«Бензин есть»: киберпреступники угоняют аккаунты водителей через сеть фальшивых онлайн-карт АЗС

Бензин есть: киберпреступники угоняют аккаунты водителей через сеть фальшивых онлайн-карт АЗС

изображение: grok

Компания F6, российский разработчик технологий для борьбы с киберугрозами, фиксирует активизацию злоумышленников, которые используют ситуацию на топливном рынке для кражи учётных данных пользователей. В июле специалисты F6 обнаружили сеть из более чем 60 фейковых сайтов, которые маскируются в том числе под онлайн-карты АЗС, популярные онлайн-игры и видеохостинги. Под предлогом регистрации фишинговые ресурсы предлагают указать номер мобильного телефона и код из СМС, а затем получают доступ к аккаунту мессенджера. По обращению CERT F6 домены, используемые в этой схеме, направлены для блокировки на территории России.

Ваша карта – липа

Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 предупреждают: на фоне очередей на АЗС киберпреступники развернули сеть фейковых сайтов, которые под предлогом получения актуальной информации о наличии топлива угоняют учётные записи водителей в популярном мессенджере.

Сеть насчитывает более чем 60 фишинговых ресурсов, созданных в период с мая по июль 2026 года. Многие из них маскируются под сервисы информационной помощи водителям и выглядят как онлайн-карты АЗС. Такие сайты созданы по разным шаблонам, но работают по одному и тому же сценарию.

Пользователям предлагают выбрать необходимый вид автомобильного топлива, регион и получить информацию о АЗС, на которых можно заправиться. Если нажать кнопку «Провести проверку», на следующей странице фейковый сайт сообщает о том, что найдено несколько автозаправочных станций, но список не показывает. Вместо этого под предлогом подтверждения номера ресурс требует указать номер мобильного телефона и нажать кнопку «Получить код».

В других случаях фишинговые сайты маскируются под легитимный ресурс с онлайн-картой АЗС, который действует как открытая карта без регистрации и подтверждения. Злоумышленники маскируются под бренд сервиса и копируют его оформление. При попытке просмотреть карту мошеннический ресурс требует указать номер телефона, якобы «чтобы получить электронный талон для заправки», а затем – указать код из СМС.

Если указать код, злоумышленники смогут перехватить учётную запись пользователя в мессенджере.

При получении доступа к аккаунту киберпреступники получают возможность читать переписку пользователя, включая документы, фото и видео, просматривать его контакты и данные учётных записей, незаметно для пользователя рассылать сообщения по списку контактов, вовлекая других пользователей в мошеннические схемы. Всё это киберпреступники могут делать, не лишая пользователя доступа к своей учётной записи, но могут и угнать её, заблокировав доступ к аккаунту с устройства владельца.

Злодеи предлагают ящик

Входящие в сеть фишинговые сайты нацелены не только против водителей, но и на детей. Так, от имени популярной онлайн-игры Brawl Stars пользователям предлагают получить старр дропы (игровую валюту), ящики (игровой предмет) после авторизации в мессенджере.

Ссылки на такие фишинговые ресурсы распространяют через рекламные посты в Telegram как в общедоступных, так и в приватных каналах.

Из более чем 60 опасных сайтов, входящих в обнаруженную специалистами F6 сеть, более половины – 58% – используют бренды популярных маркетплейсов, 19% – социальных медиа. Остальные 23% суммарно приходятся на карты АЗС, онлайн-игры, видеохостинги и сервисы бесплатных объявлений.

Большинство сайтов, которые используются в этой мошеннической схеме, зарегистрированы в доменной зоне .site. Остальные – в зонах .click, .shop, .lol, .online, .xyz и .biz.

Для названий доменов фишинговых ресурсов, которые маскируются под онлайн-карты АЗС, злоумышленники используют такие ключевые слова, как spravochnik, toplivo, poisk, azs, gde-benzin, gdebenz (в указанных выше доменных зонах). Фейковые сайты, нацеленные на игроков в Brawl Stars, размещают на доменах, в которых используют слова prime, prim, drops, voucher + название игры. В остальных случаях домены фишинговых ресурсов можно определить по таким ключевым словам в доменах, как authe, auth, voity, vhod, whod, rus, go + название бренда.

По обращению CERT F6 обнаруженные фишинговые ресурсы направлены для блокировки на территории России. Однако злоумышленники продолжают создавать новые домены.

«Киберпреступники, которые специализируются на угоне аккаунтов мессенджеров, используют ситуацию с автомобильным топливом для масштабирования атак на пользователей. Многие пользователи сейчас ищут информацию, где можно заправиться по привычным ценам. Из-за этого риски перехода на мошеннические и фишинговые ресурсы для водителей увеличились многократно», – говорит Анна Паневина, аналитик второй линии CERT департамента Digital Risk Protection компании F6.

Рекомендации специалистов F6 по защите от мошенничества с угоном аккаунта

Не переходите по сомнительным ссылкам из рекламных объявлений.

Не указывайте номер своего телефона и любые коды на сомнительных сайтах и ресурсах, которыми пользуетесь впервые.

Критично относитесь к предложениям регистрации и «подтверждения номера» на незнакомых сайтах и в Telegram-ботах. Как правило, легитимные ресурсы предоставляют доступ к онлайн-картам без подобной регистрации.

Если Вы обнаружили подозрительный сайт, отправьте ссылку или сообщение на платформу «Антифишинг». Специалисты F6 проверят информацию и передадут её регуляторам для блокировки.

F6
Автор: F6
Российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети.
Комментарии: