оправдывает средства

Создание поддельных сайтов – достаточно известная практика в России, получившая наибольшее распространение в последние 10 лет на волне постоянно растущей роли интернета в бизнесе и частной жизни граждан. По различным оценкам, ежегодно в России в сети появляется порядка 1 млн сайтов – клонов крупных и не очень компаний.

Злоумышленники создают фейковые сайты с разными целями. Часто они являются составной частью фишинговых атак. Созданный подложный сайт позволяет злоумышленникам выманивать у пользователей приватные данные, такие как платежные реквизиты банковских карт, и использовать их для собственных покупок в интернете.

Фишинг – это мошеннические действия, направленные на получение конфиденциальных данных, при которых злоумышленник выдает себя за доверенную сторону. Мошенники маскируются, используя стиль и цвета известного бренда, похожие имена сайта, меняя или добавляя по одному-двум символам, чтобы невнимательный пользователь не заметил разницы. Фишинг может осуществляться по электронной почте, телефону, в SMS-сообщениях или мессенджерах, а также в поисковых выдачах.

«Вероломный пример был обнаружен несколько лет назад экспертом компании Trend Micro, когда фальшивый сайт использовался для сбора пожертвований в пользу жертв землетрясения. Для привлечения трафика на этот сайт в интернете была развернута специальная рекламная компания», – рассказывает Михаил Кондрашин, технический директор компании Trend Micro в России.

По его словам, известны также случаи, когда фейковые сайты изображали порталы государственных услуг, появляясь при этом первыми в результатах поисковых запросов. Целью злоумышленников в этих случаях было получение персональных данных пользователей, которым предлагалось заполнить формы на этих сайтах якобы для получения соответствующих услуг. Сайты-клоны, имитирующие сайты крупных компаний, также могут использоваться для причинения репутационного вреда.

Борис Воронцов, директор агентства конкурентной разведки «Информант», выделяет три основных цели создания сайтов-клонов:

1. Непосредственное извлечение незаконной прибыли. В данном случае мошенники продают от лица компании, чей сайт был клонирован, какие-либо товары или услуги, присваивая полученные при этом средства.

2. Сбор сведений конфиденциального характера, логинов и паролей, данных для доступа к электронным платежным средствам. Собранные таким образом данные в дальнейшем используются мошенниками для снятия средств со счетов или иного противоправного использования. Нередки также случаи последующей перепродажи подобной информации третьим лицам для использования в тех же целях.

3. Нанесение репутационного ущерба компании путем публикации на сайте-клоне недостоверной негативной информации. В этом случае на поддельном сетевом ресурсе размещается порочащая компанию информация или же данные, способные значительно повлиять на ее стоимость.

По мнению Владимира Аверина, основателя и директора веб-студии Omni Lab, главной целью мошенников, создающих сайты-клоны, безусловно, являются целевые посетители атакованных сайтов.

«Если мы говорим о профессиональных ресурсах, то это офисные работники компаний клиентов или партнеров, перешедшие по ссылкам из коммерческих предложений в электронной почте. Если корпоративный спам-фильтр пропустит такое письмо, то вероятность посещения сайта-клона увеличивается в десятки раз. Появиться же в результатах обычного веб-поиска таким сайтам гораздо сложнее, поскольку крупными поисковыми системами применяются продвинутые технологии блокировки фишинга в результатах выдачи», – говорит он.

Бороться можно и нужно

В МВД РФ напоминают: чтобы не стать жертвой «клонов», необходимо проявлять внимательность. Стражи порядка рекомендуют обращать внимание на адресную строку сайта, название сайта: скопировать его из адресной строки и проверить в поисковой системе. Не стоит доверять сайтам, имеющим в названии знакомые слова, но расположенные в доменных зонах .com, .org, .biz, .net, .info, .tv, .mobi и других, не связанных с российским интернет-пространством.

Как отмечает Павел Катков, владелец и старший партнер юридической компании «Катков и партнеры», если сайт действительно является клоном, его можно заблокировать в судебном порядке. Подобные меры возможны в порядке, предусмотренном антипиратским законом № 187-ФЗ. Определение о блокировке в этом случае выносится за один день, а срок применения мер Роскомнадзором – считанные дни. Для этого необходимо, чтобы совпадали именно объекты авторских прав – два дизайна двух сайтов, при этом дизайн настоящего правообладателя должен быть надлежащим образом оформлен (заключены трудовые или иные договоры с автором, оформлены служебные задания, надлежащим образом выплачено вознаграждение и пр.).

Что касается защиты от сайтов-клонов, Павел Катков рекомендует вести ее по нескольким направлениям:

1. Необходимо правильно оформлять права.

2. Там, где возможно, получать охранные документы (свидетельства на товарные знаки, промышленные образцы).

3. Целесообразно оформить на себя или компанию соответствующие домены, которые могут быть сходными с оригиналом, а также соответствующий товарный знак.

4. Постоянно осуществлять мониторинг интернет-пространства для выявления и пресечения подобной деятельности.

5. Незамедлительно сообщать о сайтах-клонах в соответствующие правоохранительные органы (ст. 159, 159.6 УК РФ).

«Потенциальному клиенту распознать сайт-клон практически невозможно, зачастую он выглядит абсолютно так же, как подлинный сайт, и разница зачастую лишь в одной букве в имени сайта», – отмечает Павел Катков.

Среди успешных примеров можно выделить опыт производителя авиадвигателей «Климов», входящего в состав государственной корпорации «Ростех». В феврале 2016 года компания «Климов» (klimov.ru) воспользовалась так называемым антипиратским законом и подала иск против ресурса oooamiks.ru, обвинив его в краже своего дизайна и использовании товарного знака. Разницу между двумя ресурсами можно было найти только в разделе контактов. Роскомнадзор заблокировал доступ к данному сайту.

«Что касается неудачных случаев, когда клиент все же пострадал, то такие встречаются даже у крупных банков, однако их обычно не предают огласке», – говорит Павел Катков.

Кроме постоянного мониторинга веб-пространства, сотрудники горячей линии той или иной компании должны внимательно относиться к людям, которые утверждают, что на сайте происходит что-то странное или сомнительное.

«Подобный звонок может сигнализировать о наличии у корпоративного сайта близнеца, на который злоумышленники уже начали направлять пользователей. Наверное, ключевым шагом по обеспечению защиты должен стать переход на HTTPS-протокол для корпоративного сайта с сертификатом EV (Extended Validation). В этом случае браузер будет явно обозначать сайт как доверенный», – говорит Михаил Кондрашин.

По его мнению, самое надежное – набирать название домена в адресной строке браузера вручную, а не по ссылке в письме электронной почты. Для сайтов, использующих HTTPS, проверить подлинность сайта совсем несложно, достаточно посмотреть на адресную строку. Современные браузеры недвусмысленно обозначают надежные сайты визуальными элементами.

В свою очередь, Борис Воронцов считает, что возможность привлечения создателей сайтов-клонов к ответственности значительно затруднена ввиду сложности установления их личности. Подобные сайты создаются с использованием многоступенчатых схем анонимизации их создателей.

Как показывает практика, наилучшим способом защиты компании от действий злоумышленников является своевременное выявление подобных сайтов, предание данных фактов широкой огласке и незамедлительное обращение в контролирующие структуры с требованием блокировки данного сайта.

«Потенциальным клиентам, чтобы не попасть на удочку мошенников, стоит обращать внимание на URL сайта. В большинстве случаев злоумышленники регистрируют новое доменное имя, отличающееся от доменного имени клонируемого сайта несколькими знаками или доменной зоной», – говорит Борис Воронцов.

Например:

www.soyuzneftegaz.ru – настоящий сайт,

www.oao-soyuzneftegaz.com – сайт-клон.

Полезно провести несложную проверку по базе Whois (https://www.nic.ru/whois/). В 99% случаев срок существования сайта-клона будет не более нескольких месяцев.

В качестве примера сайта - клона компании нефтехимической отрасли можно привести случай клонирования сайта компании «СоюзНефтегаз» в 2010 году. С использованием данного сайта мошенники вводили в заблуждение потенциальных покупателей продукции данной компании и присваивали переводимые ими в качестве оплаты за товары денежные средства.

