Официальный сайт ОАО «Татнефть»
Официальный сайт ОАО «Татнефть»

САЙТЫ РАЗДВОИЛИСЬ

Как выяснил «БИЗНЕС Online», как минимум две крупные нефтегазовые компании Поволжья — ОАО «Татнефть» и ОАО «Газпром нефтехим Салават» — пострадали от атаки сайтов-двойников со схожими доменами и абсолютной копией содержимого. Обнаружены эти порталы были еще в октябре: один до сих пор функционирует, а с одним из мошенников можно легко связаться по указанным на сайтах телефонам.

Еще на прошлой неделе по запросу «Татнефть» «Яндекс» выдавал сразу два почти неотличимых друг от друга сайта — tatneft.ru и tatnefti.ru (на момент публикации этот сайт уже не открывается ни в одном из браузеров, и поисковик про него также «забыл»). Первый — единственный и официальный сайт татарстанской компании, второй же — его копия с одним, казалось бы, незначительным изменением: в контактах руководства указаны явно не альметьевские номера телефонов. В разделах «Справочная по организациям («Татнефти»)», «Канцелярия», «Информация для акционеров» и «Группа по связям с инвесторами» указан один и тот же номер с уфимским кодом. Кому он принадлежит? Выяснилось, что этот же номер значится на сайте с доменом gpnsru.com, который позиционирует себя как официальный сайт «Газпром нефтехим Салавата». Точнее, этот сайт предлагает посетителю сразу два контакта: на 8800 и тот же уфимский в качестве номеров отдела продаж. И если сайт tatnefti.ru еще можно опознать как фишинговый, то второй — также фальшивый! — действительно ввел автора этих строк в заблуждение. Он и сейчас открывается в Internet Explorer.

Корреспондент «БИЗНЕС Online» дозвонилась по двум указанным на фишинговых сайтах телефонам и попыталась прояснить ситуацию. Разговор получился невнятным: трубку брал один и тот же мужчина и на прямой вопрос: «В какую организацию я попала?» — ответил резонным вопросом: «А вы куда целились?» — после чего перевел телефонную линию в режим ожидания.

Фишинговый сайт «Татнефть»
Фишинговый сайт «Татнефть»

ДЛЯ ВЫЯВЛЕНИЯ КОНТРАКТОВ

В пресс-службе «Газпром нефтехим Салавата», куда обратился за комментариями «БИЗНЕС Online», с горечью поведали об истории сайта-«двойника». Официальный и мошеннический сайты действительно очень похожи (сравните: фишинговый www.gpnsru.com и официальный www.gpns.ru). Оказалось, что еще 15 октября компания обнаружила сайт-вредитель и пресс-релизом оповестила об этом клиентов: «Появляющиеся сайты-«двойники», как правило, имеют похожее доменное имя, оформление в фирменных цветовых решениях компании, информационное и фотонаполнение, используют фирменные знаки ОАО «Газпром нефтехим Салават» — все это вводит в заблуждение и создает иллюзию нахождения на официальном сайте компании. ОАО «Газпром нефтехим Салават» не имеет отношения и не несет ответственности за достоверность и действительность информации, представленной на сайтах вероятных мошенников, и действия, произведенные от их имени и в их интересах».

Таким же образом пришлось поступить и «Татнефти». В пресс-релизе от 30 октября компания предупреждает клиентов о фишинговых сайтах и просит сообщать о таковых на горячую линию или на электронный адрес. Татарстанская компания объясняет и мотивы киберпреступников: по ее данным, они действуют с целью похищения конфиденциальной коммерческой информации. «Такие сайты используются для подтверждения якобы достоверности предлагаемых к заключению контрактов, поставок товаров и услуг, а также найма сотрудников», — объясняется в пресс-релизе. В «Газпром нефтехим Салавате» о вероятной цели злоумышленников предпочли не распространяться, видимо, чтобы лишний раз не подсказывать способы нечестного заработка. «Их цель — деньги», — лаконично ответила на наш вопрос пресс-секретарь ОАО «Газпром нефтехим Салават» Диана Ягтман.

В разделах «Справочная по организациям», «Канцелярия», «Информация для акционеров» и «Группа по связям с инвесторами» указан один и тот же номер с уфимским кодом
В разделах «Справочная по организациям», «Канцелярия», «Информация для акционеров» и «Группа по связям с инвесторами» указан один и тот же номер с уфимским кодом

«При подобном варианте мошенничества события могут развиваться следующим образом, — рассказывает руководитель направления «Защита брендов» Group-IB Руслан Кривулин. — В компанию-«клон» обращается заинтересованный клиент, звонит по телефону, там с ним начинают общение от имени настоящей компании. В итоге, по задумке мошенников, разговор плавно должен перейти к заключению сделки. И в этот момент уже начинается обман клиента: ему направляют реквизиты для заключения договора, а в самом договоре прописывается некая сумма предоплаты за товары либо услуги. Покупатель перечисляет предоплату в рамках подписанного договора, после этого люди исчезают. Естественно, никакого обещанного товара (а иногда еще и со скидкой) пострадавший не получает».

Обе компании уже начали поиски злоумышленников. В ответ на запрос «БИЗНЕС Online» Ягтман сообщила, что компания обратилась в прокуратуру и Роскомнадзор, «также в настоящее время рассматривается вопрос о защите нарушенного права в судебном порядке». А «Татнефть», как выяснилось, с фишинговыми сайтами сталкивается постоянно: «Наши службы, в частности служба безопасности, следят за появлением сайтов-«двойников», — сообщили в компании. — В случае выявления нарушений законодательства мы передаем информацию в правоохранительные органы. Прямого ущерба нет — страдают наши потенциальные контрагенты и потребители, поэтому мы обращаем на это внимание. Проблема в том, что такие сайты обычно размещены на серверах за пределами России, что усложняет их преследование».

Официальный сайт ОАО «Газпром нефтехим салават»
Официальный сайт ОАО «Газпром нефтехим Салават»

СОТНИ И МИЛЛИОНЫ РУБЛЕЙ УЩЕРБА?

Хотя, по данным МВД по РТ, ни «Татнефть», ни «Газпром нефтехим Салават» в татарстанскую полицию пока не обращались, проблема вполне может иметь судебные перспективы. Эксперты информационной безопасности вторят: компании недооценивают ущерб от сайтов-«двойников», который может достигать нескольких миллионов рублей. «Фишинговые сайты могут стать причиной серьезных судебных разбирательств, включая иски о возмещении ущерба, — объяснил «БИЗНЕС Online» Кривулин. — Потери крупных брендов, чье имя используется создателями фишинговых и иных мошеннических ресурсов, может исчисляться сотнями, а иногда и миллионами рублей. Эта сумма складывается из прямых финансовых потерь, недополученной прибыли и репутационных потерь. Злоумышленники с самого начала стараются максимально усложнить работу по установлению их данных и местонахождения. Для этого они регистрируют свои веб-сайты у зарубежных регистраторов, предоставляют несуществующие данные по подложным документам. Но нет ничего невозможного. При должном уровне квалификации злоумышленников обнаружить можно, ведь они в ходе ведения своей деятельности оставляют цифровые отпечатки, по которым зачастую можно выйти на их след. Данная работа занимает много времени и очень трудоемка».

Создание сайтов, мимикрирующих под интернет-страницы известных компаний, подпадает под целый ряд норм уголовного кодекса РФ, в том числе в зависимости от цели, для которой злоумышленники создавали подобный сайт, объясняет Кривулин. В частности, это ст. 180 — «Незаконное использование средств индивидуализации товаров (работ, услуг)», ст. 159.6 — «Мошенничество в сфере компьютерной информации», ст. 273 — «Создание, использование и распространение вредоносных компьютерных программ» и ст. 272 — «Неправомерный доступ к компьютерной информации». «Все эти преступления относятся к категориям небольшой и средней тяжести, наказываются денежными штрафами, лишением свободы или принудительными работами», — говорит эксперт. Можно привлечь злоумышленников по статьям защиты товарного знака, фирменного наименования и логотипа, а также по статье защиты деловой репутации, добавляет антивирусный эксперт «Лаборатории Касперского» Юрий Наместников. «В данном случае важно, чтобы товарные знаки и логотипы фирмы-оригинала были зарегистрированы и, соответственно, являлись объектами защиты по закону», — уточняет он.

Фишинговый сайт всё с тем же номером телефона
Фишинговый сайт все с тем же номером телефона

Только в третьем квартале 2015 года «Лаборатория Касперского» зафиксировала 6,7 млн. попыток перехода пользователей на фишинговые сайты, рассказал «БИЗНЕС Online» Наместников. «Чаще всего злоумышленники подделывают страницы социальных сетей, глобальных интернет-порталов, например, Google, банков, интернет-магазинов, онлайн-игр и платежных систем», — констатирует он. В свою очередь Group-IB говорит о более 5 тыс. найденных за последний год фишинговых ресурсов, направленных на российских пользователей. Из них на российских доменных именах, например в зонах .ru, .рф, .su, было расположено более 2 тыс. уникальных фишинговых доменных имен. В Татарстане же процент таких мошенничеств весьма невелик, отмечают в пресс-службе МВД по РТ, и отдельной статистики по ним не ведется. В основном это мошенничества через такие известные сайты бесплатных объявлений по продаже и покупке товаров и услуг, как avito.ru, «Из рук в руки».

Меж тем в октябре, когда нефтехимические предприятия заметили кибератаку, проблема наказания создателей фишинговых сайтов оказалась на острие внимания Госдумы России. 12 октября член комитета ГД по безопасности и противодействию коррупции Илья Костунов выступил с инициативой разработки законопроекта, вводящего механизм досудебной блокировки фишинговых сайтов, незаконно собирающих персональные данные или платежную информацию пользователей. Парламентарий сослался на данные Центробанка, согласно которым сумма потерь банков и их клиентов от действий интернет-мошенников в 2014 году превысила 3,5 млрд. рублей, сообщает «Интерфакс». Костунов даже предложил дополнить главу 28 УК РФ «Преступления в сфере компьютерной информации» новой статьей, включающей ответственность за создание и владение фишинговыми сайтами. По мнению парламентария, по этой статье следует наказывать весомым штрафом либо четырьмя годами лишения свободы. «Проблема фишинга сейчас стоит очень остро, поэтому законопроект планируется внести уже в эту осеннюю сессию», — заявил Костунов.