«Замочек» в адресной строке больше ничего не значит. Мошенники приручили сертификаты безопасности

Крупные банки и технологические компании снова оказались приманкой в руках мошенников. В новой кампании злоумышленники массово подделывают сайты известных брендов, выманивают учётные данные и сразу же получают удалённый доступ к компьютерам жертв. Схема поставлена на поток и работает почти как конвейер.

В отчёте SOCRadar, посвященном кампании Operation DoppelBrand, специалисты описали активность группы, которую отслеживают под именем GS7. С декабря 2025 по январь 2026 года она проводила серии атак, маскируясь под крупные финансовые и технологические организации. Среди приманок были страницы, копирующие интерфейсы банков и платёжных сервисов. Пользователю показывают почти неотличимую форму входа, после чего логин и пароль мгновенно уходят атакующим через бот в мессенджере Telegram.

Инфраструктуру разворачивают быстро и серийно. Для атак регистрируют сотни доменов с похожими именами, часто через одних и тех же регистраторов. Сайты прячут за защитными сетями доставки содержимого, чтобы усложнить блокировку и поиск настоящего сервера. Сертификаты шифрования выпускают автоматически, поэтому в адресной строке браузера всё выглядит «безопасно», что дополнительно усыпляет бдительность.

Страницы входа копируют почти полностью. Повторяют цвета, значки, стили оформления и структуру форм. Иногда в адресе используют трюк, когда имя известного банка вставляют не в домен, а в путь ссылки. Визуально строка выглядит правдоподобно, и многие не замечают подвоха. После ввода данных жертву нередко переадресуют уже на настоящий сайт, чтобы не вызвать подозрений.

Кражей паролей дело не ограничивается. Во многих сценариях пользователю предлагают срочно установить «обновление» или «исправление ошибки». Под этим предлогом скачивается средство удалённого администрирования. В отчёте упоминаются легальные инструменты удалённого доступа, которые обычно используют администраторы. Их ставят в тихом режиме, без лишних окон, после чего атакующий получает полный контроль над системой.

Собранные данные сортируют автоматически. Вместе с логином и паролем отправляется IP-адрес, примерное местоположение, сведения об устройстве и времени входа. Это помогает быстро понять ценность учётной записи и решить, что делать дальше. Доступ могут продать на подпольных площадках или использовать для следующих этапов атаки, в том числе против корпоративной сети.

По наблюдениям авторов отчёта, группа работает не первый год и регулярно меняет доменные зоны, регистраторов и детали настройки, но сохраняет узнаваемые шаблоны. Это позволяет находить новые сайты кампании по косвенным признакам. За последние месяцы насчитали более сотни доменов, связанных с этой схемой атак.

Главный риск здесь в том, что злоумышленники используют настоящие программы удалённого доступа и хорошо скопированные страницы входа. Антивирус и браузер не всегда считают такое поведение вредоносным. Поэтому решающим остаётся простое правило: не переходить по ссылкам из неожиданных писем и не вводить пароли на страницах, открытых из вложений и сообщений, даже если они выглядят как сайт известного банка или сервиса.