Хакеры готовы к отопительному сезону

Они начали копировать сайты энергокомпаний

В рунете появилось несколько десятков доменов, названия которых отсылаются к брендам московских энергетических компаний, в том числе «Мосгазу» и «Мосэнергосбыту». Многие сайты еще не имеют наполнения и не продвигаются в поисковой выдаче. Эксперты полагают, что злоумышленники запустят их с началом отопительного сезона. Часть ресурсов, по мнению специалистов по безопасности, нацелены на сбор данных сотрудников самих энергокомпаний для последующих атак.

Фото: Александр Казаков, Коммерсантъ  /  купить фото

Фото: Александр Казаков, Коммерсантъ  /  купить фото

В зоне .ru наблюдается «некоторый всплеск» регистраций доменов, содержащих комбинации вроде rusgaz, mosgaz, energo: все сайты появились в первых числах сентября и сейчас их около двух-трех десятков, рассказал “Ъ” ведущий аналитик «СерчИнформ» Леонид Чуриков. Он отмечает, что ни один из сайтов не продвигается в поисковой выдаче. «Возможно, их время еще не пришло — например, фишинговая кампания может стартовать в отопительный сезон»,— полагает эксперт. Мэр Сергей Собянин накануне обьявил, что отопление в жилых домах Москвы начнут подавать с 13 сентября.

По данным Telegram-канала In4security, сейчас насчитывается около 15 доменов, упоминающих в названии АО «Мосгаз».

Подобные сайты начали появляться еще в июле, но в сентябре их число возросло до нескольких десятков, говорит сооснователь StopPhish Юрий Другач.

Упомянутые сайты не несут никакой информации о газовом обслуживании, а преследуют цель ввести в заблуждение граждан, заявили в пресс-службе АО «Мосгаз». В компании призывают доверять официальным источникам — сайту mos-gaz.ru и указанным на нем ссылкам на соцсети.

Некоторые сайты, копирующие «Мосгаз», пустуют, недоступны, наполнены рекламой несуществующих бизнес-тренингов, переадресовывают на Facebook или предлагают ввести почту и номер телефона, уточняет Леонид Чуриков. По его словам, наполнение сайтов отличается в зависимости от того, из какого региона подключается пользователь: с территории РФ открываются потенциально фишинговые страницы, а пользователей из-за рубежа переадресует на случайные страницы. Метод, при котором разный контент показывается в зависимости от региона, устройства или браузера, с которого заходит пользователь, называется клоакинг: обычно этот способ используется для обмана поисковых систем при продвижении сайта, объясняет Юрий Другач.

Часть зарегистрированных по новой схеме сайтов похожа на «классический фишинг»: например, сайт mosenergosbut.ru представляет собой подделку под сайт «Мосэнергосбыта» mosenergosbyt.ru, говорит Леонид Чуриков.

По-видимому, полагает он, злоумышленники преследуют цель собрать учетные данные пользователей — логины, телефоны, почты, пароли. На других сайтах, упоминающих в названии «Мосэнерго», идет атака уже на сотрудников компании, отмечают эксперты In4security. Так, на одном из сайтов предлагается ввести логин и пароль для доступа к медицинской карте работника.

Завладев данными, злоумышленники будут либо собирать конфиденциальную информацию организации, либо могут заразить их IT-ресурсы вирусом-шифровальщиком, полагает Юрий Другач. «Так как это целевая атака, злоумышленники могли распространять ссылки на сайты путем рассылки по базе email-сотрудников организации: в открытом доступе их 73. Это немного, но, чтобы взломать IT-инфраструктуру, достаточно одной-трех учетных записей»,— предупреждает он.

Если же атака не даст результата, будут предприняты попытки взломать организацию с другим поводом — например, с помощью рассылки о новогодней премии для сотрудников, полагает эксперт. Ранее компания «Антифишинг» выяснила, что в 71% случаев россияне открывают фишинговые письма, написанные от имени руководителя или делового партнера.

Юлия Степанова

Картина дня

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...