Одним из наиболее свежих примеров клонирования сайтов известных компаний можно назвать сайт e-osagoreso.ru, клонировавший официальный сайт известной страховой компании «РЕСО». Данный факт был выявлен в конце января 2017 года. С помощью сайта мошенники вводили в заблуждение клиентов компании, желавших приобрести электронный страховой полис ОСАГО. От действий создателей данного сайта пострадали несколько десятков человек, оплативших приобретение электронных полисов ОСАГО, но, естественно, так их и не получивших.

По мнению Валентина Лякутина, старшего консультанта компании KPMG в России и СНГ, вероятность поимки подобных злоумышленников сильно зависит от их квалификации. Задача их поиска осложняется широким использованием инструментов анонимности в сети.

«Компаниям-владельцам, чтобы защитить своих работников от такого мошенничества, следует регулярно проводить тренинги по информационной безопасности и поддерживать осведомленность пользователей на высоком уровне», – говорит Валентин Лякутин.

По его словам, для защиты клиентов российские предприятия, в том числе нефтегазовые, размещают у себя на сайтах информацию, направленную на предупреждение пользователей о возможных мошеннических действиях и способах их распознавания (например, «Роснефть»: https://www.rosneft.ru/Investors/beware/). Только осведомленность пользователей может помочь в решении подобной проблемы.

Валентин Лякутин также отмечает, что потенциальный клиент в первую очередь должен быть внимательным к адресу в ссылке, по которой осуществляется переход. При возникновении сомнений, связанных с подлинностью сайта, можно проверить регистратора данного домена (например, с помощью сервисов Whois).

«Привлечь к ответственности создателей фишинг-ресурсов, безусловно, можно и нужно, однако их необходимо сначала вычислить, а потом доказать злой умысел. Как правило, российская судебная практика ограничивается только доменными спорами», – говорит Владимир Аверин.

Что касается защиты от фишинга, то одним из самых эффективных способов обезопасить свой сайт от клонирования является использование SSL-сертификата не ниже уровня EV. Этот тип сертификатов позволяет однозначно идентифицировать сайт, принадлежащий компании, поскольку перед его выдачей проверяется существование самой организации и принадлежность ей защищаемого сайта.

По словам Владимира Аверина, потенциальный клиент или любой пользователь может определить защищенный SSL-сертификатом ресурс по характерной иконке замка и зеленой строке веб-браузера, где указан адрес сайта. Сайт-клон практически с 99% долей вероятности таких атрибутов иметь не будет. Однако до сих пор есть сайты компаний-монополистов (например, http://gazprom.ru), которые не имеют такой защиты, а значит, единственной проверкой для них служит старый «дедовский» способ: сверить адрес ресурса с оригинальным на предмет опечаток и лишних знаков. Естественно, делать это нужно, не нажимая на ссылку в письме, а подведя к ней курсор, чтобы прочитать адрес в подсказке.

«Наиболее интересный пример в практике веб-студии Omni Lab случился три года назад, когда один потенциальный клиент, планировавший заниматься розничной продажей бензина, попросил скопировать дизайн официального сайта «Роснефти». Естественно, мы ему вежливо отказали, объяснив незаконность таких действий. В итоге, обвинив студию в непрофессионализме, потенциальный клиент удалился. Дальнейшая судьба его бизнеса неизвестна, однако хочется верить, что свою идею он так и не воплотил», – рассказывает Владимир Аверин.

Крупные жертвы

Наиболее свежий пример действий мошенников, работающих, что называется, по- крупному, – это атака на крупнейший нефтехимический холдинг «СИБУР». 6 марта 2017 года на официальном сайте ПАО «СИБУР Холдинг» появилось следующее сообщение:

«Уважаемые клиенты и партнеры! Информируем вас о попытках совершения мошеннических действий в отношении контрагентов ПАО «СИБУР Холдинг». Отдельные контрагенты компании с 25 января 2017 года стали получать по электронной почте предложения приобрести по низким ценам качественную полимерную продукцию.

