В рунете появилось несколько десятков доменов, названия которых отсылаются к брендам московских энергетических компаний, в том числе «Мосгазу» и «Мосэнергосбыту». Многие сайты еще не имеют наполнения и не продвигаются в поисковой выдаче. Эксперты полагают, что злоумышленники запустят их с началом отопительного сезона. Часть ресурсов, по мнению специалистов по безопасности, нацелены на сбор данных сотрудников самих энергокомпаний для последующих атак.
В зоне .ru наблюдается «некоторый всплеск» регистраций доменов, содержащих комбинации вроде rusgaz, mosgaz, energo: все сайты появились в первых числах сентября и сейчас их около двух-трех десятков, рассказал «Ъ» ведущий аналитик «СерчИнформ» Леонид Чуриков. Он отмечает, что ни один из сайтов не продвигается в поисковой выдаче. «Возможно, их время еще не пришло — например, фишинговая кампания может стартовать в отопительный сезон», — полагает эксперт. Мэр Сергей Собянин накануне обьявил, что отопление в жилых домах Москвы начнут подавать с 13 сентября.
По данным Telegram-канала In4security, сейчас насчитывается около 15 доменов, упоминающих в названии АО «Мосгаз».
Подобные сайты начали появляться еще в июле, но в сентябре их число возросло до нескольких десятков, говорит сооснователь StopPhish Юрий Другач.
Упомянутые сайты не несут никакой информации о газовом обслуживании, а преследуют цель ввести в заблуждение граждан, заявили в пресс-службе АО «Мосгаз». В компании призывают доверять официальным источникам — сайту mos-gaz.ru и указанным на нем ссылкам на соцсети.
Некоторые сайты, копирующие «Мосгаз», пустуют, недоступны, наполнены рекламой несуществующих бизнес-тренингов, переадресовывают на Facebook или предлагают ввести почту и номер телефона, уточняет Леонид Чуриков. По его словам, наполнение сайтов отличается в зависимости от того, из какого региона подключается пользователь: с территории РФ открываются потенциально фишинговые страницы, а пользователей из-за рубежа переадресует на случайные страницы.
Метод, при котором разный контент показывается в зависимости от региона, устройства или браузера, с которого заходит пользователь, называется клоакинг: обычно этот способ используется для обмана поисковых систем при продвижении сайта, объясняет Юрий Другач.
Часть зарегистрированных по новой схеме сайтов похожа на «классический фишинг»: например, сайт mosenergosbut.ru представляет собой подделку под сайт «Мосэнергосбыта» mosenergosbyt.ru, говорит Леонид Чуриков.
По-видимому, полагает он, злоумышленники преследуют цель собрать учетные данные пользователей — логины, телефоны, почты, пароли. На других сайтах, упоминающих в названии «Мосэнерго», идет атака уже на сотрудников компании, отмечают эксперты In4security. Так, на одном из сайтов предлагается ввести логин и пароль для доступа к медицинской карте работника.
Завладев данными, злоумышленники будут либо собирать конфиденциальную информацию организации, либо могут заразить их IT-ресурсы вирусом-шифровальщиком, полагает Юрий Другач. «Так как это целевая атака, злоумышленники могли распространять ссылки на сайты путем рассылки по базе email-сотрудников организации: в открытом доступе их 73. Это немного, но, чтобы взломать IT-инфраструктуру, достаточно одной-трех учетных записей», — предупреждает он.
Если же атака не даст результата, будут предприняты попытки взломать организацию с другим поводом — например, с помощью рассылки о новогодней премии для сотрудников, полагает эксперт. Ранее компания «Антифишинг» выяснила, что в 71% случаев россияне открывают фишинговые письма, написанные от имени руководителя или делового партнера.
Юлия Степанова
