С начала октября в интернете было зарегистрировано 294 доменных имен (https://pastebin.com/U86ttn9Z), использующих наименование, схожее с официальным доменом портала Госуслуг. Для чего используются данные домены понятно любому специалисту.

Во-первых, для распространения фишинговых рассылок от лица портала Госуслуг. Пример такой ссылки http://gosuslugl.center/?p=NwA5ADYAMgA2ADgAMgAyADIANAAxAA%3d%3d (не переходить).

При получении такой ссылки обязательно проверяйте доменное имя (например, gosuslugl.center) https://whois.domaintools.com/gosuslugl.center через сервис WHOIS. Согласно требованиям российского законодательства вебресурс, обрабатывающий персональные данные граждан РФ, должен быть зарегистрирован на территории РФ и иметь указание на конкретную организацию, владеющую им.

Саму ссылку следует проверить в антивирусе https://www.virustotal.com/gui/url/53f643fdb98c6045e70b1bb6473a620223b4a7b4838eeb71b2f4d45830c68310. Это позволит нам выявить вредоносное содержимое, находящееся на конечном вебресурсе.

Во-вторых, регистрируемые домены используются для работы многочисленных криминальных сервисов, занимающихся подделкой ПЦР-тестов и сертификатов о вакцинации. Примеры таких фейковых тестов:

· http://gemotest.group/covidcheck/?key=a4508bf9-b28d-4913-a702-a17b569308be (имитирующий лабораторию Гемотест)

· http://invitro.net.ru/results/validate/?key=769c969d-a177-4116-ab58-bc0faa5f97d9 (имитирующий лабораторию Инвитро)

· http://arhimedlab.ru.net/cabinet/results/login/910000806945/327827 (имитирующий лабораторию Архимед)

На фоне роста числа заболевших в РФ уже вводятся новые «выходные дни», а в части регионов с большой заболеваемостью обсуждается введение полного локдауна, за исключением больниц и продуктовых магазинов.

Как мы уже ранее рассматривали в статье Основные тренды мошенничества за 2021 год (гиперссылкой) - Пандемия COVID была и остается основным инфоповодом для мошенников.

Вот и на этот раз не только регионы готовятся к новому витку ограничений, но и злоумышленники ищут способы обмана населения.

В период с 18 по 20 октября в зоне .RU было зарегистрировано более 30 доменных имен, схожих со словом «госуслуги». Настолько массовой регистрации подобных доменов мы не встречали с весны.

Эти домены могут быть использованы как для фишинга в отношении пользователей портала, так и для схем, связанных с продажей сертификатов о вакцинации, QR кодов или якобы услуг о помощи в загрузке данных о вакцинации на госуслуги. Об этом красноречиво говорят слова covid в ряде доменов.

С учетом складывающейся ситуации можно ожидать дальнейшего роста числа доменов и фишинговых сайтов, эксплуатирующих данную тематику.

Ознакомиться со списком выявленных доменов можно по ссылкам:

https://pastebin.com/VPyTt5Ye

https://pastebin.com/acGKRR6E

Ну а мы от себя напоминаем: Граждане! Будьте бдительны!