«Замочек» в адресной строке больше ничего не значит. Мошенники приручили сертификаты безопасности
NewsMakerРаскрыта схема заражения компьютеров через поддельные обновления.
Крупные банки и технологические компании снова оказались приманкой в руках мошенников. В новой кампании злоумышленники массово подделывают сайты известных брендов, выманивают учётные данные и сразу же получают удалённый доступ к компьютерам жертв. Схема поставлена на поток и работает почти как конвейер.
В отчёте SOCRadar, посвященном кампании Operation DoppelBrand, специалисты описали активность группы, которую отслеживают под именем GS7. С декабря 2025 по январь 2026 года она проводила серии атак, маскируясь под крупные финансовые и технологические организации. Среди приманок были страницы, копирующие интерфейсы банков и платёжных сервисов. Пользователю показывают почти неотличимую форму входа, после чего логин и пароль мгновенно уходят атакующим через бот в мессенджере Telegram.
Инфраструктуру разворачивают быстро и серийно. Для атак регистрируют сотни доменов с похожими именами, часто через одних и тех же регистраторов. Сайты прячут за защитными сетями доставки содержимого, чтобы усложнить блокировку и поиск настоящего сервера. Сертификаты шифрования выпускают автоматически, поэтому в адресной строке браузера всё выглядит «безопасно», что дополнительно усыпляет бдительность.
Страницы входа копируют почти полностью. Повторяют цвета, значки, стили оформления и структуру форм. Иногда в адресе используют трюк, когда имя известного банка вставляют не в домен, а в путь ссылки. Визуально строка выглядит правдоподобно, и многие не замечают подвоха. После ввода данных жертву нередко переадресуют уже на настоящий сайт, чтобы не вызвать подозрений.
Крупные банки и технологические компании снова оказались приманкой в руках мошенников. В новой кампании злоумышленники массово подделывают сайты известных брендов, выманивают учётные данные и сразу же получают удалённый доступ к компьютерам жертв. Схема поставлена на поток и работает почти как конвейер.
В отчёте SOCRadar, посвященном кампании Operation DoppelBrand, специалисты описали активность группы, которую отслеживают под именем GS7. С декабря 2025 по январь 2026 года она проводила серии атак, маскируясь под крупные финансовые и технологические организации. Среди приманок были страницы, копирующие интерфейсы банков и платёжных сервисов. Пользователю показывают почти неотличимую форму входа, после чего логин и пароль мгновенно уходят атакующим через бот в мессенджере Telegram.
Инфраструктуру разворачивают быстро и серийно. Для атак регистрируют сотни доменов с похожими именами, часто через одних и тех же регистраторов. Сайты прячут за защитными сетями доставки содержимого, чтобы усложнить блокировку и поиск настоящего сервера. Сертификаты шифрования выпускают автоматически, поэтому в адресной строке браузера всё выглядит «безопасно», что дополнительно усыпляет бдительность.
Страницы входа копируют почти полностью. Повторяют цвета, значки, стили оформления и структуру форм. Иногда в адресе используют трюк, когда имя известного банка вставляют не в домен, а в путь ссылки. Визуально строка выглядит правдоподобно, и многие не замечают подвоха. После ввода данных жертву нередко переадресуют уже на настоящий сайт, чтобы не вызвать подозрений.