Как «активный гражданин» приучает людей к фишингу

    Сначала я написал этот пост на пикабу, решив что там более релевантная аудитория и тема, но его там забанили вместе с моим аккаунтом. Что с одной стороны обидно, с другой забавно, и показывает, насколько похоже на фишинг то, чем занимается "активный гражданин". Что даже написать об этом нельзя, чтобы тебя не посчитали мошенником.


    Итак, мне приходят две смс:



    Очевидно, что с ними всё не так!


    • Непонятный отправитель, типично фишинговое название "миллион призов".
    • Для отказа предлагают отправить смс на короткий номер. Куда бы обычно не предлагали написать смс на короткий номер — это развод!
    • Конечно, у мошенников всегда все выигрывают, сложность в том, что тебя обдерут, когда ты попытаешься забрать свой "приз".
    • Ссылка в смс указывает на абсолютно неизвестный науке домен

    Но ладно. Дальше больше.


    • При попадании на сайт надо ввести свой номер телефона и код из смс. Ещё одна стандартная мошенническая практика, которая обычно приводит или к платным подпискам или к какой-то другой гадости.
    • После этого идёт авторизация через мос.ру — наверняка чтобы украсть у тебя все данные, которые предлагает single sign on.

    В общем, знаете, что самое удивительное в этой истории? То что этот розыгрыш настоящий и реально санкционирован "активным гражданином". Но понять это можно только потому что на сайте самого АГ есть ссылка на этот стрёмный домен.


    Справка из вики для тех, кто не в курсе, что такое "активный гражданин":


    «Активный гражданин» — система электронных опросов, запущенная по инициативе Правительства Москвы 21 мая 2014 года.

    Среди главных задач проекта — получение мнения горожан по актуальным вопросам, касающимся развития Москвы. Опросы «Активного гражданина» делятся на три категории: общегородские, отраслевые и районные. За активное участие в опросах начисляются бонусные баллы, которые можно обменять на вознаграждения.

    Ну и прям вишенкой на тортике является то, что большую часть призов можно реализовать только дойдя ножками в какое-нибудь кафе. Спасибо, во время пандемии это прям отличное попадание.


    Мне безумно жаль всех тех людей, которые с подачи АГ решат, что это нормальная ситуация, и будут доверчиво слать смс на короткие номера, переходить по левым ссылкам, где угодно авторизовываться, и так далее. Да, хабр это не жалобная книга, но очень хочется достучаться до авторов этого проекта, чтобы они подумали о людях, которых они подставили. Как вариант — сделали бы рассылку на тему того "если вам будут приходить такие же сообщения, как мы — не открывайте их — это мошенники!"


    UPD. Пост на пикабу разбанили.

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 49

      +1
      А не боишься, что и тут забанят?
        +18

        Уповаю, что модерация на хабре читать умеет быстрее, чем банить. Но первые минусы уже полетели.

        +10
        А кто такой этот активный гражданин?
        Почему вам вообще пришла эта смс?
        Вы её заказывали или само пришло?
        Если само, то явный фишинг и нефиг с этим связываться.
          +5

          Прошу прощения, я вновь налажал с подачей информации — деформация жителя москвы.
          Дописал в посте.


          «Активный гражданин» — система электронных опросов, запущенная по инициативе Правительства Москвы 21 мая 2014 года.

          Среди главных задач проекта — получение мнения горожан по актуальным вопросам, касающимся развития Москвы. Опросы «Активного гражданина» делятся на три категории: общегородские, отраслевые и районные. За активное участие в опросах начисляются бонусные баллы, которые можно обменять на вознаграждения.

          Подозреваю, что меня включили в это розыгрыш по причине того, что я голосовал по поводу конституции по электронке. Возможно, там даже галочка какая-то маленькая была.


          Но собственно посыл и был в том, что проект Правительства Москвы действует абсолютно фишинговыми методами.

            +4
            Можно предположить что дизайн заказали тем же, кто делал фишинговые проекты. Легализация бизнеса, так сказать ;)
              +1
              да, похоже что из-за электронного голосования. мне сначала предлагали провести тестирование голосования на кошках — как раз чета про гражданина было и в смс (другом, в момент регистрации) DIT промелькнул (эта контора и здесь засветилась).
                0

                Анонимно голосовали?

