Использовал поддельный пропуск на территорию

Мошенники продают липовые электронные пропуска для Москвы и области

С 15 апреля в Москве и Подмосковье будут действовать специальные пропуска, которые дадут возможность жителям поехать на работу или по личным делам. «Режим пропусков будет вводиться поэтапно — мы сделаем его максимально удобным», — пообещал губернатор Подмосковья Андрей Воробьев.

Чтобы получить пропуск, достаточно оставить заявление не него: жителям Москвы — на сайте госуслуг, Подмосковья — в приложении «Госуслуги СТОП коронавирус». Пока это нужно только для поездок на транспорте.

Но мошенники и тут не спят. Они начали продавать пропуска, в том числе и для пешеходов, в интернете. Отдавая несколько тысяч рублей за поддельный «документ», можно попасть на крупный штраф за несоблюдение самоизоляции. В итоге доверчивые жители не только раскошелятся на пропуск, но и отдадут деньги за штраф.

Мошенники очень убедительно общаются с потенциальными покупателями в мессенджерах. Озвучивают сумму и просят предоставить все персональные данные. Получается, что пользователь не только получает липу, но и добровольно отдает непонятно кому личную информацию.

«Пропуск дает полный безлимит по городу на перемещения и днем, и ночью. Числиться будете как курьер документов в государственной компании. Действует по Москве и области», — уверяет один из продавцов.

Для большей убедительности собеседнику присылают скриншот пропуска и обещают, что через 12 часов придет письмо с портала государственных услуг — подозрительно долгий срок. И хотя сейчас для похода в магазин или аптеку пешком не нужен никакой пропуск, мошенник уверяет в обратном. За документ просит полную предоплату.

Переписка сотрудника «360» с продавцом в Telegram

Ценники начинаются от 400 рублей и доходят даже до 30 тысяч рублей. Это при том, что официальный пропуск можно оформить совершенно бесплатно, заполнив специальную форму.

Врут мошенники не только о необходимости документа для передвижения пешком, но даже и о сроках самоизоляции. Сейчас режим действует до конца апреля по распоряжению президента. Однако в сообщениях заявляют, что карантин продлится до сентября. Откуда такая информация, непонятно.

Махинации наказуемы

Безнаказанными мошенники не останутся. Власти следят за подобными действиями во время пандемии и ужесточают контроль.

«За подделку цифровых пропусков существует наказание, прописанное в Уголовном кодексе, это подделка документов. Есть еще второй момент: это предоставление недостоверных сведений. Это две разные вещи. За подделку документов более суровая статья Уголовного кодекса», — рассказал председатель Мосгордумы Алексей Шапошников в эфире Первого канала.

При предъявлении цифрового пропуска правоохранители легко смогут проверить, насколько достоверные сведения были там предоставлены. Еще раз подумать, прежде чем покупать пропуск в соцсети, стоит и самим людям.

За нарушение самоизоляции предусмотрен штраф от четырех до пяти тысяч рублей. Если вас поймают с липовым документом, то ответственности избежать не удастся.

Лучше подумать о своих деньгах и оформить официальный пропуск.

«Мошеннические схемы, которые предлагают заплатить денег за пропуск, в большинстве своем, конечно, ничем не помогут людям, только зря будут потрачены деньги. В любом случае человека остановят, оштрафуют и отправят домой», — рассказал «360» судебный эксперт в области компьютерной техники и цифровой электроники Артем Соколов.

[attention type=yellow]

По словам эксперта, можно не только нарваться на поддельный документ, но и вовсе ничего не получить. Слова о предоплате должны всегда настораживать.

[/attention]

«Я думаю, в 80% случаев после оплаты никаких действий не будет предпринято. В оставшихся 2% пришлют какие-то бумаги непонятные, которые сотрудники правоохранительных органов завернут и скажут: „Это недействительно, оплачивайте штраф и езжайте домой“», — предупредил Соколов.

Как официально получить пропуск?

Цифровые пропуска можно получить с 13 апреля. С 15 числа наличие такого документа для передвижения на транспорте станет обязательным. Ходить пешком можно без получения пропуска, но только в установленных случаях. К ним относятся походы в магазин, аптеку или зоомагазин. Еще можно вынести мусор или погулять с домашним питомцем на расстоянии не более 100 метров от дома.

