Сайт настоящий, номер вроде тоже. Всё выглядит легитимно — но ты уже на крючке

Злоумышленники нашли новый способ вводить пользователей в заблуждение, отображая поддельные номера техподдержки прямо на официальный сайтах крупных компаний, таких как Apple, Microsoft или HP. При этом сами страницы сайтов не взламываются и не модифицируются — вместо этого схема использует легальную рекламную инфраструктуру Google и особенности внутреннего поиска на сайте.

Механизм работает следующим образом: мошенники покупают рекламные объявления в поиске Google, где отображается реальный домен, например « https://support.apple.com ». Но в ссылке на сайт после домена добавляются специальные параметры — строки, которые автоматически инициируют внутренний поиск на сайте по заранее заданной фразе. Обычно это выглядит как: «Call Us +1-805-749-2108 Apple Helpline» или аналогичная конструкция с другим брендом. При переходе по такому объявлению пользователь действительно попадает на подлинный сайт, но открывается страница с результатами поиска по фальшивому номеру.

Эта страница может не содержать никаких результатов — и чаще всего именно так и происходит. Однако сама формулировка, скопированная из параметров ссылки, сохраняется в строке поиска сайта и отображается на странице, что может ввести некоторых пользователей в заблуждение. Особенно если жертва не станет вглядываться в детали.

Сайт в этом случае не делает ничего подозрительного — он просто показывает результаты поиска, не фильтруя содержание запроса. Всё выглядит довольно примитивно, будто пользователь сам ввёл этот текст. Однако важный психологический момент — для невнимательных, пожилых или уставших пользователей визуального ощущения «официальности» может быть достаточно, чтобы поверить и набрать номер.

Дальнейшее развитие событий стандартно для схем с фальшивой техподдержкой: звонок приводит на линию к аферисту, который представляется сотрудником Apple, HP или Netflix. Далее жертву убеждают в наличии срочной проблемы с её устройством, выманивают личные данные, пароли или доступ к компьютеру. Некоторые схемы направлены напрямую на хищение средств с банковских счетов или криптовалютных кошельков.

Компания Malwarebytes, обнаружившая это мошенничество, сообщила , что аналогичный способ использовался даже против их собственного сайта, пока не были внедрены фильтры, блокирующие выполнение подобных поисковых запросов. Авторы отмечают, что проблема не в уязвимости сайтов, а в логике: сайт просто выполняет поиск по введённой строке и честно показывает результат. Это и позволяет обману выглядеть убедительно, а системам защиты — никак на него не реагировать.

На данный момент мошенники используют только Google Ads. Рекламная платформа требует указывать подлинный домен, но позволяет добавлять произвольные параметры после адреса, и именно эта лазейка позволяет организовать атаку. Неизвестно, распространяется ли схема на другие рекламные сети, но ничто не мешает злоумышленникам использовать аналогичный подход в будущем.

Чтобы минимизировать риски, специалисты советуют избегать переходов по рекламным объявлениям при поиске официальных сайтов и выбирать только ссылки из органической выдачи. Это снижает вероятность столкнуться с подставной страницей, хотя полностью исключить риск нельзя.