Петербуржцы продолжают получать предложения о нереальных «компенсациях»

Нынешние предложения о тех или иных «компенсациях» — в 99 % случаев циничный обман

Все мы любим компенсации от государства (и подсознательно понимаем: есть за что). Если помните, в начале пандемии оно (государство) даже расщедрилось пару раз на денежные подарки — «лицам 65+», «детям» и т. д. Но привыкать к благодеяниям явно не следовало.

Нынешние предложения о тех или иных «компенсациях» — в 99 % случаев циничный обман
Поверившие в «выплаты» обычно платят сами.

Сегодня под видом различных фондов или даже продвинутого портала Госуслуг предложения о «компенсациях» нам присылают никакие не госорганы, а вполне себе «частные лица» — прожженные вымогатели. Это не они нам платят, а мы платим им за свою же цифровую безграмотность.

НАУКА НЕ СТОИТ НА МЕСТЕ

За последний год мошеннические email-рассылки не только не потеряли актуальность, но даже несколько усовершенствовались. Вот краткая выборка из писем, пришедших на электронную почту автору и его коллегам.

Вот только один из таких «перлов».

Уже «тема письма» бьет наповал: «Вынесено постановление № 4913511» (ну как такое не открыть?). Но и само письмо составлено не без выдумки:

«Здравствуйте!

Ваш социальный счёт имеет положительный баланс. Вам произведён перерасчет Н.Д.С. и подготовлено начисление к возврату. Срок оформления заявки истекает в этом месяце. Без Вашей рекации (так в письме! — Ред.) средства будут депонированы на возвратный счёт ведомства.

Для получения следуйте инструкциям на официальном портале (далее следует активная ссылка «Перейти на портал госуслуг» — конечно, она ведет совсем не туда, а прямиком к троянскому вирусу).

Данное конкретное письмо пришло с адреса на некоем домене erbaruscertification.ru (почему на эти доменные имена можно не обращать особого внимания, мы расскажем позже). Надо отдать должное антивирусной программе: «левая» ссылка ко времени нашей публикации уже была заблокирована. С другой стороны, сам стиль письма внушал уважение: взять хотя бы и волшебные слова «социальный счёт» (что бы это ни значило) или «начисление к возврату»! И только досадные опечатки вроде «без Вашей рекации», как часто бывает, выдают полуграмотных уголовников из провинции (часто даже не российской), которые на самом деле сочиняют эти письма. Но рассчитывать на то, что грабители всегда выдадут себя, уже давно не приходится.

Другое «свеженькое» письмо пришло и вовсе с «международного» домена sjrdesign.net. Его владелец, некий Стюарт Роббинс (любитель космических исследований и нумизматики), скорее всего, и не подозревает о том, что мошенники подменяют свой обратный адрес именно его доменным именем.

Другое письмо от воображаемого «Фонда компенсаций населению» пришло и вовсе с турецкого домена Suresi.gen.tr. Такая подмена выглядит вдвойне цинично, так как на реально существующем сайте предлагаются «Переводы, достоинства, толкования, турецкие и арабские чтения сур Корана, а также аудиозаписи, которые вы можете послушать». Впрочем, мы не будем делать из этого факта далеко идущих выводов.

Еще одно недавнее письмо предлагает «Оформить выплату по ссылке» и даже предоставляет шаблоны соответствующих заявлений (но «кликать» на эти шаблоны мы ни в коем случае не рекомендуем!). Особенно порадовала просьба от мошенников: «Для активации письма […] нажмите кнопку “Не спам!”».

Другие послания (а их в месяц может приходить до полусотни) — как правило, вариации основной темы:

«Центр возврата НДС. Вы уже получили компенсационную выплату? Для получения выплаты пройдите и зарегистрируйтесь на сайте […]»

«Вы получили компенсацию?» Каждому гражданину полагается компенсация. Для её получения следуйте инструкциям на оффициальном сайте […]» (здесь и далее орфография источника сохранена. — Ред.).

«Майским постановлением установлен порядок выплаты компенсации, для получения перейдите на официальный портал […].

«По нашим сведениям вы имеете невостребованную компенсационную выплату. Для получения пройдите процедуру регистрации на сайте […]».

Неосторожный пользователь, который «пройдет регистрацию» на сайте (чей адрес действительно очень похож на «официальный»), незаметно для себя выдаст преступникам свои персональные данные.

Что происходит после этого? Довольно часто «интернет-общение» на этом прекращается, и вам звонит живой «менеджер». Его работа — уговорить вас перевести небольшие деньги компании-оператору — например, за юридическую помощь в заполнении анкеты (для ускоренного получения «компенсации»). Именно так вы «засветите» данные о своем банковском счете. При другом варианте вы просто окажетесь в чьей-то базе данных, и отныне работники «инфобизнеса» будут предлагать вам всё подряд — трудоустройство, лечение, тренинги...

