Злоумышленники начали регистрировать фишинговые сайты, которые имитируют перечень неблокируемых сервисов при отключениях мобильного интернета. Пользователь по инструкции сам проверяет доступность сайта в таком реестре и получает подтверждение. После этого человек передаёт мошенникам данные от «Госуслуг» или банковских карт. Злоумышленники создают целые сетки одностраничных сайтов и продвигают их в топах поисковиков, чтобы усыпить внимание пользователей.
О новой схеме рассказали в сервисе Smart Business Alert компании ЕСА ПРО, входящей в ГК «Кросс технолоджис». С начала марта 2026 года в компании обнаружили не менее 15 ресурсов, которые имитируют официальный реестр разрешённых сервисов. При этом отдельного официального реестра не существует, есть только публикации на сайте Минцифры.
Схема работает следующим образом. Человек получает ссылку от якобы сотрудника банка или провайдера, но не переходит по ней сразу. Пользователь открывает новую вкладку, заходит в поисковик и вбивает запрос про белый список. Поисковик выдаёт результаты, и человек кликает на первый из них, который оказывается фейковым сайтом. На поддельном сайте пользователь видит плашку с логотипами госорганов и вводит туда ссылку, которую ему продиктовали мошенники. Для пользователя это выглядит как двойная проверка безопасности, но на деле человек только что подтвердил мошенникам готовность к обману.
Белый список представляет собой перечень ресурсов и IP-адресов, которые не блокируются в случае отключения мобильного интернета. Список утверждают власти. Для вхождения в него сервис или сайт должны соответствовать ряду требований, например по расположению серверов и невозможности скрывать IP-адрес. В список входят «Госуслуги», сайты госорганов и электронного голосования, соцсети и мессенджер компании VK, сервисы «Яндекса», сайты маркетплейсов и операторов связи.
В SBA отмечают, что такие схемы уже используются в разных сценариях. Это могут быть звонки из якобы органов власти, ненастоящие розыгрыши и проверки от домофонных компаний. Злоумышленники сами могут выслать жертве ссылку для подтверждения полномочий звонящего с использованием «Госуслуг». Для убедительности мошенники направляют ссылку на так называемый официальный реестр, в который уже включён фишинговый ресурс. В результате пользователь теряет контроль над своим аккаунтом.
Сценарии с липовыми белыми списками сегодня строятся вокруг двух механизмов. Первый это подделка официальных порталов, для которых используются в том числе инструменты на основе искусственного интеллекта. Второй это продвижение таких подделок через контекстную рекламу в поисковиках.
Злоумышленники создают не просто поддельный сайт, а целую сетку одностраничных маркетинговых сайтов. Эти лендинги агрессивно продвигают в топ «Яндекса» и Google по запросам вроде «проверить сайт на безопасность», «белый список сайтов РФ» или «реестр доверенных ресурсов».
Большинство пользователей не понимают и не должны понимать, как устроены технологии у провайдеров или у Роскомнадзора. Когда человек встречает в сети сайт, имитирующий белый список и оформленный достоверно, довольно легко поддаться соблазну и перейти по указанным на сайте ссылкам.
Автор: Lexx_Nimofff