В сообщениях, распространяемых с помощью спам-рассылки, как правило, указаны фамилия и имя работника блока продаж Дирекции базовых полимеров и фиктивные контактные данные для обращения: номера телефонов +7 (495) 241-04-687, +7 (499) 348-92-05 и адреса электронной почты info@sibur.info, proposal@sibur.info, kp_property@sibur.info. Также мошенники зарегистрировали сайт-двойник официального сайта ПАО «СИБУР Холдинг» (www.sibur.info), на котором размещена ложная информация в разделе «Контакты».

Сообщаем, что все работники ПАО «СИБУР Холдинг» ведут электронную переписку только с адресов, зарегистрированных в корпоративном почтовом домене sibur.ru, а актуальным номером телефона для связи является +7 (495) 777-55-00. Просим Вас быть бдительными в целях исключения причинения Вам ущерба».

Впрочем, это уже не первый случай, связанный с СИБУРом. По крайней мере, на официальном сайте СИБУРа фигурируют еще три подобных сообщения, размещенных ранее.

«Данный факт не первая попытка мошенничества с использованием имени компании. В последнее время злоупотребления в связи с непростой ситуацией в экономике отличаются масштабом, а с учетом широты проникновения интернета и других телекоммуникаций – и «творческим» подходом. Поддельные письма и SMS-сообщения участники отрасли начали получать с мая 2016 года. Содержание посланий примерно одинаковое: от имени СИБУРа или его производственных площадок предлагается приобрести полимерную продукцию по ценам ниже рыночных», – говорится на сайте компании.

Как отмечают специалисты юридического подразделения СИБУРа, подобные действия, разумеется, не остаются незамеченными компанией. Мероприятия по защите осуществляются сразу по двум направлениям. Во-первых, это отслеживание доменных имен, схожих с доменным именем сайта компании. Во-вторых, поиск контента, копирующего информацию с официального сайта. По подобным случаям существует обширная судебная практика, законодательство запрещает использование доменов не только стопроцентно идентичных, но и схожих до степени смешения, как в случае с доменом slbur.ru. При этом на риск введения потребителей в заблуждение влияет даже использование на подложном сайте фирменных цветовых решений компании.

По словам Андрея Зотова, руководителя направления «Продуктовый маркетинг» Дирекции базовых полимеров СИБУРа, чаще всего за подложными сайтами и неоправданно дешевой в прайс-листах продукцией оказываются «продавцы воздуха».

«Если вы получаете предложение о продаже полимерной продукции по цене ниже как минимум на 10%, чем в среднем по рынку, это должно сразу вызвать подозрения. Потому что в 99% случаев при предложении полимеров по заметно меньшей цене речь идет о мошенниках, у которых вообще нет товара», – говорит Зотов.

По данным опрошенных клиентов СИБУРа, им приходилось достаточно часто сталкиваться с такими «предпринимателями». И все они предлагают приобрести товар с определенным дисконтом. При этом злоумышленники всегда просят осуществить предоплату, но не сообщают, где находится склад продукции, и обещают обеспечить доставку до покупателя. После осуществления предоплаты продавец исчезает, перестает отвечать на телефонные звонки, чаще всего номер телефона блокируется. Итог – стопроцентная потеря денег, внесенных покупателем.

Еще один яркий пример, подрывающий репутацию компании, связан с концерном «ЛУКОЙЛ». Так, в ноябре 2016 года пресс-служба ПАО «ЛУКОЙЛ» опубликовала следующее сообщение:

«Обращаем внимание всех заинтересованных сторон на деятельность неких лиц, предлагающих к реализации нефтепродукты ООО «Нефтехимпроминвест», которое якобы работает по договору с международным нефтетрейдером ЛИТАСКО (100-процентное дочернее предприятие ПАО «ЛУКОЙЛ»). К электронным письмам, рассылаемым мошенниками, прилагаются скан-копии «документов» с фальсифицированными печатями и подписями должностных лиц группы «ЛУКОЙЛ».

