В последние годы схема работы фишинговых сайтов в кредитно-финансовой сфере существенно поменялась. Вместо списания какой-то абстрактной суммы с карты через привязанный к фишинговому сайту интернет-эквайринг, оформленный на левую компанию, злоумышленники стараются получить доступ к личному кабинету клиента банка. Это позволяет не только похитить все имеющиеся в распоряжении жертвы деньги, но иногда еще и оформить на нее кредит.

Рассмотрим работу типичного фишингового ресурса на примере свежего prime-sbr[.]site.

Шаг 1
Привлечь внимание. Розыгрыш 10 миллионов рублей – отличный вариант.

Шаг 2
Получить данные, необходимые для входа в ЛК. В данном случае требуется ввести номер карты.

Шаг 3.
Получить код из СМС для доступа в личный кабинет клиента банка.

Судя по времени реакции на код, здесь используется классическая схема с возомнившим себя хакером биороботом, которому через Telegram-бота прилетает сперва номер карты, а потом код из СМС, и который вручную вбивает все это на официальном сайте банка. Очень популярная нынче схема, которая доказывает, что пока еще не все поддается автоматизации.

Выводы:
Подобные сайты являются крайне опасными, но защититься от такого рода атак не составляет особого труда. Достаточно прокачать навыки «Внимательность» и «Осторожность». В СМС-сообщении из банка прямым текстом указано, что код используется для входа в личный кабинет клиента банка.

Ну и конечно стоит соблюдать базовые правила цифровой гигиены, например, научиться отличать фейковый домен от настоящего. И самая главная рекомендация – не торопиться. Выдохните. 10 миллионов – это, конечно, хорошо, но попробуйте оценить все возможные риски перед тем, как ввести данные своей карты и тем более код из СМС. Не бойтесь обратиться на горячую линию банка за разъяснениями.

А если вы совсем гик, то можете залезть в исходный код. Смешных комментариев про мамонтов тут нет, зато видно, что все логотипы лежат на imgur.com – очень удобно, фишинговые сайты умирают, а картинки хранятся вечно. Вот и этому сайту пришло время уйти в небытие – он был отправлен на блокировку и успешно заблокирован.

Все больше фишинговых сайтов использует различные механизмы защиты от обнаружения. Даже сайты фейковых инвестплатформ, неотрывно связанные с телефонными мошенниками, стали применять географическое таргетирование.

И вот пример: свежий сайт, нацеленный на белорусскую аудиторию, https://belarusneft[.]com. Если вы откроете его с белорусского IP-адреса, то будете автоматически перенаправлены на ресурс https://multitudinousness[.]shop/W/belorusneft, на котором висит целый букет шаблонов под различного рода фишинг, и вам откроется типичный фейковый инвестиционный сайт. Кстати, если в адресной строке оставить один лишь домен, вас встретит картинка с веселым баклажаном!

Ну а если ваш адрес не относится к Республике Беларусь, то вам откроется клон сайта БПИФ «Доходъ», оригинал которого находится по адресу https://www.dohod[.]ru. Причем клон (пока) совершенно безобидный – просто ширма.

Ситуация чем-то напоминает много раз описанную нами схему «Хамелеон», только в данном случае все выполнено намного проще, без заморочек с тремя доменами, айфреймами и так далее.

Каждый раз, когда я думаю, что удивить меня сложно, жизнь подкидывает новые сюрпризы.

Встречайте: фейковый сайт несуществующей государственной программы «Банк спермы – роди ребенка от героя»…

Шаблон сайта примерно скопирован с официального ресурса Минздрава. Сам сайт пока используется только для сбора персональных данных.

Отдельно хочется отметить довольно качественно сделанный скан приказа Минздрава. На фоне корявых подделок, которые используют телефонные мошенники в схеме Fake Boss – это прямо шаг вперед. Впрочем, и здесь есть косяки – приказ от 4 января? Вы серьезно? Вся страна гуляет, а Минздрав решает создать банк репродуктивного материала? Это еще и суббота, кстати. Да еще и с номером 649Н, видимо предыдущие 3 дня 2025 года выдались особо жаркими на приказы. А зарегистрирован приказ только 21 января, причем под номером 76537. Можно лишь посочувствовать сотрудникам подразделений документооборота.

Все это конечно выглядит забавно, только вот владельцу ресурса принадлежит целая сеть сайтов, предназначенных для взлома Telegram-аккаунтов, так что можно предположить, что и репродуктивный сайт в итоге будет использоваться для этой же цели.

Время веселых историй. Мошенники, активно создающие фишинговые сайты под известный маркетплейс, не заморачиваясь подняли прямо на своей инфраструктуре сайт, предлагающий вернуть деньги всем людям, которые пострадали от действий мошенников.

Для этого они откопали скелет мамонта в виде шаблона фишингового сайта по возврату средств, украденного в 2020 году у других мошенников, которые запилили его году эдак в 2019, оставив при этом информацию о том, что «они работают уже целых 8 лет, а запустили проект в 2011».

Древний шаблон таит в себе и иные артефакты. Так, например, видеочат с оператором предлагается вести с использованием Adobe Flash плагина, который остался в пыльных закоулках истории уже много лет назад. А Россия в русскоязычном тексте написана как «Россiя». Вот прям сразу и не догадаешься, в какой стране находятся мошенники.

Вывод денег осуществляется на карты дропов через нелегальную платежку, обслуживающую скам-проекты и онлайн-казино. При этом сама схема неотрывно связана с телефонными мошенниками. Жертва вводит на сайте свой номер телефона для поиска начислений, оплачивает «комиссию», а после её ждет увлекательная телефонная беседа с сотрудником колл-центра. Но это уже совсем другая история.

Казалось бы, криворукие мошенники со старым кривым сайтом… кому это интересно? Но все не так просто, и данная история оставляет грустный осадок: все эти артефакты и ошибки на сайте не исправляются по одной причине – схема прекрасно работает и так. Никто не замечает эти ошибки.

Именно поэтому и следует развивать финансовую и компьютерную грамотность и информировать о новых или старых хорошо работающих уловках. Помните и расскажите своим близким: НИ ОДНА ОРГАНИЗАЦИЯ НЕ ВЕРНЕТ ВАМ ДЕНЬГИ, КОТОРЫЕ ПОХИТИЛИ НЕУСТАНОВЛЕННЫЕ МОШЕННИКИ.