3 августа 2020 года трое сотрудников Фонда Хабенского получили письмо от директора благотворительной организации с просьбой немедленно перевести средства, собранные для одного из подопечных фонда, на указанные реквизиты. Подозрительное сообщение насторожило команду фонда. Поскольку благотворительная организация никогда не осуществляет переводов на личные банковские счета и персональные кошельки, получатели переслали письмо для проверки на предмет мошенничества в Group-IB.

Анализ показал, что подлинный почтовый аккаунт директора фонда скомпрометирован не был. Злоумышленники отправили письмо с сервера хостинг-провайдера Timeweb, подделав технический заголовок под нужный адрес, чтобы ввести в заблуждение сотрудников фонда. При этом в поле «обратный адрес» (данная строка видна не во всех почтовых клиентах) вместо официального домена фонда Хабенского «bfkh[.]ru» использовался фальшивый домен, отличающийся последовательностью букв, «bfhk[.]ru». Если бы пользователь ответил на письмо, например, для уточнения деталей перевода, его сообщение направилось бы мошенникам.

Три дня спустя экспертам CERT-GIB стало известно об аналогичной попытке вывести средства из фонда «Кислород». Рассылка в адрес сотрудников была зафиксирована 6 августа, для нее киберперступниками специально был зарегистрирован домен bfkislorod[.]ru (домен оригинального сайта bf-kislorod[.]ru). Примечательно, что перед атаками сотрудники Фонда Хабенского и фонда «Кислород», от лица которых потом рассылались фейковые письма, получили email-сообщения от одного и того же лица с абстрактными вопросами. Предположительно, мошенники сделали это для того, чтобы создать полностью идентичные профили для будущей рассылки — скопировать фото, данные о корпоративной подписи и т.п.

Проанализировав домен bfkislorod[.]ru с помощью системы графового анализа, эксперты Group-IB обнаружили, что в период с 5 по 6 августа злоумышленники зарегистрировали еще семь доменов, копирующих имена известных благотворительных организаций, в том числе фондов «Алеша», «Подари жизнь» и «Старость в радость». На момент выпуска пресс-релиза попытка мошенничества была зафиксирована только в отношении фонда «Старость в радость». Остальные шесть доменов на данный момент остаются спящими и находятся на мониторинге у специалистов CERT-GIB.

Звучное доменное имя, герб России на вкладке и рассуждения о милосердии — на просторах интернета появился ресурс http://putin.site, который, если верить его создателям, появился для финансовой помощи благотворительным фондам России. На портале размещены логотипы 12 реально существующих фондов, которые уже много лет помогают больным детям, инвалидам, сиротам, бездомным животным. «Больше не нужно выбирать, кому помочь. Ваше пожертвование поровну получат 12 благотворительных фондов», — уверяют создатели putin.site, призывая перечислять деньги им. А они уже сами распределят.

На сайте «Единого центр возвратов» говорится, что максимальная сумма компенсации составила 250 000 рублей. В «лотерейной схеме» пострадавшим от лица несуществующего «Национального Лотерейного Содружества» обещают выплатить чуть больше — до 280 000 рублей, на сайте «Центра финансовой защиты» — до 300 000 рублей.

"Про этот ресурс мы узнали от встревоженных доноров, которые написали нам письмо и предупредили об опасности, — рассказала Наталья Гапонова, исполнительный директор фонда "Во имя жизни", помогающий инвалидам-больным муковисцидозом. — Этот сайт мог бы годами существовать и обманывать жертвователей. Разрешения на публикацию логотипа и сбор средств фонд "Во имя жизни" не давал — да и вообще без договора и информированного согласия фондов такой деятельностью посторонним лицам или организациям заниматься нельзя".

Вице-президент фонда "Волонтеры в помощь" Анна Виноградова дала аналогичный ответ: с их фондом представители ресурса http://putin.site/не связывались и разрешения на размещение логотипа и сбор средств от своего имени они не давали.

Кто стоит за putin.site? Сотрудники отдела расследований Group-IB выяснили, кто стоит за этим ресурсом. На сайте putin.site на странице https://putin.site/reklama размещены ссылки на партнерские программы у хостинговых провайдеров и в других системах.

Поиск информации по этим реферальным программам привёл к сообщению в социальной сети Вконтакте - https://vk.com/topic-150698280_37572368. Кроме того, в кэше Google нашелся сайт loto.russ-torg.ru, на котором в разделе новостей присутствовали те же ссылки на реферальные программы.

Анализ группы, в которой было размещено это сообщение от имени администратора группы позволил установить аккаунт администратора группы — Александра Шнурова (фамилия изменена) и сайт компании https://russ-torg.ru, который в настоящее время находится на реконструкции.

Специалисты Group-IB связались с Александром Шнуровым под видом волонтеров, которые хотели бы заказать разработку и продвижения своего сайта в интернете.

Александр пообещал сделать сайт за 15 000 рублей за 4 дня. На вопрос о сотрудничестве с благотворительными фондами, Шнуров ответил следующее:

"Да, ваши баннеры и информацию можно разместить на сайте. Но мне нужно изначально взглянуть на ваш фонд - все ли у вас прозрачно. У нас нет процентов [по отчислениям] определенным фондам. Мы абсолютно всем фондам - детям, инвалидам, животным — делим ровно поровну. Приходит за месяц 100-300 тысяч мы делим на все фонды, которые у нас есть. Раньше было 7 [фондов], теперь — 9, скоро — 12. Мы разделяем [деньги] на все фонды одинаковую часть денег и переводим в одну и ту же дату 25-го числа. Каждый месяц фонды получают от нас деньги. Я веду этот сайт, администрирую, а люди которые стоят выше, возродили данную идею. Скоро наш сайт пойдет на [известный] кошелек и он [ресурс] будет крутиться дальше".

"Благотворительный фонд "Дети России" не давал разрешения на использование своего логотипа на сайте http://putin.site/, также нам не поступали благотворительные пожертвования ни от этого ресурса, ни от аффилированной с сайтом компании. Считаем их мошенниками", — ответила на наш запрос директор Фонда Юлия Нутенко.

"После вашего звонка мы запросили информацию у бухгалтерии и переводов от данных лиц или представителя сайта не нашли, что и требовалось доказать", — подчеркивает Наталья Гапонова, исполнительный директор фонда "Во имя жизни".

Директор приюта "Гав" Инна Неделько также проверила вместе с бухгалтером поступления на расчетном счете - ни от администратора putin.site, ни от "РусТорга" перечислений не было.

Как защититься? Быть более бдительными. Внимательно и критически относиться ко всем постам, объявлениям, ссылкам, которые приходят в почту, мессенджеры, смс. Лучше лишний раз перезвонить, переспросить, уточнить. Защита от кибермошенничества — это многоступенчатая система. Фонды работают над повышением уровня безопасности, но это не снимет ответсвенности с самих благотворителей.

Чтобы минимизировать риски подобных атак, эксперты Group-IB советуют внедрить организациям правила аутентификации SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail), а также технологию проверки этих записей — DMARC. Это существенно усложнит отправку от имени официального домена — такие письма будут помечаться как не прошедшие аутентификацию, попадать в спам или вовсе отклоняться.