Фейковые пропасти: мошенники активно подделывают ресурсы мессенджеров и банков
Лидерами среди ресурсов, которые имитируют мошенники, оказались Telegram, сервисы «Сбера», Альфа-банка, «Юлы», а также WhatsApp, Steam Community и трех маркетплейсов, сообщили эксперты по кибербезопасности. Подделки некоторых адресов выросли в четыре раза. Методы мошенников становятся всё более изощренными, отметили эксперты. Теперь хакеры всё чаще атакуют через личные сообщения, раньше основным каналом были массовые e-mail-рассылки. О том, какие еще методы активно используют злоумышленники, — в материале «Известий».
Какие сайты подделывали мошенники
В первом полугодии 2025 года мошенники чаще всего в Рунете имитировали ресурсы Telegram, «Сбера», Альфа-банка, «Юлы», WhatsApp, Steam Community и трех маркетплейсов. Об этом «Известиям» сообщили в Координационном центре доменов .RU/.РФ.
Всего было выявлено и заблокировано почти 12 тыс. фишинговых ресурсов, которые маскировались под известные бренды. Больше всего подделывали домены Telegram — около 3,4 тыс. мошеннических ссылок.
«По сравнению с первым полугодием 2024 года, самым заметным трендом стал рост фишинговых атак через мессенджеры. Telegram поднялся с пятого на первое место, а ранее не входивший в топ-10 WhatsApp занял сразу шестую строчку. Число фишинговых доменов, имитирующих Telegram, увеличилось в 3,6 раза, а WhatsApp — в четыре раза», — указали там.
Банковский сектор, маркетплейсы и доски объявлений также остаются популярными приманками для фишинговых атак. Среди финансовых брендов мошенники чаще всего имитируют «Сбер» и Альфа-банк, а в сегменте e-commerce — доску объявлений «Юла» и три маркетплейса. В этом году в топ-10 также вошла онлайн-платформа Steam Community, что говорит о росте интереса мошенников к геймерской аудитории. А такие бренды, как Booking, СДЭК, «M.Видео» и BlaBlaCar, наоборот, потеряли популярность.
— Мошенники используют доверие пользователей к цифровым сервисам и чаще всего подделывают именно те платформы, которые люди используют ежедневно. Поэтому «фишинговый рейтинг» отражает не уязвимость, а степень популярности этих брендов в Рунете, — отметил аналитик данных Координационного центра Евгений Панков.
При этом схемы злоумышленников постоянно адаптируются под новые модели поведения пользователей. Если раньше основным каналом были массовые e-mail-рассылки, то теперь атаки всё чаще происходят через личные переписки.
— При создании фишинговых доменов мошенники используют стандартные паттерны: подмену символов, добавление цифр или слов — например, sberbank.id56728.ru. И для того, чтобы не потерять свои данные, деньги или доступ к устройству, пользователям нужно сохранять бдительность, — добавил эксперт.
Большую часть обнаруженных фишинговых ресурсов составляют фейковые сайты маркетплейсов, формы входа различных госорганизаций, а также сайты, предназначенные для кражи аккаунтов Telegram, подтвердили в центре мониторинга внешних цифровых угроз Solar AURA ГК «Солар».
«Отличительной чертой стало широкое использование защиты от обнаружения, а также доменов, не имеющих смысловой связки с брендом, под который мимикрирует сайт. Кроме того, широкую популярностью обрели «фишинговые комбайны» — нелегальные онлайн-сервисы, которые позволяют генерировать множество фишинговых страниц под различные бренды», — рассказали там.
Какие схемы используют для фишинга
Поддельные ресурсы визуально почти неотличимы от оригиналов и используют близкие доменные имена, добавил проджект менеджер MD Audit (ГК Softline) Кирилл Левкин. Главное — заставить пользователя ввести логины, пароли, данные карт или пройти «идентификацию» с передачей данных, которые можно использовать для взлома аккаунтов или финансовых хищений.
Среди подделок особенно опасны те, что имитируют «Госуслуги» — это один из самых чувствительных для граждан ресурсов, отметил ведущий специалист по информационной безопасности ИБ-интегратора «АйТиАнгел» Максим Колесников.
— Люди быстро реагируют на сообщения о штрафах, судебных задолженностях, вызовах в органы, особенно когда всё выглядит «по форме»: приходит письмо или СМС с логотипом, подставленной фамилией и ссылкой на фишинговую копию сайта, — сказал эксперт. — Человек вводит логин и пароль, думая, что заходит на госпортал, и в этот момент передает свои данные мошенникам.
