Аналитики Angara Security проанализировали более 600 доменов, связанных с онлайн-ресурсами технической поддержки, которые зарегистрированы в
Конечной целью таких ресурсов является получение учетных записей от «Госуслуг». После ввода необходимых данных злоумышленники просят подтвердить данные через портал. Пользователей могут вводить в заблуждение актуальные ссылки на «Политики конфиденциальности», опубликованные на официальных ресурсах провайдеров, а также логотипы компаний и портала государственных услуг.
«Домены, в которых фигурируют наименования операторов связи, быстро выявляются сотрудниками служб безопасности, поэтому мошенники избегают их упоминания в адресе нелегитимного онлайн-ресурса. Это один из признаков мошеннической площадки. Второй признак — в названии страниц фигурирует .html расширение, что говорит о низкоуровневой IT-разработке, не свойственной крупным компаниям», — отметили эксперты Angara Security.
Помимо операторов связи, злоумышленники также используют фейковые ресурсы техподдержки Telegram и Facebook (Meta, признана экстремистской организацией в России), а также сервисных порталов онлайн-казино, банков, ритейлеров, криптобирж для получения доступа к учетным записям.
Основными источниками распространения таких сообщений являются фишинговые сообщения, которые распространяются от имени брендов по электронной почте, в push-сообщениях непроверенных приложений, которые можно случайно скачать в Google Play и других сторах. Злоумышленники также могут использовать рассылки в мессенджерах, механику «отравления» поисковой выдачи, чтобы поднять вредоносный сайт в результатах поиска, а также малвертайзинг, или рассылку рекламных сообщений.
Ряд выявленных доменов заблокирован в результате действий специалистов Threat Intelligence. О незаблокированных онлайн-ресурсах специалисты Angara Security сообщили компаниям, бренды которых эксплуатируют мошенники.