                  +8

                  Конечно, анонимно, они знают только мой полный профиль с мос.ру!

                  0
                  Подозреваю, что меня включили в это розыгрыш по причине того, что я голосовал по поводу конституции по электронке. Возможно, там даже галочка какая-то маленькая была.

                  Они об этом где-то в правилах писали, когда анонсировали это шапито со скакунами. Каждый зарегистрировавшийся на электронное голосование получит код. А потом уже надо проверять, выиграл или нет.
                  +10

                  Само приходит. Почему — сие неведомо.


                  Несколько лет назад где-то в правительстве Москвы сделали такую платформу, где теоретически можно было участвовать в голосованиях по различным городским вопросам, типа


                  • Хотим переименовать улицу, какое название лучше? 1. Путинская 2. Медведевская
                  • Если всех обяжут надевать маски, вы будете это делать? 1. Да 2. Так точно

                  Вопросы были незначительные, варианты ответа — тем более, но за них можно было получать некие баллы, которые можно было конвертировать в проездной и/или чё-то там ещё.


                  Регистрировался там когда её только ввели и с тех пор заходил аж целых раз пять, причём последний раз года полтора назад. Однако, позавчера получил такую же смску, как первая на скриншоте. Вторая не пришла, видимо ничего не выиграл.

                  +4
                  Точь в точь мои ощущения,
                  странный домен, не понятно почему не сделали сабдомен ag.mos.ru
                  короткий номер с которого это все приходит
                  авторизация через смс
                  пришлось проверять через whois
                    +1
                    +1 подумал на спам.
                    Потом, когда пришло не только жене, но и мне — полез смотреть откуда… и неожиданно узнал что рекламу теперь может слать и mos.ru
                    Совсем потеряли совесть…
                      +1

                      Давно уже реализуемая практика. Стоит зарегистрироваться на портале. или оформить обращение… Не важно на mos.ru, или прокуратуру с полицией, вам тут же начнутся звонки и сомнительные смс.)
                      Не хочется об этих всех службах думать плохо. Но повторные обращения и снова звонки и смс. Так что борьба с мошенничеством стоит под контролем. Мошенники сами себя не ловят.)

                        0
                        Точно. Сходил пару раз в МФЦ и просто шквал звонков с разной рекламой. Причем сплошняком роботы текст зачитывают.
                        0
                        Пфф, удивили! Это ж mos.ru!
                        Они еще и спамят без разрешения, а отписаться от всех их рассылок у меня так и не получилось. Просто спама стало поменьше, но все равно капает…
                        Государственный портал, my ass!
                          0

                          Разве государственный, а не городской?

                            0
                            Одно другому не мешает. Государственный и федеральный — это разные понятия.
                              0

                              Да, извините, забыл, что у Москвы особый статус — хоть и город, но субъект федерации.

                          –5
                          О, я вижу вы вообще с промо-акциями не знакомы. Перед вами целый мир удивительных открытий.
                            +6

                            Ну одно дело, когда это делает какой-то ноунейм магазин, в котором даже слов ИБ не знают. Другое дело — когда ДИТ Москвы. Это же должны быть крутые ребята, они, например, приложение для социального мониторинга коронавируса делали. Хотя подождите...

                              +1
                              По неофициальным данным, буквально недавно (уже после апрельских скандалов) ДИТ задумался про ИБ.
                                –16
                                Знаете, я тоже не в особом восторге от ДИТ, когда познакомился с биографией руководителя и посмотрел, как он ведет себя в прямом эфире. Но чтобы кидать камни, надо быть без греха, как говорится.

                                Вам из каждого утюга трубят об этой программе с призами. Вам весь mos.ru в разделе голосования увешали баннерами программы. Ссылка с описанием правил с mos.ru ведет прямиком на «стремный домен».

                                Но нет, вам нужно скандала. Чтобы шок, интриги, расследования.

                                Не понимаю, честное слово. Можно было бы что-то толковое сделать. И уж тем более не расстраиваться по поводу блокировки на Пикабу. Это уже вообще за пределами разумного — огорчаться о провале на Пикабу и бежать на Хабр.
                                  +6

                                  1) Я не хожу просто так на mos.ru посмотреть на их свежую рекламу. Да и если бы ходил — не факт, что заметил бы. Банерная слепота, знаете ли.
                                  2) Говорят, что по городу висят про это бумажки — но я ещё в апреле уехал из города на удалёнку. Опять же — в город езжу раз в неделю, но ни разу не видел бумажек. Все надписи на заборах тоже не читаю.
                                  3) И даже если бы я был в курсе, то отношения это бы не поменяло. Потому что проблема не в том, что конкретно меня что-то смутило. А в том, что людям прививают, что фишинговые паттерны — это нормально. Вот завтра кому-то придёт письмо о том, что он выиграл в этой же лотерее приз. Или в какой-то другой. И будет точно такой же левый сайт, но отличающийся на одну букву. И где-то ограбят человека, который разбирается в этом не так хорошо, как вы. Который так же как я мог нигде никаких объявлений не видеть. Не знаю, как вам, мне его жалко. У меня на такие разводки отлично попадались родственники всех возрастов — от 10 до 90.


                                  А главное — ведь так просто было всё сделать по человечески. Указать в СМС, что это АГ. Сделать нормальный домен. Добавить предупреждений на сам сайт розыгрыша. Но получилось что получилось.

                                    –13
                                    Тогда, будьте добры, сделайте хорошее дело. Пишите про паттерны, занимайтесь просвещением.

                                    Рассказывайте, что бесплатного сыра не бывает. Показывайте, как проверять. Это элементарно.

                                    А полить грязью всегда успеете.

                                    ps. те, кто живет в онлайне, примерно в курсе что почем. Родственники, которые пойдут голосовать, получат скретч-карту. Если будут вопросы — уверен, на них ответят. Если вопросов не возникнет, то опять же, уверен, ваш текущий текст на Хабре ничем уже не поможет.
                                      +3

                                      Ну вот я и преподавал с год информационную безопасность в одном из вузов Москвы. Потом надоело — слишком низкий КПД. А как вы предлагаете "показывать, как проверять"? Людей останавливать на улице? И это я уже не говорю про пожилых людей, которые оказались сейчас заперты по своим квартирам. Нет, к сожалению, мои возможности по информированию людей крайне ограничены. Зато у ДИТа они почти безграничны. И они ими крайне безответственно воспользовались. А мне всего лишь хочется, чтобы они это хоть частично исправили, или хотя бы не делали такой жести в будущем. Если удастся хоть как-то до них достучаться, то это уже перекроет всё, что я мог бы сделать в одиночку. За этим и пишу. Так-то понятное дело, что аудитория хабра не лыком шита, и нам это бесполезно.


                                      А "шок, интриги, расследования" — мне вот нафиг не надо. Да, я даже участвую в программе поощрения авторов, но те смешные копеечки я ни разу не снимал и не собираюсь — выплаты на вебмани это слишком смешно. Так что корысти никакой, честно.

                                        –6
                                        Если вы преподавали и КПД «низкий», то лично у меня вопросы к качеству преподавания.

                                        Пожилые люди и «уличные» на Хабр тоже, поверьте, не ходят. Вы это сами признали. И это тоже к вопросу о низком КПД.

                                        Вы могли бы, например, связаться с ДИТом (если так уверены, что они исполнители), рассказать им о ваших сомнениях и поделиться идеями, как сделать так, чтобы эта программа не поощряла бы участвовать в мошеннических схемах. Вы это сделали?

                                        ps. не знаю, застали вы то время, или нет, но голосования в СССР (хотя зачем они, если разобраться, нужны были в СССР?) отличались тем, что во время голосования на избирательных участках работали буфеты. Для меня эта программа — такой же буфет.

                                        И как раз беда не в том, что «ой все, мы привыкнем к фишингу», а в том, что голосование по важной теме сопровождается «у нас есть печеньки». Вот это реальная проблема.
                                          +2
                                          Если вы преподавали и КПД «низкий», то лично у меня вопросы к качеству преподавания.

                                          Да пожалуйста, задавайте. Вот даже про экзамен почитать можете. По факту оказывалось, что в группе из 40 человек реально вовлечены примерно пятеро. При этом по остальным предметам ровно та же ситуация. Но, возможно, все преподаватели просто были одинаково плохими. Или нет. Мне хотелось для сравнения вовлечённости аудитории пойти преподавать на платные курсы, но оклад там настолько унизителен, что уж лучше условно бесплатно в вузе это делать.


                                          Вы могли бы, например, связаться с ДИТом (если так уверены, что они исполнители)

                                          Да, уверен, что это ДИТ, они АГ разрабатывают, и они же упомянуты в соглашении на сайте розыгрыша.


                                          рассказать им о ваших сомнениях и поделиться идеями, как сделать так, чтобы эта программа не поощряла бы участвовать в мошеннических схемах. Вы это сделали?

                                          Вы говорите так, как будто не было никакого "Социального мониторинга". Нет, веры в обращения у меня нет никакой. Совсем. Вообще. Критика тоже не особо не помогает, но хоть какой-то эффект есть.


                                          голосование по важной теме сопровождается «у нас есть печеньки». Вот это реальная проблема

                                          Ох, такого рода проблем немало. Начиная от печенек, продолжая незаконностью мероприятия, и не заканчивая обманным описанием содержания поправок. Но это уже явно не тема для хабра. Так что пишу что могу.

                                            –5
                                            про экзамен почитать можете


                                            Посмотрел по диагонали, простите. Не знаю, был бы я способен на преподавание, но вы и сами выделили все недостатки, причем по фидбеку.

                                            в группе из 40 человек реально вовлечены примерно пятеро


                                            но:

                                            Приятно было получить 13 ответов — при общем количестве студентов в 30 человек


                                            То есть, вовлеченность в итоге больше. Так что с КПД все не так однозначно.

                                            ДИТ, они АГ разрабатывают, и они же упомянуты в соглашении на сайте розыгрыша


                                            Я посмотрел опять под диагонали и на всякий случай сделал поиск Гуглом по сайту, но ДИТ не нашел. Нашел, что это Правительство Москвы с МТПП. Причем контактный телефон именно МТПП.

                                            Покажите, пожалуйста, чтобы я успокоился, где там написано про ДИТ.

                                            веры в обращения у меня нет никакой


                                            У меня тоже. Но это не значит, что этого не надо делать. Если вы осознанно действуете за пределами правил системы, то вы — вне системы. И не можете апеллировать к тому, что кто-то по вашим соображениям должен соблюдать правила системы.

                                            И последнее. Раз вы преподавали ИБ, то знаете, что фишинг по определению Касперского это

                                            вид интернет-мошенничества, цель которого — получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.


                                            Покажите, пожалуйста, в каком месте Миллион призов ведет такую активность. При условии, что всем рассказали про эту программу, что правила четко доступны, и единственный «темный паттерн» — что на розыгрыш автоматом подключают всех проголосовавших. Минус, конечно, но зато не просят номер кредитки для участия.

                                            ps. я понимаю, что Касперский — не истина в последней инстанции, но про него хотя бы все знают. Как про тот же Сбербанк. Или ДИТ.
                                              +1
                                              Я посмотрел опять под диагонали и на всякий случай сделал поиск Гуглом по сайту, но ДИТ не нашел. Нашел, что это Правительство Москвы с МТПП. Причем контактный телефон именно МТПП.

                                              Все ссылки в подвале ведут на АГ. АГ разрабатывается ДИТ, см. соглашение. Ну и whois там одинаковый. А даже если допустить, что конкурс делали подрядчики — ну а кто за них, по вашему, отвечает?


                                              Покажите, пожалуйста, в каком месте Миллион призов ведет такую активность.

                                              Видимо, вы очень плохо читали и пост и мои комментарии. Я не говорю о том, что ДИТ занимается фишингом. Я говорю о том, что они используют все паттерны фишинга, являясь при этом официальным сервисом, тем самым показывая всем своим пользователям, что фишинговые паттерны — это нормально, и стоит реагировать на любые письма и смс столь же доверчиво.


                                              Засим откланяюсь, и пойду последую вашему совету делать что-то толковое. Спать.

                                            0
                                            Пожилые люди и «уличные» на Хабр тоже, поверьте, не ходят. Вы это сами признали. И это тоже к вопросу о низком КПД

                                            Зато они ходят в поиск яндекса и гугля, а индексация у Хабра превосходная. Наберите «активный гражданин фишинг» и первая ссылка будет на Хабр. Вторая — на пикабу.
                                              0
                                              Мне 80, я хожу на хабр.
                                  +1

                                  DIT вспомнил, что это ваша разработка, прокомментируйте, пожалуйста.