Еще один классический пример, по словам специалиста, — СМС или письмо от «банка» с сообщением об одобренном кредите, хотя в реальности его не оформляли. Схему дополняют «формой обратной связи, если кредит не запрашивали». Например, предоставляют номер телефона, и жертва сама перезванивает мошенникам, которым остается только «обработать» человека и выманить денежную сумму.
— Есть и менее очевидные примеры: на сайте знакомств женщина присылает ссылку на «оплату билетов», а деньги на самом деле уходят ей на карту, — пояснил Максим Колесников. — Или случай, когда мошенники подделали сайт интернет-магазина под брендом известного ИБ-интегратора. Визуально всё выглядело правдоподобно, но деньги с заказов поступали на расчетный счет сторонней фирмы. Такие истории показывают: сейчас подделать можно всё — от писем и сайтов до целых бизнесов.
Кирилл Левкин добавил, что наиболее массовая и эффективная категория атак — это психологическое воздействие: звонки от «службы безопасности банка», «налоговой», «сотрудников порталов».
— Распространена схема, когда злоумышленники притворяются покупателями или продавцами на популярных платформах и убеждают жертву перейти по фишинговой ссылке для получения оплаты, доставки, — рассказал он. — Часто к этому подключаются поддельные сайты «служб доставки» или «эквайринговых сервисов».
Мошенники активно эксплуатируют и интерес к инвестициям, криптовалюте, искусственному интеллекту и «высокодоходным» проектам. Появляются поддельные платформы для торговли, сайты с «услугами генеративного ИИ», требующие внести деньги, зарегистрировать карту, а затем исчезающие с полученной информацией.
— Для бизнеса растет количество атак с компрометацией деловой переписки, когда злоумышленник перехватывает или подделывает письма от контрагентов с реквизитами для перевода средств, — добавил Кирилл Левкин. — Также применяются целевые фишинговые атаки и вредоносные вложения в письмах с использованием доверенных брендов.
Как не попасть на фейковую ссылку
Злоумышленники по-прежнему используют и различные средства от обнаружения фейковых ресурсов, добавили в ГК «Солар».
«Также наблюдается тренд создания доменов, не имеющих смысловой связки с брендом, под который мимикрирует фейковый сайт», — указали в компании.
Приманки отличаются разнообразием: предлагают «легкий заработок» на инвестициях, сообщают о крайне щедрых акциях или выигрыше, просят проголосовать за знакомого в конкурсе, используют и пугающие легенды, рассказала старший контент-аналитик «Лаборатории Касперского» Ольга Алтухова.
— Например, уведомляют о попытке входа в аккаунт, которой на самом деле не было, требуют срочно предоставить какие-либо данные, — пояснила она. — Несмотря на то что злоумышленники постоянно придумывают новые легенды, существует несколько рекомендаций, которые помогут минимизировать риски для пользователей:
В частности, следует критически относится к любым крайне щедрым или пугающим сообщениям: в почте, мессенджерах или соцсетях. Нельзя переходить по ссылкам, а также скачивать файлы из сомнительных переписок.
— Нужно всегда обращать внимание на название сайтов в адресной строке и не вводить конфиденциальные данные на подозрительных ресурсах, — подчеркнула Ольга Алтухова. — Всегда необходимо использовать защитные решения, которые вовремя заблокируют попытку перехода на фишинговую или скам-страницу.
Но самым распространенным и опасным сценарием обмана пока остаются звонки от мошенников, подкрепленные правдоподобными документами или поддельным голосом, добавил директор по развитию IT-интегратора «Куб Три» Дмитрий Луневский. С помощью ИИ злоумышленники могут сгенерировать речь, имитирующую голос родственника, или создать убедительное письмо, удостоверение, «повестку», подставив нужные имена, фото и должности.
— Мошеннические call-центры — это технологически оснащенные структуры, где ключевую роль играют CRM-системы, — сказал эксперт. — В них можно создать полноценную карточку контакта с персональной информацией о человеке: номер телефона, банки, в которых он обслуживается, упоминания о родственниках, реакция на прошлые звонки.
Сценарии разговоров, шаблоны поддельных документов и алгоритмы переключения между «сотрудниками» заранее заложены в систему. Прямо из этой программы, по словам Дмитрия Луневского, в реальном времени генерируются фальшивые документы — и мгновенно отправляются жертве в мессенджер во время звонка.
Так телефонный обман превращается в персонализированную, технологичную атаку, отметил он. Визуальное или голосовое «доказательство» легенды снижает критическое мышление и повышает доверие к происходящему. С ростом доступности ИИ такие атаки становятся всё более массовыми и убедительными, поэтому отличить подделку от реальности всё труднее.
