Зачем мошенники маскируются под госорганы
Госресурсы — магнит доверия: люди готовы вводить паспортные данные, оплачивать пошлины, подписывать электронные заявления. На этом и играют злоумышленники: копируют дизайн порталов, покупают контекстную рекламу, регистрируют домены со схожим написанием и выманивают платежи или логины. По данным международных центров реагирования на инциденты, фишинг годами остаётся самой массовой киберугрозой, а гостематика стабильно в топ‑категориях. В России добавляется фактор «цифрового государства»: все чаще требуются онлайн‑действия с подтверждением личности, что делает поддельные страницы особенно прибыльными и трудноотличимыми на первый взгляд.
Как распознать подделку на ходу
Быстрые проверки для граждан
1) Вводите адрес вручную или используйте закладки; не кликайте по рекламе. 2) Сверяйте домен: у портала «Госуслуги» — gosuslugi.ru, региональные поддомены идут строго от него. 3) Смотрите на HTTPS: «замочек» не гарантия, но отсутствие — красный флаг. 4) Делайте проверка сайта на мошенничество онлайн через сервисы репутации (Safe Browsing, VirusTotal, Яндекс.Проверка). 5) Проверяйте ИНН/реквизиты получателя платежа на nalog.gov.ru. 6) Для сомнений — как проверить подлинность сайта госуслуг: входите только через официальное приложение или ссылку из профиля «Госуслуг» в соцсетях с верификацией.
Технические детали: что смотреть в браузере
Проверяйте сертификат TLS: он должен быть выдан крупным центром сертификации, без странных имён в поле Subject Alternative Name. Вкладка «Подробности» покажет срок и цепочку доверия; у настоящих порталов она полная и свежая. Наблюдайте за редиректами: множественные «прыжки» через неизвестные домены — типичная приманка. Заголовки безопасности вроде HSTS, CSP и X‑Frame‑Options у официальных сайтов настроены, тогда как у подделок часто отсутствуют. И ещё: не игнорируйте несовпадение языка интерфейса и локали браузера — это часто выдаёт шаблонную фабрику фишинга.
Нестандартные решения, которые реально работают
Создайте «белый список» закладок на госресурсы и откройте их в отдельном браузерном профиле, куда вы не ставите расширений и не ходите «гулять». Настройте DNS‑фильтрацию (NextDNS, Quad9): она отрежет известные фишинговые домены до загрузки страницы. Используйте аппаратные ключи FIDO2 для входа — даже если вы введёте пароль на подделке, без ключа злоумышленник не войдёт. Сделайте «чистое устройство» для редких визитов: обновлённый смартфон без посторонних приложений. И ещё приём: проверьте платежную форму через реквизиты — у госорганов получатель обычно ФК или казначейство, а не ИП «Сидоров».
Реальные истории и разбор
Кейс 1: клон портала с оплатой «штрафов»
Пользователь искал, как оплатить госпошлину, и кликнул первую рекламу. Домен отличался одной буквой и имел валидный сертификат. На странице — логотипы, капчи, даже поддельный «Госключ». После ввода карты списали «пошлину» 350 руб, а через час прошла серия транзакций по 9 900 руб. Худшее — сохранённые данные карты в браузере упростили злоумышленникам жизнь. Что спасло ситуацию: мгновенная блокировка карты, диспут в банке и заявление в киберполицию. Урок — не платите с основной карты; держите отдельную виртуальную с нулевым балансом и пополняйте её точечно.
Кейс 2: «Налоговая» прислала требование оплатить пеню
Письмо выглядело безупречно: герб, подпись, QR на «личный кабинет». Адрес отправителя маскировался через домен вида support@nalog-gov.ru. При сканировании QR открывался сайт с авторизацией «через Госуслуги». Человек ввёл логин/пароль от госпортала, а на настоящем аккаунте тут же попытались привязать новый номер и оформить доверенность. Спас фактор второй аутентификации. Разбор показал поддельный домен, отсутствие DMARC и подмену ссылок в письме. Вывод: входите в Налоговую только из официальной вкладки, а не по ссылке из письма, и держите 2FA не по SMS, а через приложение.
Для бизнеса: чтобы сотрудники не стали вектором атаки
Даже если цель — личные данные сотрудников, конечный удар часто приходится по инфраструктуре. Базовый пакет — обучение сотрудников кибербезопасности фишинг-тренинги с регулярными симуляциями и отслеживанием метрик кликабельности. Подумайте про антифишинг для бизнеса услуги: фильтрацию почты, бренд‑мониторинг доменов‑двойников, реагирование на инциденты. Реалистично закладывайте бюджет: аудит кибербезопасности компании цена варьируется — от 150–300 тыс. руб. за экспресс‑проверку процессов до 0,8–2 млн руб. за комплекс с тестами на проникновение и охватом филиалов.
Технические детали для ИТ‑отдела
Включите SPF, DKIM и строгий DMARC с политикой reject, чтобы отсечь подмену писем «от госорганов». Для доменов компании — DNSSEC, мониторинг Certificate Transparency и автоматическое оповещение о выпуске сертификатов, похожих на ваш бренд. Применяйте HSTS Preload и корректный Content Security Policy, чтобы усложнить внедрение вредоносных скриптов через подменённые виджеты. Настройте DLP на формы с персональными данными и веб‑прокси с категоризацией «Фишинг/Новые домены». Зарезервируйте похожие доменные имена и регулярные сканы зон на предмет тайпсквотинга.
Что делать, если данные уже утекли
1) Немедленно смените пароли и отключите утерянные сессии; включите 2FA в приложении. 2) Заблокируйте карту и оформите перевыпуск; проверьте автоплатежи. 3) Проверьте кабинет «Госуслуг» на новые привязки, заявления и доверенности; оспорьте подозрительные. 4) Подайте жалобу в банк и заявление в правоохранительные органы; приложите скриншоты домена и транзакции. 5) Настройте мониторинг утечек (почта, телефон) и оповещения в кредитных бюро. 6) Сообщите работодателю, если использовали рабочую почту — это поможет вовремя локализовать риск и обновить фильтры.