Если вы едете на работу, в медицинское учреждение или по неотложным личным делам, то необходимо получить пропуск. Оформить цифровой пропуск для поездок по Москве можно тремя способами:

— заполнив форму на портале nedoma.mos.ru;

— отправив SMS на короткий номер 7377;

— позвонив по телефону +7(495)777-77-77.

Для поездок по Московской области пропуск необходимо оформлять в приложении «СТОП COVID-19». Программу можно скачать в в App Store и Google Play.

Введение электронных пропусков необходимо для борьбы с распространением коронавируса. Во время поездок необходимо иметь при себе паспорт и сам пропуск. Документы будут проверять полицейские, сотрудники ГИБДД и Росгвардии.

Источник: https://360tv.ru/news/tekst/lipovye-elektronnye-propuska/

Делаем копию карты-пропуска по фото

Однажды мне срочно понадобилось попасть в один бизнес-центр с пропускной системой в виде турникетов, открывающихся при помощи карт-пропусков. Человек, у которого находился в этот момент пропуск, был далеко, передать мне его он не мог, а оформление новой карты в силу бюрократических особенностей заняло бы много времени.

С чем мы имеем дело

Итак, человек с пропуском находится далеко, считывателя для бесконтактных карт у него с собой конечно же нет, но есть телефон, на который можно сделать фотографию карты. По фото карта была опознана как EM-Marin, она же EM4100.

Эти бесконтактные карты работают на частоте 125 КГц и содержат номер (далее — ID) размером 40 бит или 5 байт, который записывается на карту еще на заводе и не может быть изменен. Какой-либо защиты от чтения или копирования в них нет.

Для создания дубликатов этих карт используются заготовки T5577 и EM4305, которые свободно продаются.

Перезаписываемые карты-болванки выглядят как обычная пустая пластиковая карта в форм-факторе кредитки, а не перезаписываемые (с прошитым на заводе серийным номером) чуть толще и на лицевой стороне у них нанесен текст, состоящий из нескольких групп десятичных цифр. Встречаются и карты в виде брелков.

Для записи таких карт потребуется соответствующий копировщик. Я использую Proxmark3, но можно взять любой другой, который может работать с T5577 и позволяет ввести ID карты вручную. Или же вовсе использовать эмулятор, тогда можно обойтись без болванок.

Карта не имеет своего источника питания, оно поступает со считывателя «по воздуху», как в беспроводных зарядках. Считыватель генерирует электромагнитное поле, карта улавливает его через антенну и включается. Далее карта модулирует поле и начинает циклически передавать свой ID, который улавливается считывателем, связь при этом односторонняя.

Как именно передаются данные с карты: сперва идет преамбула из 9 бит «1», затем передается 1 байт Version Number, 2 байта Facility Code и 2 байта уникального номера карты, периодически следуют биты контроля четности. Взято по ссылке, там кстати еще неплохое описание протокола (на английском).

В самом простом варианте построения СКУД считыватель сам является контроллером доступа – сравнивает ID карты с номерами в памяти и принимает решение об открытии замка или турникета. В системах посложнее он отправляет эту информацию на контроллер по какому-либо интерфейсу.

Эксперимент

Итак, на карте нанесены некие цифры. Было логично предположить, что это и есть ее ID. Для того, чтобы это выяснить, я взял данные аналогичной карты, получилось следующее:

Цифры на карте: 0013396136 204.26792ID: 4A00CC68A8

После преобразования ID из HEX в DEC, получилось 317840976040, что не похоже на цифры с карты. Спойлер: если бы я сделал наоборот, и конвертировал цифры с карты в шестнадцатеричный формат, то я добился бы успеха сразу, но тогда эта статья была бы не такой содержательной