Пресс-служба сообщает, что компания не имеет никаких взаимоотношений с ООО «Нефтехимпроминвест». ПАО «ЛУКОЙЛ» не несет какую-либо ответственность за нежелательные последствия, которые могут возникнуть в результате взаимодействия с лицами, выступающими от имени ООО «Нефтехимпроминвест».

В 2013 г. мошенники пытались заработать на соискателях, заинтересованных в трудоустройстве в компанию «ЛУКОЙЛ»: «Осторожно, мошенники! Обращаем внимание всех возможных кандидатов на работу в компании на ресурс http://oils-rus.ru/lukoil/index.php. Ни в коем случае не вступайте с ними в контакт. Есть риск лишиться некоторой суммы денег. Компания никогда не распространяет сведения о вакансиях на сторонних интернет-ресурсах. Информация о вакансиях и контакты служб по персоналу компании размещаются исключительно на сайте www.lukoil.com и на сайтах дочерних предприятий ЛУКОЙЛа».

В прошедшем 2016 году, согласно сообщениям в СМИ, мошенники также клонировали сайты ритейлеров Enter и «Яндекс.Маркет». Незаконный «клон» Enter с доменным именем в украинской зоне – in-enter.com.ua – был зарегистрирован в апреле 2016 года. Сайт повторял дизайн, логотипы и даже структуру сайта российского ритейлера. Некая организация под названием «Enter Украина» не постеснялась приобщиться к успешному бренду, не заботясь о законности.

Мошенники также создали имитацию сайта «Яндекс.Маркет» с положительными отзывами о компании «Enter Украина». Фейковый «Яндекс.Маркет» размещался по адресу http://market.yandex.in-enter.com.ua. Оба адреса сейчас не открываются из России. Однако неизвестно, как обстоят дела с точки зрения нероссийских IP, в том числе в Украине.

В октябре 2016 года во всемирной сети появились сайты – клоны «Газпрома», «Роснефти» и ЛУКОЙЛа, зарегистрированные в Лондоне. Как сообщали СМИ, возможность создавать клоны сайтов иностранных компаний обеспечивает лазейка в британском законодательстве. Чтобы создать общество с ограниченной ответственностью и сайт, в Британии не понадобится даже приходить в офис для регистрации. Вся процедура доступна онлайн, она занимает не больше 24 часов и стоит £12. Этой возможностью воспользовалась некая группа, создавшая на тот момент 7 юридических лиц, названия которых на английском языке похожи на всем известные «Роснефть», «Газпром», ЛУКОЙЛ, «Татнефть» и другие.

«Нефтяные компании представляют собой большой интерес для криминальных группировок в Москве. В отделе по борьбе с экономической преступностью и противодействию коррупции при ГУВД Москвы на Люсиновской улице есть специальный отдел, где оперативники занимаются раскрытием преступлений именно в нефтяной сфере», – замечает Вадим Кудрявцев, адвокат Московской коллегии адвокатов «Совет столичных адвокатов».

Жертвой может стать каждый

Данный вид мошенничества предполагает, что жертва посчитает сайт настоящим и приобретет на нем товар или услугу, указав данные своей банковской карты или переведя платеж по указанным на поддельном сайте реквизитам.

«В 2016 году я работал в качестве адвоката по уголовному делу о мошенничестве в Главном следственном управлении при ГУВД по городу Москве. Организованная преступная группа создала сайт якобы при Федеральной миграционной службе РФ и от ее имени выдавала разрешение и виды на жительство гражданам из стран СНГ: Таджикистана, Узбекистана, Украины, Армении», – рассказывает Вадим Кудрявцев.

По его словам, доход преступной группы исчислялся миллионами. Граждане других стран СНГ охотно обращались в эту фирму, поскольку считали, что раз она государственная, то их не обманут и сделают все надежно.

«В ГСУ по городу Москве существует специальный отдел, который расследует преступления в бюджетной сфере, то есть когда преступники совершают преступления, прикрываясь интересами государства. Поэтому наиболее эффективно обращаться с заявлением о совершенном преступлении и возбуждении уголовного дела в ГСУ по городу Москве на улице Новослободской, 47, где у них есть большая практика работы с такими преступлениями», – говорит Вадим Кудрявцев.

