Хакеры начали копировать сайты энергокомпаний

В рунете появилось несколько десятков доменов, названия которых отсылаются к брендам московских энергетических компаний, в том числе «Мосгазу» и «Мосэнергосбыту», пишет «Коммерсант», уточняя, что многие сайты еще не имеют наполнения и не продвигаются в поисковой выдаче.

По словам ведущего аналитика «СерчИнформ» Леонида Чурикова, в зоне .ru наблюдается «некоторый всплеск» регистраций доменов, содержащих комбинации вроде rusgaz, mosgaz, energo: все сайты появились в первых числах сентября и сейчас их около двух-трех десятков. «Возможно, их время еще не пришло — например, фишинговая кампания может стартовать в отопительный сезон», — отметил он. Ранее мэр Москвы Сергей Собянин объявил, что отопление в жилых домах Москвы начнут подавать с 13 сентября.

По данным Telegram-канала In4security, сейчас насчитывается около 15 доменов, упоминающих в названии АО «Мосгаз». Как рассказал сооснователь StopPhish Юрий Другач, подобные сайты начали появляться еще в июле, но в сентябре их число возросло до нескольких десятков. Упомянутые сайты не несут никакой информации о газовом обслуживании, а преследуют цель ввести в заблуждение граждан, заявили в пресс-службе АО «Мосгаз». В компании призывают доверять официальным источникам — сайту mos-gaz.ru и указанным на нем ссылкам на соцсети.

Некоторые сайты, копирующие «Мосгаз», пустуют, недоступны, наполнены рекламой несуществующих бизнес-тренингов, переадресовывают на Facebook или предлагают ввести почту и номер телефона, уточнил Леонид Чуриков. По его словам, наполнение сайтов отличается в зависимости от того, из какого региона подключается пользователь: с территории РФ открываются потенциально фишинговые страницы, а пользователей из-за рубежа переадресует на случайные страницы. Метод, при котором разный контент показывается в зависимости от региона, устройства или браузера, с которого заходит пользователь, называется клоакинг: обычно этот способ используется для обмана поисковых систем при продвижении сайта, объяснил Другач.

Часть зарегистрированных по новой схеме сайтов похожа на «классический фишинг»: например, сайт mosenergosbut.ru представляет собой подделку под сайт «Мосэнергосбыта» mosenergosbyt.ru, уточнил Чуриков. По-видимому, полагает он, злоумышленники преследуют цель собрать учетные данные пользователей — логины, телефоны, почты, пароли. На других сайтах, упоминающих в названии «Мосэнерго», идет атака уже на сотрудников компании, отмечают эксперты In4security. Так, на одном из сайтов предлагается ввести логин и пароль для доступа к медицинской карте работника.

Завладев данными, злоумышленники будут либо собирать конфиденциальную информацию организации, либо могут заразить их IT-ресурсы вирусом-шифровальщиком, полагает Другач. «Так как это целевая атака, злоумышленники могли распространять ссылки на сайты путем рассылки по базе email-сотрудников организации: в открытом доступе их 73. Это немного, но, чтобы взломать IT-инфраструктуру, достаточно одной-трех учетных записей», — предупредил он, добавив, что если же атака не даст результата, то будут предприняты попытки взломать организацию с другим поводом — например, с помощью рассылки о новогодней премии для сотрудников.