Размышляя над тем, что еще оно может значить, я вспомнил, что Proxmark помимо ID карты показывает еще кое-какие данные:

lf search proxmark3> lf searchNOTE: some demods output possible binary if it finds something that looks a tagFalse Positives ARE possible Checking for known EM410x pattern found: EM TAG ID : 4A00CC68A8 Possible de-scramble patternsUnique TAG ID : 5200331615HoneyWell IdentKey {DEZ 8 : 13396136DEZ 10 : 0013396136DEZ 5.5 : 00204.26792DEZ 3.5A : 074.26792DEZ 3.5B : 000.26792DEZ 3.5C : 204.26792DEZ 14/IK2 : 00317840976040DEZ 15/IK3 : 000352190666261DEZ 20/ZK : 05020000030301060105}Other : 26792_204_13396136Pattern Paxton : 1256236712 [0x4AE0A6A8]Pattern 1 : 10853441 [0xA59C41]Pattern Sebury : 26792 76 5007528 [0x68A8 0x4C 0x4C68A8] Valid EM410x ID Found!proxmark3>
[attention type=red]

Ага, 0013396136 и 204.26792 — это именно то, что написано на карте!
Но ведь на ней хранится всего лишь 5 байт, значит эти числа должны вычисляться из ID по некому алгоритму ридером или его клиентом. К счастью, Proxmark – open-source проект, его исходные коды доступны на гитхабе . Я сделал поиск в репозитории по строке «DEZ 10» и нашел функцию cmdlfem4x.c.

[/attention]Часть кода cmdlfem4x.c: … //output 88 bit em id PrintAndLog(“EM TAG ID : %06X%016” PRIX64, hi, id); } else{ //output 40 bit em id PrintAndLog(“EM TAG ID : %010” PRIX64, id); PrintAndLog(“Possible de-scramble patterns”); PrintAndLog(“Unique TAG ID : %010” PRIX64, id2lo); PrintAndLog(“HoneyWell IdentKey {“); PrintAndLog(“DEZ 8 : %08” PRIu64,id & 0xFFFFFF); PrintAndLog(“DEZ 10 : %010” PRIu64,id & 0xFFFFFFFF); PrintAndLog(“DEZ 10 : %010” PRIu64,id & 0xFFFFFFFF); PrintAndLog(“DEZ 5.5 : %05lld.%05” PRIu64,(id>>16LL) & 0xFFFF,(id & 0xFFFF)); PrintAndLog(“DEZ 3.5A : %03lld.%05” PRIu64,(id>>32ll),(id & 0xFFFF)); PrintAndLog(“DEZ 3.5B : %03lld.%05” PRIu64,(id & 0xFF000000) >> 24,(id & 0xFFFF)); PrintAndLog(“DEZ 3.5C : %03lld.%05” PRIu64,(id & 0xFF0000) >> 16,(id & 0xFFFF));…

Из кода выше становится ясно, что эти числа – части ID карты: 0013396136 (DEZ 10) – первые 4 байта, если считать от младшего к старшему. 204.26792 (DEZ 3.5C) – третий байт отдельно (он же Facility Code) и непосредственно 2 байта серийного номера карты.

Таким образом, по цифрам на карте можно восстановить часть ее ID. Но как быть, если известны 4 байта, а требуется 5? И если четвертый байт имел значение 0 на всех считанных мной картах, то пятый байт всегда ненулевой. Перебирать этот байт в конкретном случае не вариант — не хочется вызывать подозрения у охраны.

Тут я вспомнил, что СКУД в этом бизнес-центре установлен достаточно давно, поэтому я предположил, что там может использоваться для передачи данных популярный, но устаревший Wiegand-26. Этот протокол предназначен для связи считывателя с контроллером, и позволяет передавать за одну посылку 24 бита данных и 2 бита четности, итого 3 байта полезной нагрузки.

Это означает, что ID карты не передается полностью и неизвестный пятый байт никак в идентификации не участвует и может быть рандомным.

Стоит отметить, что некоторые современные считыватели все же читают и сравнивают старший байт карты, в таком случае придется перебирать 255 комбинаций, но это можно сделать за приемлемое время, особенно если использовать эмулятор.

Ну что же, теперь осталось проверить на практике все изыскания выше. Для создания копии карты я взял заготовку T5577 и записал на нее полученный ID (пятый байт — случайный):

Запись карты proxmark3> lf em 410xwrite 0100CC68A8 1Writing T55x7 tag with UID 0x0100cc68a8 (clock rate: 64)#db# Started writing T55x7 tag …#db# Clock rate: 64#db# Tag T55x7 written with 0xff80600630c8d23a proxmark3>

Получилась почти полная копия карты с фото, отличается только старший байт. Для уверенности можно еще раз ввести команду lf search и проверить, совпадают ли DEZ 10 и DEZ 3.5C с цифрами на оригинальной карте.

После этого я записал уже преобразованный аналогичным образом ID нужного мне пропуска.
Как и ожидалось, карта считалась корректно, турникет щелкнул, мигнул зеленым индикатором.

Пост-скриптум

Если вы отвечаете за безопасность, то скорее всего, все описанное в этой статье не будет для вас новостью. В противном случае все же не стоит преждевременно рвать волосы на теле. Проблема кроется в том, что данный формат карт изначально не обеспечивает высокого уровня безопасности.

Эти карты не поддерживают каких-либо механизмов аутентификации и шифрования, следовательно могут быть скопированы в любой момент подходящим считывателем.

На серьезных объектах, таких как банки, дата-центры и хранилища ядерных боеголовок, вместо EM-Marin применяются более защищенные форматы карт (по крайней мере, хочется в это верить).

[attention type=green]

Например, это семейство MIfare, где карты разделены на сектора с индивидуальными ключами чтения и записи, а некоторые карты этого стандарта поддерживают даже алгоритм шифрования AES. Ну и не стоит забывать про дополнительные методы контроля доступа.

[/attention]

В любом случае, не копируйте чужие карты без согласия их владельцев.

• proxmark3
• rfid
• em-marin
• скуд

Хабы:

• Информационная безопасность
• Беспроводные технологии
• Лайфхаки для гиков

Источник: https://habr.com/ru/post/514408/

Выдача цифровых пропусков на передвижение по Москве и области обернулась хаосом Ситуацию усугубляют мошенники с фальшивыми разрешениями — Meduza

С 15 апреля передвижение граждан по Москве и Подмосковью на личном и общественном транспорте начнут контролировать с помощью цифровых пропусков. Их выдача уже началась.

Необходимость запустить систему в краткие сроки породила хаос: москвичи испытывают проблемы с оформлением пропусков из-за перебоев в работе сайта московского правительства и перегруженности его телефонной линии, а жителям Подмосковья при попытке оформить пропуск начали случайно подключать платные СМС-услуги, в то время как на сайте по выдаче пропусков шли «технические работы». На неразберихе пытаются нажиться мошенники — они массово регистрируют сайты и телеграм-каналы с предложением за деньги оформить пропуска для передвижения по Москве.

В понедельник, 13 апреля, в Москве и Подмосковье начали работать системы выдачи цифровых пропусков. С 15 апреля наличие цифрового пропуска будет обязательным для любых поездок на общественном и личном транспорте. Для передвижения пешком получать пропуск не нужно.

Жителям Москвы для оформления цифрового пропуска нужно заполнить форму на сайте nedoma.mos.ru, позвонить по телефону +7 (495) 777-77-77 или отправить СМС на короткий номер 7377.

В Подмосковье получить пропуск можно через портал uslugi.mosreg.ru, по телефону 8-800-550-50-30, с помощью СМС на номер 0250 или в мобильном приложении «Госуслуги СТОП Коронавирус», разработанном Минкомсвязью.

Заявлено, что системы цифровых пропусков в Москве и области связаны, то есть жители Подмосковья могут ездить со своими пропусками в Москву, а москвичи — в область.

К вечеру 13 апреля мэрия Москвы отчиталась о выдаче 1 миллиона 800 тысяч пропусков. Сергей Собянин признал, что «работа идет непросто» и допустил незначительное изменение срока начала действия пропускной системы.

Server Error

Раньше всех было запущено мобильное приложение «Госуслуги СТОП Коронавирус»: Минкомсвязь без какого-либо анонса разместила его в магазинах приложений вечером 11 апреля. После этого его тут же начали устанавливать жители Москвы: мэр города Сергей Собянин подписал указ о введении цифровых пропусков днем ранее.

