«Бензин есть»: киберпреступники угоняют аккаунты водителей через сеть фальшивых онлайн-карт АЗС

изображение: grok
Компания F6, российский разработчик технологий для борьбы с киберугрозами, фиксирует активизацию злоумышленников, которые используют ситуацию на топливном рынке для кражи учётных данных пользователей. В июле специалисты F6 обнаружили сеть из более чем 60 фейковых сайтов, которые маскируются в том числе под онлайн-карты АЗС, популярные онлайн-игры и видеохостинги. Под предлогом регистрации фишинговые ресурсы предлагают указать номер мобильного телефона и код из СМС, а затем получают доступ к аккаунту мессенджера. По обращению CERT F6 домены, используемые в этой схеме, направлены для блокировки на территории России.
Ваша карта – липа
Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 предупреждают: на фоне очередей на АЗС киберпреступники развернули сеть фейковых сайтов, которые под предлогом получения актуальной информации о наличии топлива угоняют учётные записи водителей в популярном мессенджере.
Сеть насчитывает более чем 60 фишинговых ресурсов, созданных в период с мая по июль 2026 года. Многие из них маскируются под сервисы информационной помощи водителям и выглядят как онлайн-карты АЗС. Такие сайты созданы по разным шаблонам, но работают по одному и тому же сценарию.
Пользователям предлагают выбрать необходимый вид автомобильного топлива, регион и получить информацию о АЗС, на которых можно заправиться. Если нажать кнопку «Провести проверку», на следующей странице фейковый сайт сообщает о том, что найдено несколько автозаправочных станций, но список не показывает. Вместо этого под предлогом подтверждения номера ресурс требует указать номер мобильного телефона и нажать кнопку «Получить код».
В других случаях фишинговые сайты маскируются под легитимный ресурс с онлайн-картой АЗС, который действует как открытая карта без регистрации и подтверждения. Злоумышленники маскируются под бренд сервиса и копируют его оформление. При попытке просмотреть карту мошеннический ресурс требует указать номер телефона, якобы «чтобы получить электронный талон для заправки», а затем – указать код из СМС.
Если указать код, злоумышленники смогут перехватить учётную запись пользователя в мессенджере.
При получении доступа к аккаунту киберпреступники получают возможность читать переписку пользователя, включая документы, фото и видео, просматривать его контакты и данные учётных записей, незаметно для пользователя рассылать сообщения по списку контактов, вовлекая других пользователей в мошеннические схемы. Всё это киберпреступники могут делать, не лишая пользователя доступа к своей учётной записи, но могут и угнать её, заблокировав доступ к аккаунту с устройства владельца.
Злодеи предлагают ящик
Входящие в сеть фишинговые сайты нацелены не только против водителей, но и на детей. Так, от имени популярной онлайн-игры Brawl Stars пользователям предлагают получить старр дропы (игровую валюту), ящики (игровой предмет) после авторизации в мессенджере.
Ссылки на такие фишинговые ресурсы распространяют через рекламные посты в Telegram как в общедоступных, так и в приватных каналах.
Из более чем 60 опасных сайтов, входящих в обнаруженную специалистами F6 сеть, более половины – 58% – используют бренды популярных маркетплейсов, 19% – социальных медиа. Остальные 23% суммарно приходятся на карты АЗС, онлайн-игры, видеохостинги и сервисы бесплатных объявлений.
Большинство сайтов, которые используются в этой мошеннической схеме, зарегистрированы в доменной зоне .site. Остальные – в зонах .click, .shop, .lol, .online, .xyz и .biz.
Для названий доменов фишинговых ресурсов, которые маскируются под онлайн-карты АЗС, злоумышленники используют такие ключевые слова, как spravochnik, toplivo, poisk, azs, gde-benzin, gdebenz (в указанных выше доменных зонах). Фейковые сайты, нацеленные на игроков в Brawl Stars, размещают на доменах, в которых используют слова prime, prim, drops, voucher + название игры. В остальных случаях домены фишинговых ресурсов можно определить по таким ключевым словам в доменах, как authe, auth, voity, vhod, whod, rus, go + название бренда.
По обращению CERT F6 обнаруженные фишинговые ресурсы направлены для блокировки на территории России. Однако злоумышленники продолжают создавать новые домены.
«Киберпреступники, которые специализируются на угоне аккаунтов мессенджеров, используют ситуацию с автомобильным топливом для масштабирования атак на пользователей. Многие пользователи сейчас ищут информацию, где можно заправиться по привычным ценам. Из-за этого риски перехода на мошеннические и фишинговые ресурсы для водителей увеличились многократно», – говорит Анна Паневина, аналитик второй линии CERT департамента Digital Risk Protection компании F6.
Рекомендации специалистов F6 по защите от мошенничества с угоном аккаунта
Не переходите по сомнительным ссылкам из рекламных объявлений.
Не указывайте номер своего телефона и любые коды на сомнительных сайтах и ресурсах, которыми пользуетесь впервые.
Критично относитесь к предложениям регистрации и «подтверждения номера» на незнакомых сайтах и в Telegram-ботах. Как правило, легитимные ресурсы предоставляют доступ к онлайн-картам без подобной регистрации.
Если Вы обнаружили подозрительный сайт, отправьте ссылку или сообщение на платформу «Антифишинг». Специалисты F6 проверят информацию и передадут её регуляторам для блокировки.



