Она может обернуться хищением персональных данных
Мошенники используют сезонную тему подготовки к основному и единому государственным экзаменам для кибермошенничества: под видом продажи ответов на ОГЭ и ЕГЭ на фишинговых сайтах собирают персональные данные. Аналитики Angara Security проанализировали подобные домены и потенциальные угрозы для пользователей.
В мае 2024 года, накануне экзаменов, выросло число мошеннических площадок с услугами по продаже вариантов ответов. По данным экспертов Angara Security, еще год назад за январь-май 2023 года было зарегистрировано 30 подобных доменов, а в конце мая текущего года аналитики зафиксировали уже 83 площадки с предложениями купить ответы на ОГЭ и ЕГЭ. Расценки варьируются в зависимости от типа экзамена и школьного предмета. Оплату предлагают провести с помощью банковской карты или криптовалюты. Потенциальный покупатель на таких площадках рискует не только получить некорректные ответы, но и стать жертвой взлома, передав мошенникам свои персональные данные.
«Получить фиктивные ответы или не получить ничего после оплаты — еще не самый большой риск, — предупреждают эксперты по кибербезопасности Angara Security. — Намного большую опасность представляет сбор персональных данных российских школьников и их родителей. Под видом ответов преступники могут прислать файлы с вредоносными вложениями, которые заразят устройство и дадут к нему доступ. Использование таких ресурсов — это также риск финансирования нежелательных организаций и шантажа в будущем».
Расследование Angara Security показало, что пятая часть доменов с предложениями купить ответы к госэкзаменам — это ресурсы с именем в формате «oge2024-[название предмета]-otveti.ru», «otveti-ege-[название предмета]2024.ru». Все они ведут на ресурс kimgen.com, зарегистрированный в США. Передача данных нового пользователя после регистрации и входа осуществляется в открытом виде через php-скрипт с последующей переадресацией на «a.nel.cloudflare.com». Эксперты подробно проанализировали структуру сайтов, предлагающих ответы к экзаменам, и отметили схожие особенности их архитектуры. Внешне сайт может быть оснащен инструкциями, онлайн-консультантом и даже «проверкой» e-mail-адресов, но ошибки в контенте и расширение «.html» в названиях страниц выдают разработку низкого качества.
Специалисты по кибербезопасности легко могут попасть в «закрытую» часть сайта после ввода любой почты или после ввода в поисковой строке полного пути до страницы. Злоумышленники используют множественные ресурсы для махинаций с ответами к экзаменам — об этом свидетельствует и передача оповещений о регистрации через сервис интеграции «webjack.ru». Часто сайт для большего эффекта подкрепляется профилями на YouTube и в Telegram-каналах: в Angara Security обнаружили ТГ-каналы, связанные с тем же упомянутым зарубежным ресурсом. Эксперты также рекомендуют обратить внимание на подозрительные отзывы о подобных сайтах. Пользователя должна насторожить одна и та же дата публикации основной массы отзывов, дублирование текста от одних и тех же «покупателей» и их скрытые аккаунты.