Однако в понедельник, 13 апреля, Минкомсвязь заявила, что приложение не будет работать для получения пропусков в Москве — зато его смогут использовать жители Подмосковья.

Это внесло путаницу, но еще больше людей смутил интерфейс самого приложения: в нем предлагается оформлять пропуск для каждого выхода из дома в магазин, аптеку или на прогулку с собакой — хотя власти заявляли, что для пеших прогулок пропуск не понадобится.

Кроме того, в «Госуслугах СТОП Коронавирус» тут же обнаружили недостатки.

Технический директор Red Shield VPN Владислав Здольников рассказал «МБХ Медиа», что в QR-кодах, выдаваемых этим приложением, зашифрованы ссылки на портал «Госуслуги» с персональным данными граждан, и эти ссылки доступны для индексирования поисковым системам. Таким образом, есть вероятность, что ссылки с персональными данными граждан, получившими QR-коды, появятся в поисковой выдаче Google и «Яндекса», утверждает он.

Вслед за мобильным приложением проблемы начались и на портале nedoma.mos.ru, который правительство Москвы 13 апреля запустило для выдачи цифровых пропусков в столице. Сайт весь день работал с перебоями из-за большой нагрузки.

В мэрии проблемы объясняли хакерскими атаками, «в том числе из-за рубежа».

 В частности, власти заявили об обнаружении в интернете сообщества JoyReactor, пользователи которого обсуждали планы по организации атаки на сайт по выдаче пропусков.

«Мы сегодня за последние три часа испытали атак — наверное, думаю, что заказных, — столько, сколько не испытывали за последние два квартала. То есть нас очень упорно пытаются сломать», — сказал руководитель департамента информационных технологий Москвы Эдуард Лысенко. В оперативном штабе по борьбе с коронавирусом заявили, что уже направили информацию об атаках в правоохранительные органы.

Получить пропуск в Москве альтернативным способом тоже оказалось непросто. Пользователи в интернете массово жаловались, что дозвониться по номеру телефона правительства Москвы невозможно часами.

«Звонок на городской телефон сейчас тоже не самый лучший вариант, много людей задают вопросы, все пытаются дозвониться по телефону.

[attention type=yellow]

Работает порядка тысячи операторов, и среднее время разговоров 3,5 минуты», — подтверждал Лысенко.

[/attention]

Оформить пропуск с помощью СМС, направленного по короткому номеру, тоже оказалось нелегко — как в Москве, так и в области. Большинство пользователей из Москвы просто не смогли разобраться в том, что именно нужно писать в СМС, поэтому около 90% сообщений содержали некорректный текст.

«Некоторые даже отправляют СМС со свободным текстом — например, „дайте мне пропуск“. Для того чтобы получить цифровой пропуск, горожанам необходимо отправить СМС с четким соблюдением шаблона заполнения», — пояснили в мэрии.

В то же время «Русская служба Би-би-си» отмечает, что при попытке заказать пропуск через СМС ответ пришел только через два часа.

В Подмосковье с оформлением пропуска путем отправки СМС на короткий номер возник другой казус. Абоненты «Мегафона», отправившие сообщение на номер 0250, вместо пропуска получили платную подписку на развлекательную услугу.

В «Мегафоне» это объяснили тем, что еще утром 13 апреля этот номер был «привязан» к другому сервису и «в компании не получали запросов об организации услуги на этом номере со стороны правительства Московской области».

Оператор уже отключил платную услугу, а все расходы на СМС, которые понесли жители Подмосковья, пообещал компенсировать.

При этом получить пропуск в Подмосковье альтернативным путем, например на портале на uslugi.mosreg.ru, на момент подготовки этого материала было невозможно: на сайте висело объявление «В данный момент на портале проводятся технические работы. Подача заявлений временно недоступна». Впрочем, к утру 14 апреля это сообщение исчезло.

Информации о том, каким образом все эти цифровые пропуска будут проверять, с помощью каких устройств считывать данные, пока нет. Несмотря на это власти уже сообщили, что проверять наличие пропуска должны будут в том числе водители такси. Каким образом будет организована эта система — тоже неизвестно. Кроме того, у водителей такси по закону нет полномочий проверять личные данные пассажиров.