Вадим Кудрявцев также отмечает, что компании, на чью безопасность покусились преступники, должны сразу обратиться в правоохранительные органы с целью пресечения любых криминальных действий в отношении своих компаний и отслеживать любые незаконные действия в интернете, на телевидении.

В свою очередь, потенциальный клиент должен обратить внимание на то, как оформлен сайт, сравнить его с аналогичными сайтами, почитать отзывы об этой компании, причем не на одной, а на нескольких площадках, сделать звонок в офис, съездить туда и попросить учредительные документы организации. Как правило, компании, которым нечего скрывать, сразу дают копии документов обратившемуся человеку. А там, где «рыльце в пушку», просьбы клиента вызывают настороженность и по поведению менеджмента можно понять, что дело нечистое.

Алексей Головченко, управляющий партнер юридической компании «ЭНСО», привел пример из собственного опыта: «Я покупал билеты авиакомпании через сайт (а точнее, через сайт-клон, как выяснилось), получил электронные билеты, подтверждение, а в аэропорту при регистрации выяснилось, что нет такого билета. Пришлось в экстренном порядке покупать другой билет, чтобы все-таки добраться до пункта назначения».

По его словам, подобные сайты – это чистой воды мошенничество, статья 159 УК РФ. Поймать людей, занимающихся подобным, полицейские способны, однако на практике редко встречаются ситуации, когда такого рода мошенники были привлечены к ответственности. Поскольку органы власти не считают нужным рассматривать такие дела, сайты-клоны крупных компаний процветают и плодятся, как грибы после дождя. Причем сайты-клоны собирают не просто большие, а огромные суммы.

Для медицины интернет – очень важный канал распространения информации и коммуникаций. Сейчас можно легко найти необходимую информацию о симптомах, болезнях, лечении, клиниках, врачах и так далее. В скором будущем, благодаря введению и распространению телемедицины, можно будет провести консультацию и наблюдаться у лечащего врача, специалистов любой клиники из любой точки земного шара. Безусловно, интернет-технологии дают медицине очень важный импульс к развитию, позволяя более оперативно помогать пациентам.

Однако, как отмечает Марк Каценельсон, основатель и генеральный директор израильской компании Sapir Medical Clinic, сейчас в сети активно ведется продажа бесполезных, а зачастую и вредных лекарственных средств. Сайты псевдоврачей и специалистов берут немалые деньги за «консультации», обманывая людей и нанося вред не только их кошелькам, но и здоровью.

«Например, основная проблема нашей отрасли – медицинского туризма – это то, что в Израиле еще не принят закон о медицинском туризме и сейчас каждый гражданин может заниматься организацией лечения иностранных граждан, в том числе россиян. Этим и пользуются не совсем порядочные игроки, например, создавая бесконечное количество сайтов-клонов, которые иногда практически идентичны сайтам больниц. Благодаря умелому продвижению этих сайтов, они занимают верхние строчки в поисковых системах типа Google или Yandex. Люди просто не понимают, куда они обращаются – в небольшую компанию или в известную израильскую клинику. Даже мне, как специалисту, с первого раза не всегда понятно, на какой сайт я попал», – комментирует Марк Каценельсон.

Для того чтобы не попасть к мошенникам, Марк Каценельсон рекомендует старый, но проверенный временем метод: обращаться через так называемое «сарафанное радио», через знакомых, которые уже лечились в Израиле и дали свои рекомендации. Если знакомых нет, то необходимо понять, куда хочет попасть пациент: обратиться напрямую в больницу через международный отдел или в компанию медицинского туризма, которая займется организацией лечения в Израиле «под ключ». Разница простая: в больницах цены могут быть дешевле, чем в компаниях, правда, уровень обслуживания будет несколько страдать, особенно в государственных учреждениях. Но выбор, что называется, за каждым.

«Что касается сайтов, нужно обращать внимание на доменные имена. Например, государственные больницы Израиля зачастую имеют окончание gov.il. На сайте Ассоциации медицинского туризма Израиля (IMTA) есть вся информация об организации лечения в Израиле и о реальных компаниях медицинского туризма», – заключил Марк Каценельсон.

"