В более сложных случаях письма окажутся «вирусными» — то есть с вредоносными программами внутри. Часто они содержат в себе программы-шпионы, которые могут автоматически считывать с вашей клавиатуры логины и пароли для входа на те или иные ресурсы (вплоть до вашего онлайн-банка), загружать и запускать файлы с вашего компьютера, рассылать письма, делать скриншоты вашего экрана. Вы можете «подхватить» даже вирус-шифровальщик, который блокирует доступ к компьютеру и потребует деньги за разблокировку.

Как отмечают все эксперты, убогая фантазия и детские ошибки пока что выдают мошенников. Но это ненадолго. Уже сегодня многие письма выглядят вполне правдоподобно. Ссылки, по которым предлагается перейти, ведут на работающие сайты. Специалисты поясняют, что в некоторых случаях злоумышленники даже получают электронные SSL-сертификаты и вполне законно выкупают релевантные доменные имена для сайтов с подходящим набором символов: stopcoronavirus, portal-kompens, fond2020, fond-rus и так далее (все примеры — реальные). В таких случаях обычные средства защиты, встроенные в браузеры, не помечают сайт как потенциально опасный.

Более того: мошенники уже уходят от бесперспективной «веерной рассылки» писем. Они используют все средства цифрового маркетинга — распространяют ссылки на свой ресурс за счет вирусной рекламы, постов в социальных сетях, чатах популярных мессенджеров, в комментариях к видео и так далее.

МЫ НЕ ОДИНОКИ

Безусловно, фишинговая рассылка — это не только российская проблема. Точно такую же аферу, например, мошенники провернули в Бразилии. Там «рассыльщики» уверяли людей, что в связи с пандемией правительство освободило граждан от необходимости платить за электроэнергию. Правда, сообщали они, просто взять и перестать платить нельзя — сначала надо зарегистрироваться на сайте по ссылке, указанной в сообщении.

Хотя ссылка (как и в нашем случае) традиционно вела на правительственный сайт, аналог «Госуслуг», адрес, с которого пришло письмо, был не похож на официальный, и у наблюдательного пользователя это могло бы вызвать сомнения. Эксперты из «Лаборатории Касперского» проверили эту ссылку и вынесли вердикт: если бы жертва последовала указаниям мошенников, на компьютер был бы установлен троян-загрузчик Sneaky (Trojan-Downloader.OLE2.Sneaky.gen), который скачивает и запускает другой троян. Результат: компьютер заражен, данные с него — доступны посторонним, и так далее.

Другая атака «рассыльщиков» была зафиксирована в ЮАР: в письме также была обещана «компенсация», и для ее получения было достаточно заполнить приложенную форму. «Форма» на поверку оказалась бэкдором SelfDel (Trojan.Win32.SelfDel.hoxq), который позволяет преступникам удаленно управлять вашим компьютером.

ЦИФРОВАЯ ОСМОТРИТЕЛЬНОСТЬ

Чтобы не перепутать очередной развод с настоящими мерами поддержки (а вдруг они все же произойдут?), эксперты (например, из той же «Лаборатории Касперского») советуют выполнять ряд простых и понятных правил.

► Оформляйте социальные выплаты только через официальные ресурсы (в России их не так много). Никогда не переходите по ссылкам в письмах и не открывайте вложения — лучше наберите в браузере адрес сайта нужного ведомства и там проверьте, действительно ли вам положена компенсация. На крайний случай, можно туда и позвонить!

► Обращайте внимание на адрес отправителя: если он непонятен, слишком сложен или зарегистрирован на общедоступном сервисе электронной почты, то вряд ли это адрес представителя госорганов.

Кстати: довольно часто свои «сложные» адреса мошенники подменяют на короткие с помощью «сервисов по сокращению ссылок». Самый известный из них — это Bit.ly (проект американской стартап-студии Betaworks). Этот сервис не может проверять всех «заказчиков», но есть интересный «лайфхак» — совет от них же, как подстраховаться: если вам прислали сокращенную ссылку от Bit.ly, но вы не уверены, что она безопасна, то вы можете посмотреть превью страницы, поставив после сокращенной ссылки знак «+» — так вам не придется переходить на сайт. Делать это неудобно (особенно на телефоне), но очень полезно.

► Эксперты, так же, как и мы, советуют внимательно смотреть на оформление письма и самого сайта. Официальные лица вряд ли рассылают сообщения с кучей ошибок и опечаток, набранные «капслоком» (большими буквами) или с чередой восклицательных знаков. Если вам напоминают о «сжатых сроках» компенсации — тоже стоит насторожиться. Госорганы обычно и сами не спешат, но и других не торопят.

► Наконец, требование заранее оплатить какую-либо комиссию, сбор за заполнение документов или ведение счета — стопроцентный признак мошенничества. Настоящие государственные организации и банки этого не требуют. Если комиссия действительно есть, реальная организация просто удержит ее из положенной вам суммы (и предупредит об этом).

Одним словом, «цифровая гигиена» во многих случаях сбережет ваши деньги. Кроме того, нельзя забывать о правиле бесплатного сыра, который бывает только в мышеловке: то же самое, как ни печально, относится и к «компенсациям».

Опубликован в газете "Московский комсомолец" №13 от 24 марта 2021

Заголовок в газете: Письма несчастья