Мошенники

Хаос вокруг выдачи электронных пропусков моментально спровоцировал появление большого количества мошеннических сервисов, предлагающих гражданам выдать пропуск за деньги. «Медуза» обнаружила несколько десятков сайтов в зонах .ru и .

рф, которые были зарегистрированы в апреле и теперь предлагают оформить цифровые пропуски за деньги, а также больше десятка различных телеграм-каналов с аналогичными предложениями. Объявленная ими цена за пропуск, как правило, составляет несколько тысяч рублей. Так, на сайте propuski-sprai.

ru пропуск для передвижения по Москве предлагается оформить за 10 тысяч рублей

«Есть случаи мошенничества с цифровыми пропусками, их расследуют сотрудники правоохранительных органов, скорее всего, будут заведены уголовные дела», — подтвердил Эдуард Лысенко в эфире радиостанции «Эхо Москвы» в понедельник. Он предупредил, что все пропуска для передвижений выдаются строго на ресурсах правительства столицы и являются абсолютно бесплатными.

Руководитель группы анализа веб-контента в «Лаборатории Касперского» Константин Игнатьев отмечает, что злоумышленники постоянно адаптируют свои тактики и схемы под актуальную повестку.

«Поэтому не удивительно, что в сети могут появляться фейковые предложения по выдаче пропусков для передвижения по Москве и другим городам.

[attention type=red]

Еще в марте, например, в русскоязычном сегменте интернета мы видели сообщения, в которых пользователям предлагали якобы различные компенсации в связи с коронавирусом: для того, чтобы их получить, нужно было лишь оплатить небольшую комиссию.

[/attention]

Никаких выплат пользователь, разумеется, не получал, а комиссия уходила злоумышленникам. Чаще всего в предложениях, так или иначе эксплуатирующих тему пандемии, злоумышленники пытаются получить либо личные данные пользователей, либо их деньги», — говорит он.

С ним согласен директор по методологии и стандартизации в компании Positive Technologies Дмитрий Кузнецов: он отмечает, что злоумышленники традиционно используют любое резонансное событие или для кражи денег, или для получения личных данных людей, которые затем можно перепродать на черном рынке.

Законность

Несмотря на проблемы с работой систем выдачи пропусков, с 15 апреля за поездки по Москве и области без их оформления можно будет получить штраф.

По словам Лысенко, он составит от 1 до 40 тысяч рублей, в зависимости от состава правонарушения и их количества.

 Глава ДИТ Москвы также отметил, что если пропуск попытается оформить человек, который должен находиться на обязательном карантине, к нему будут применены меры, «обозначенные в указе и КоАП», а его пропуск будет заблокирован.

Глава юридической службы «Апологии протеста» Алексей Глухов говорит, что основная статья, по которой будут привлекать пользователей, — это 3.18.

1 КоАП Москвы («Нарушение требований нормативных правовых актов Москвы, направленных на введение и обеспечение режима повышенной готовности на территории города»). За первое нарушение по ней предусмотрен штраф в 4000 рублей, а за повторное — 5000 рублей.

«Пятитысячный штраф также назначается в случае, если вас застали вне дома на транспортном средстве, пока непонятно, подпадает ли под этот запрет велосипед. Часть 2 статьи 6.

3 КоАП („Нарушение законодательства в области обеспечения санитарно-эпидемиологического благополучия населения“) будет применяться в отношении тех, у кого есть предписание от санитарного врача. Наказание по этой статье — от 15 000 рублей до 40 000 рублей», — говорит Глухов.

В то же время вопрос о легальности всей системы цифровых пропусков пока остается открытым. В правозащитной организации «Агора» внедряемую систему цифровых пропусков считают незаконной, так как свобода передвижения гарантирована Конституцией России.

«Отдельные ограничения прав и свобод могут устанавливаться только в условиях чрезвычайного положения c обязательным указанием пределов и срока их действия», — отмечают в «Агоре».

При этом указы мэра Москвы Сергея Собянина о введении системы цифровых пропусков «на неопределенный период вводят ограничения конституционного права граждан в отсутствие объявленного чрезвычайного положения», говорят юристы.

Обновлено. Уже после выхода этого материала стало известно, что власти Москвы аннулировали 900 тысяч из 3,2 миллионов выданных цифровых пропусков. Пропуска аннулировали, поскольку жители подали некорректные или недостоверные данные, сообщил глава департамента информационных технологий Москвы Эдуард Лысенко.

Источник: https://meduza.io/feature/2021/04/14/vydacha-tsifrovyh-propuskov-na-peredvizhenie-po-moskve-i-oblasti-obernulas-haosom

Карантинные химеры: кибермошенники создают систему фейковых пропусков

С помощью новой схемы мошенники планируют воровать деньги и паспортные данные, получать доступ к аккаунтам в соцсетях и электронным почтовым ящикам россиян, которым потребовалось оформить пропуска в период карантина. В данный момент преступники работают над созданием клонов сайтов госучреждений, ответственных за выдачу документов (в их числе — mos.ru, mosreg.ru и gosuslugi.

ru), и подделывают порталы СМИ, на которых планируется размещать фейковые новости, сообщили «Известиям» эксперты по кибербезопасности. Кроме того, запланирована хакерами и массовая рассылка сообщений через электронную почту, соцсети и мессенджеры. Для защиты от злоумышленников специалисты советуют воспользоваться сервисами по проверке информации.

О том, как это сделать — в материале «Известий».

Атака клонов

Вынужденная изоляция из-за пандемии COVID-19 заставляет людей всё больше времени проводить в интернете. Сеть нужна для работы в удаленном режиме, учебы, заказа товаров и организации домашнего досуга. Рост трафика подтвердил даже замглавы Минкомсвязи Алексей Волин, заявивший, что «оставшись дома, народ ломанулся в интернет, причем ломанулся туда со страшной силой».

По информации российской компании «Интернет-розыск», трендом решили воспользоваться и сетевые мошенники.

Сейчас они организуют глобальную преступную систему, состоящую из поддельных сайтов, взломанных аккаунтов в социальных сетях и вредоносных Telegram-ботов.

[attention type=green]

Преступники собираются привлечь людей услугой по предоставлению пропусков для передвижения по городу в условиях эпидемии COVID-19, а затем украсть их деньги и персональные данные.

[/attention]

— Информацию о готовящейся акции мы получили с помощью наших ботов, которые внедрены в даркнет (теневой сегмент интернета. — «Известия») и ряд закрытых чатов, — рассказал генеральный директор компании Игорь Бедеров. — От них мы узнали, что в настоящее время готовится схема обмана людей, планирующих оформить себе пропуска.

По словам эксперта, данная схема, известная как «кроличья нора», подразумевает массовую рассылку адресов фейковых сайтов, которые будут максимально похожи на ресурсы государственных органов, имеющих полномочия по выдаче документов (в их числе mos.ru, mosreg.

ru и gosuslugi.ru). Ожидается, что происходить это будет с помощью взломанных аккаунтов в социальных сетях и Telegram-ботов.

Легитимность сообщений злоумышленники попытаются подтвердить ссылками на статьи, якобы размещенных в ведущих российских СМИ — их сайты также получат клонов.

Пропускной нажим

После перехода пользователей на вредоносные ресурсы у них запросят паспортные данные для оформления пропусков, а также реквизиты банковских карт — якобы для оплаты услуги после получения.

— Дальнейшие их действия можно предсказать по более ранним преступным акциям данного типа, которые, в частности, проводились под видом получения неких компенсационных государственных выплат или оплачиваемых банковских опросов, — предупредил Игорь Бедеров. — Тогда преступники, как правило, добивались добровольного перевода денег, после чего им удавалось снять оставшиеся средства с карточек с помощью уже полученных реквизитов.

При этом личные данные пользователей, скорее всего, станут товаром для продажи на черном рынке, формируя новые нелегальные базы. Финальным этапом схемы обычно выбирается взлом личных аккаунтов обманутого пользователя в социальных сетях и его почтовых ящиков (это производится с помощью захваченных файлов cookies), после чего их подключают к рассылке вредоносных сообщений.

Масштабный характер незаконной акции подтвердили специалисты сервиса по анализу рисков Security Intelligence Cryptocurrencies Platform (SICP).

— По своему масштабу новая угроза сопоставима с финансовыми пирамидами, организаторы которых тратят колоссальные суммы на продвижение через известных людей и популярные сайты, — отметил независимый эксперт SICP Александр Подобных. — И симметричным ответом на это со стороны государства, боюсь, может быть только значительное усиление контроля за SIM-картами, хостингами и дата-центрами.

По словам экспертов, помимо уже упомянутого увеличения российского интернет-трафика, существует еще целый ряд дополнительных факторов, которые будут играть на руку преступникам, повышая их шансы на успех.

— В первую очередь к ним относится невротизация людей на фоне эпидемии, из-за чего ими становится легче манипулировать, — считает директор департамента информационной безопасности Национальной инжиниринговой корпорации Лука Сафонов.

— С другой стороны, положение дел усложняет ситуация с государственными порталами, которые сейчас не выдерживают наплыва посетителей.

Дело в том, что когда у людей не получается оформить пропуск через официальный ресурс, они с наибольшей вероятностью могут заинтересоваться альтернативным предложением.

Простые вычисления

Несмотря на изощренность преступных методов, от обмана всё же можно защититься, используя несколько простых инструментов, позволяющих вычислить мошенников. Инструкцию по проверке входящих сообщений «Известиям» предоставила компания «Интернет-розыск»:

1. Все государственные организации и частные компании, работающие на территории России, имеют зарегистрированные в нашей стране доменные имена. Поэтому подозрительные ссылки стоит проверять через сервис WHOIS, который раскрывает их истинных владельцев. Если же по результатам экспертизы они оказываются скрыты, то полученной информации лучше не доверять.
2. Полезной в такой ситуации будет и проверка отправителя письма, которую можно провести через верификаторы почтовых ящиков, размещенные на сайтах https://2ip.ru/mail-checker/; http://ru.smart-ip.net/check-email/ и https://ivit.pro/services/email-valid/. Она позволит убедиться в том, что сообщение поступило именно с сервера организации, сотрудники которой были указаны в качестве его авторов.
3. Также косвенным признаком мошенничества может стать так называемая сокращенная ссылка, которая имеет окончание click.ru, goo-gl.ru и пр. Её оригинальный адрес также стоит проверить (не переходя на него!) с помощью специальных сервисов — они доступны по адресам: https://scanurl.net/; https://vms.drweb.ru/online/, https://virusdesk.kaspersky.ru/ и https://iplogger.ru/url-checker/.

Источник «Известий» в силовой структуре подтвердил необходимость в дополнительной проверке легитимности запроса при получении требования о перечислении средств.

— Это нужно делать даже в случае, если кажется, что сообщение отправлено одной из государственных структур, — отметил он.

Также эксперт предложил дополнительный способ проверки писем, полученных через электронную почту: на подозрительное сообщение нужно попытаться ответить. Если адрес сотрудника организации при этом не поменяется, то с высокой долей вероятности он не является поддельным.

Впрочем, это не отменяет необходимости в дополнительных проверках, описанных в инструкции.

В Роскомнадзоре на запрос «Известий» ответили, что готовы оперативно направлять администраторам сайтов, размещающих недостоверную информацию, уведомления о необходимости её удаления — в случае, если этого потребует Генеральная прокуратура.

— При невыполнении этой инструкции, до операторов связи будет доведена информация о необходимости ограничить доступ российских пользователей к данном контенту, — отметили в организации.

При этом в Роскомнадзоре подчеркнули, что у них нет полномочий по ведению расследований по предотвращению киберпреступлений и мошенничества в интернете.

Также «Известия» отправили запросы в МВД, ФСБ и департамент информационных технологий Москвы. Однако оперативных ответов получить не удалось.

Источник: https://iz.ru/1000607/aleksandr-bulanov/karantinnye-khimery-kibermoshenniki-sozdaiut-sistemu-feikovykh-propuskov