                                    +1

                                    У них "немножко" карма слита. Могут и не ответить. Да и заходят не каждый день на сайт

                                      +1
                                      странно что вообще карма для официальных лиц влияет на возможность комментировать. На Пикабу для них есть специальные послабления, чтобы они имели возможность комментировать и отвечать на вопросы пользователей, вне зависимости от отношения большинства к их фирме.
                                        0

                                        boomburum Как вам идея? Может хотя бы в "дальнее" #todo ?

                                          0
                                          Вряд ли есть смысл плодить типы аккаунтов с разными степенями привилегированности :) Отвечать на комментарии можно и так, если мешает карма — её всегда можно обнулить (в настройках профиля) или связаться с сотрудниками Хабра.
                                            +1
                                            Такие лишние телодвижения напросто отбивают желание что-то делать. На своём личном опыте скажу, что половину своих комментов тупо плюнул из-за ограничения на 5(!) минут. Большее время отобьёт желание вообще появляться в комментариях чаще одного раза в день.
                                            Проще сделать так:
                                            Автор поста может писать в комментариях без этих ограничений по времени. Так же это должно относиться и к призывам. Если человека позвали, то в этой ветке(считая корнем ветки место призыва, а не то что раньше) ограничение по времени не считается.
                                    0

                                    Те же чувства, зашёл на mos.ru проверить — увидел баннер, подумал кто-то протолкнул баннер. Потом нашел статью на самом mos.ru, только тогда успокоился немного.

                                      0
                                      Билайн?
                                        0

                                        Для меня фишинг, всё-таки, "подмена" отправителя, чтобы получатель думая, что взаимодействует с известным ему контрагентов, добровольно отдавал свои данные и/или деньги неизвестном. Здесь же больше похоже на спам лотерии какой-то, может мошеннический, может нет

                                          0

                                          Да, вы всё правильно понимаете, просто невнимательно пост прочитали. Речь там о том, что лотерея оформлена таким образом, что по всем признакам напоминает именно фишинг, тем самым делая впоследствии пользователей более уязвимыми к действиям мошенников.

                                          +1
                                          А приз то в итоге какой?
                                            0
                                            дают 1000 баллов, которые можно тратить в конторах, которые перечислены на https://ag-vmeste.ru/. например, можно закинуть 1000 рублей на карту Тройка или однократно получить скидку 1000 рублей в Магните или Дикси.
                                            +2
                                            Это называется государственно-частное партнерство. Какая-нибудь фирма предлагает бесплатно сделать сайт (информационную систему) для государственного органа. Взамен ей разрешают монетизировать данные этой информационной системы. В итоге все рады. Госоргану не надо платить, выискивать бюджетные средства, организовывать аукционы. Исполнитель же зарабатывает на спаме пользователям
                                              –2

                                              https://ag.mos.ru/news/4218 была новость о фишинговых сайтах от активного

                                                0

                                                Да, только проблема — это новость надо как-то увидеть. А предупреждение о фишинговых сайтах уже говорит о том, что мошенники обрадовались и взяли идею на вооружение. Что было довольно очевидно.

                                                –1
                                                Ещё одна яма, в которой капкан.
                                                  0

                                                  На самом деле, этот номер светился как московский официальный ещё во время пропусков. Методы ДИТ довольно странные, но так как система работает только с номерами телефона и кодами, то другой вариант был только в ручной регистрации, что уменьшило бы количество участников. А система не для малого количества людей создавалась. Не хватает некоторых пояснений о том, что это за номер, но прям обвинять во всех грехах тоже глупо

                                                    0
                                                    На самом деле, этот номер светился как московский официальный ещё во время пропусков.

                                                    Приходилось пользоваться пропусками, однако с этого номера ранее ничего не приходило.


                                                    другой вариант был только в ручной регистрации, что уменьшило бы количество участников

                                                    Да десятки других вариантов сделать то же самое менее стрёмными методами.


                                                    Не хватает некоторых пояснений о том, что это за номер, но прям обвинять во всех грехах тоже глупо

                                                    Не хватает пояснений, что за номер, что за лотерея, почему ты по умолчанию участвуешь и смс надо послать для отказа, что за домен, почему надо вводить какой-то код, почему идёт авторизация через мос.ру. А так-то норм конечно.

                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                  Самое читаемое